다음을 통해 공유


Microsoft Azure VM을 DAG 미러링 모니터 서버로 사용

적용 대상: Exchange Server 2013

Exchange Server 2013을 사용하면 자동 데이터 센터 장애 조치(failover)를 위해 DAG(데이터베이스 가용성 그룹)에서 사서함 데이터베이스를 구성할 수 있습니다. 이 구성에는 사서함 서버용 데이터 센터 2개와 DAG용 미러링 모니터 서버 배치를 위한 세 번째 위치 등 세 개의 개별 물리적 위치가 필요합니다. 이제 물리적 위치가 두 개뿐인 조직은 Microsoft Azure 파일 서버 가상 머신을 사용하여 DAG의 미러링 모니터 서버 역할을 함으로써 자동 데이터 센터 장애 조치(failover)를 활용할 수도 있습니다.

이 문서에서는 Microsoft Azure에 DAG 감시를 배치하는 데 중점을 두고 사이트 복원력 개념에 익숙하고 이미 두 데이터 센터에 걸쳐 완벽하게 작동하는 DAG 인프라가 있다고 가정합니다. DAG 인프라를 아직 구성하지 않은 경우 먼저 다음 문서를 검토하는 것이 좋습니다.

고가용성 및 사이트 복구

DAG(데이터베이스 사용 가능 그룹)

고가용성 및 사이트 복원 계획

Microsoft Azure 변경 내용

이 구성에는 다중 사이트 VPN이 필요합니다. 사이트간 VPN 연결을 사용하여 항상 organization 네트워크를 Microsoft Azure에 연결할 수 있었습니다. 그러나 과거에 Azure는 단일 사이트간 VPN만 지원했습니다. 세 데이터 센터에서 DAG 및 해당 미러링 모니터 서버를 구성하려면 여러 사이트 간 VPN이 필요했기 때문에 처음에는 Azure VM에 DAG 감시를 배치할 수 없었습니다.

2014년 6월 Microsoft Azure는 여러 데이터 센터를 동일한 Azure 가상 네트워크에 연결할 수 있는 다중 사이트 VPN 지원을 도입했습니다. 또한 이러한 변경으로 두 개의 데이터 센터가 있는 조직에서 Microsoft Azure를 세 번째 위치로 사용하여 DAG 감시 서버를 배치할 수 있게 되었습니다. Azure의 다중 사이트 VPN 기능에 대한 자세한 내용은 다중 사이트 VPN 구성을 참조하세요.

참고

이 구성은 미러링 모니터 서버 배포에 Azure 가상 머신 및 다중 사이트 VPN을 사용하며 Azure Cloud Witness를 사용하지 않습니다.

Microsoft Azure 파일 서버 감시

다음 다이어그램은 Microsoft Azure 파일 서버 VM을 DAG 감시로 사용하는 방법에 대한 개요입니다. Azure 가상 네트워크, 데이터 센터를 Azure 가상 네트워크에 연결하는 다중 사이트 VPN, Azure 가상 머신에 배포된 도메인 컨트롤러 및 파일 서버가 필요합니다.

참고

기술적으로 이 목적을 위해 단일 Azure VM을 사용하고 도메인 컨트롤러에 파일 감시 공유를 배치할 수 있습니다. 그러나 이 구성으로 인해 불필요한 권한 상승이 발생합니다. 따라서 단일 Azure VM을 권장하지 않습니다.

Microsoft Azure의 DAG 감시 서버

Azure의 Exchange DAG 감시 개요.

DAG 감시에 Microsoft Azure VM을 사용하기 위해 가장 먼저 해야 할 일은 구독을 가져오는 것입니다. Azure 구독을 획득하는 가장 좋은 방법은 Azure를 구입하는 방법을 참조하세요.

Azure 구독이 있으면 다음 단계를 순서대로 수행해야 합니다.

  1. Microsoft Azure 가상 네트워크 준비
  2. 다중 사이트 VPN 구성
  3. 가상 머신 구성
  4. DAG 감시 구성

참고

이 문서의 지침 중 상당 부분은 Microsoft Azure 구성과 관련이 있습니다. 따라서 해당하는 경우 Azure 설명서에 대한 링크가 사용됩니다.

필수 구성 요소

1단계: Microsoft Azure 가상 네트워크 준비

Microsoft Azure 네트워크 구성은 배포 프로세스에서 가장 중요한 부분입니다. 이 단계가 끝나면 다중 사이트 VPN을 통해 두 데이터 센터에 연결된 완전한 기능의 Azure 가상 네트워크가 있습니다.

DNS 서버 등록

이 구성에는 온-프레미스 서버와 Azure VM 간에 이름 확인이 필요하므로 자체 DNS 서버를 사용하도록 Azure를 구성해야 합니다. Azure 가상 네트워크의 리소스에 대한 이름 확인 문서에서는 Azure 의 이름 확인 개요를 제공합니다.

DNS 서버를 등록하려면 다음을 수행합니다.

  1. Azure Portal 네트워크로 이동한 다음 새로 만들기를 선택합니다.

  2. NETWORK SERVICES>VIRTUAL NETWORK>REGISTER DNS 서버를 선택합니다.

  3. DNS 서버의 이름 및 IP 주소를 입력합니다. 이름은 관리 포털에서 사용되는 논리적 이름이며 DNS 서버의 실제 이름과 일치할 필요가 없습니다.

  4. 추가하려는 다른 DNS 서버에 대해 1~3단계를 반복합니다.

    참고

    등록하는 DNS 서버는 라운드 로빈 방식으로 사용되지 않습니다. Azure VM은 나열된 첫 번째 DNS 서버를 사용하며, 첫 번째 서버를 사용할 수 없는 경우에만 추가 서버를 사용합니다.

  5. 1~3단계를 반복하여 Microsoft Azure의 도메인 컨트롤러에 사용할 IP 주소를 추가합니다.

Azure에서 로컬(온-프레미스) 네트워크 개체 만들기

다음으로, 다음을 수행하여 Microsoft Azure에서 데이터 센터를 나타내는 논리 네트워크 개체를 만듭니다.

  1. Azure Portal 네트워크로 이동한 다음 새로 만들기를 선택합니다.

  2. 네트워크 서비스>가상 네트워크로컬 네트워크> 추가를 선택합니다.

  3. 첫 번째 데이터 센터 사이트의 이름과 해당 사이트의 VPN 디바이스 IP 주소를 입력합니다. 이 IP 주소는 NAT 뒤에 있지 않은 고정 공용 IP 주소여야 합니다.

  4. 다음 화면에서 첫 번째 사이트의 IP 서브넷을 지정합니다.

  5. 두 번째 사이트에 대해 1~4단계를 다시 만듭니다.

Azure 가상 네트워크 만들기

이제 다음 단계를 수행하여 VM에서 사용하는 Azure 가상 네트워크를 만듭니다.

  1. Azure Portal 네트워크로 이동한 다음 새로 만들기를 선택합니다.

  2. 네트워크 서비스>가상 네트워크>사용자 지정 만들기를 선택합니다.

  3. Virtual Network 세부 정보 페이지에서 가상 네트워크의 이름을 지정하고 네트워크의 지리적 위치를 선택합니다.

  4. DNS 서버 및 VPN 연결 페이지에서 이전에 등록한 DNS 서버가 DNS 서버로 나열되는지 확인합니다.

  5. 사이트 간 연결에서 사이트 간 VPN 검사 구성 상자를 선택합니다.

    중요

    이 설정은 다중 사이트 VPN을 설정하는 데 필요한 구성 변경을 방지하므로 ExpressRoute 사용을 선택하지 마세요.

  6. 로컬 네트워크에서 구성한 두 온-프레미스 네트워크 중 하나를 선택합니다.

  7. Virtual Network 주소 공간 페이지에서 Azure 가상 네트워크에 사용할 IP 주소 범위를 지정합니다.

검사점: 네트워크 구성 검토

이 시점에서 네트워크로 이동하면 가상 네트워크 아래에 구성한 가상 네트워크, 로컬네트워크 아래의 로컬 사이트 및 DNS 서버 아래에 등록된 DNS 서버가 표시됩니다.

2단계: 다중 사이트 VPN 구성

다음 단계는 온-프레미스 사이트에 대한 VPN 게이트웨이를 설정하는 것입니다. 이 단계를 수행하려면 다음을 수행해야 합니다.

  1. Azure Portal 사용하여 사이트 중 하나에 대한 VPN 게이트웨이를 설정합니다.
  2. 가상 네트워크 구성 설정을 내보냅니다.
  3. 다중 사이트 VPN에 대한 구성 파일을 수정합니다.
  4. 업데이트된 Azure 네트워크 구성을 가져옵니다.
  5. Azure 게이트웨이 IP 주소 및 미리 공유된 키를 기록합니다.
  6. 온-프레미스 VPN 디바이스를 구성합니다.

다중 사이트 VPN 구성에 대한 자세한 내용은 다중 사이트 VPN 구성을 참조하세요.

첫 번째 사이트에 대한 VPN 게이트웨이 설정

가상 게이트웨이를 만들 때 첫 번째 온-프레미스 사이트에 연결하도록 이미 지정했습니다. 가상 네트워크 dashboard 들어가면 게이트웨이가 만들어지지 않았음을 확인할 수 있습니다.

Azure 쪽에서 VPN 게이트웨이를 설정하려면 VPN Gateway 참조하세요.

중요

문서의 "가상 네트워크 게이트웨이 시작" 섹션에 있는 단계만 수행하고 후속 섹션으로 계속 진행하지 마세요.

가상 네트워크 구성 설정 내보내기

Azure 관리 포털에서는 현재 다중 사이트 VPN을 구성할 수 없습니다. 이 구성의 경우 가상 네트워크 구성 설정을 XML 파일로 내보낸 다음 해당 파일을 수정해야 합니다. Azure porta를 사용하여 설정을 내보내는 가상 네트워크 만들기(클래식)의 지침을 따릅니다.

다중 사이트 VPN에 대한 네트워크 구성 설정 수정

XML 편집기에서 내보낸 파일을 엽니다. 온-프레미스 사이트에 대한 게이트웨이 연결은 "ConnectionsToLocalNetwork" 섹션에 나열됩니다. XML 파일에서 해당 용어를 검색하여 섹션을 찾습니다. 구성 파일의 이 섹션은 다음 예제와 같습니다(로컬 사이트에 대해 만든 예제 사이트 이름은 "사이트 A").

<ConnectionsToLocalNetwork>

    <LocalNetworkSiteRef name="Site A">

        <Connection type="IPsec" />

</LocalNetworkSiteRef>

두 번째 사이트를 구성하려면 "ConnectionsToLocalNetwork" 섹션 아래에 다른 "LocalNetworkSiteRef" 섹션을 추가합니다. 업데이트된 구성 파일의 섹션은 다음 예제와 같습니다(두 번째 로컬 사이트의 예제 사이트 이름은 "사이트 B").

<ConnectionsToLocalNetwork>

        <LocalNetworkSiteRef name="Site A">

            <Connection type="IPsec" />

        <LocalNetworkSiteRef name="Site B">

            <Connection type="IPsec" />

    </LocalNetworkSiteRef>

업데이트된 구성 설정 파일을 저장합니다.

가상 네트워크 구성 설정 가져오기

구성 파일에 추가한 두 번째 사이트 참조는 Microsoft Azure를 트리거하여 새 터널을 만듭니다. Azure Portal 사용하여 가상 네트워크 만들기(클래식)의 지침을 사용하여 업데이트된 파일을 가져옵니다. 가져오기를 완료한 후 가상 네트워크 dashboard 두 로컬 사이트에 대한 게이트웨이 연결을 표시합니다.

Azure 게이트웨이 IP 주소 및 미리 공유된 키 기록

새 네트워크 구성 설정을 가져온 후 가상 네트워크 dashboard Azure 게이트웨이의 IP 주소를 표시합니다. 두 사이트의 VPN 디바이스는 이 IP 주소에 연결됩니다. 참조를 위해 이 IP 주소를 기록합니다.

또한 생성된 각 터널에 대해 미리 공유된 IPsec/IKE 키를 가져와야 합니다. 이러한 키와 Azure 게이트웨이 IP 주소를 사용하여 온-프레미스 VPN 디바이스를 구성합니다.

미리 공유된 키를 얻으려면 PowerShell을 사용해야 합니다. PowerShell을 사용하여 Azure를 관리하는 데 익숙하지 않은 경우 Azure PowerShell 참조하세요.

Get-AzureVNetGatewayKey cmdlet을 사용하여 미리 공유된 키를 추출합니다. 각 터널에 대해 이 cmdlet을 한 번 실행합니다. 다음 예제에서는 가상 네트워크 "Azure 사이트"와 사이트 "사이트 A"와 "사이트 B" 사이의 터널에 대한 키를 추출하기 위해 실행해야 하는 명령을 보여 줍니다. 이 예제에서는 출력이 별도의 파일에 저장됩니다. 또는 이러한 키를 다른 PowerShell cmdlet에 파이프라인하거나 스크립트에서 사용할 수 있습니다.

Get-AzureVNETGatewayKey -VNetName "Azure Site" -LocalNetworkSiteName "Site A" > C:\Keys\KeysForTunnelToSiteA.txt

Get-AzureVNETGatewayKey -VNetName "Azure Site" -LocalNetworkSiteName "Site B" > C:\Keys\KeysForTunnelToSiteB.txt

온-프레미스 VPN 디바이스 구성

Microsoft Azure는 지원되는 VPN 디바이스에 대한 VPN 디바이스 구성 스크립트를 제공합니다. VPN 디바이스에 적합한 스크립트에 대한 가상 네트워크 dashboard VPN 디바이스 스크립트 다운로드 링크를 선택합니다.

다운로드한 스크립트에는 가상 네트워크를 설정할 때 구성한 첫 번째 사이트에 대한 구성 설정이 있으며, 그대로 해당 사이트에 대한 VPN 디바이스를 구성하는 데 사용할 수 있습니다. 예를 들어 가상 네트워크를 만들 때 사이트 A를 LOCAL NETWORK 로 지정한 경우 사이트 A에 VPN 디바이스 스크립트를 사용할 수 있습니다. 그러나 사이트 B에 대한 VPN 디바이스를 구성하도록 수정해야 합니다. 특히 두 번째 사이트의 키와 일치하도록 미리 공유된 키를 업데이트해야 합니다.

예를 들어 사이트에 대한 RRAS(라우팅 및 원격 액세스 서비스) VPN 디바이스를 사용하는 경우 다음 단계를 수행해야 합니다.

  1. 모든 텍스트 편집기에서 구성 스크립트를 엽니다.
  2. 섹션을 찾습니다 #Add S2S VPN interface .
  3. 이 섹션에서 Add-VpnS2SInterface 명령을 찾습니다. SharedSecret 매개 변수 값이 VPN 디바이스를 구성하는 사이트의 미리 공유된 키와 일치하는지 확인합니다.

다른 디바이스에는 더 많은 확인이 필요할 수 있습니다. 예를 들어 Cisco 디바이스에 대한 구성 스크립트는 로컬 IP 주소 범위를 사용하여 ACL 규칙을 설정합니다. 구성 스크립트를 사용하기 전에 구성 스크립트에서 로컬 사이트에 대한 모든 참조를 검토하고 확인해야 합니다.

검사점: VPN 상태 검토

이 시점에서 두 사이트는 VPN 게이트웨이를 통해 Azure 가상 네트워크에 연결됩니다. PowerShell에서 다음 명령을 실행하여 다중 사이트 VPN의 상태 유효성을 검사할 수 있습니다.

Get-AzureVnetConnection -VNetName "Azure Site" | Format-Table LocalNetworkSiteName, ConnectivityState

두 터널이 모두 실행 중인 경우 이 명령의 출력은 다음과 같습니다.

LocalNetworkSiteName    ConnectivityState

--------------------    -----------------

Site A                  Connected

Site B                  Connected

Azure 관리 포털에서 가상 네트워크 dashboard 확인하여 연결을 확인할 수도 있습니다. 두 사이트의 STATUS 값은 연결됨으로 표시됩니다.

참고

Azure 관리 포털에 상태 변경 내용이 표시되려면 연결이 성공적으로 설정된 후 몇 분 정도 걸릴 수 있습니다.

3단계: 가상 머신 구성

이 배포를 위해 Microsoft Azure에서 최소 두 개의 가상 머신( 도메인 컨트롤러 및 DAG 감시 역할을 하는 파일 서버)을 만들어야 합니다.

  1. 빠른 시작: Azure Portal Windows 가상 머신 만들기의 지침을 사용하여 도메인 컨트롤러 및 파일 서버에 대한 가상 머신을 만듭니다. 가상 머신의 설정을 지정할 때 REGION/AFFINITY GROUP/VIRTUAL NETWORK 에 대해 만든 가상 네트워크를 선택해야 합니다.

  2. Azure PowerShell 사용하여 도메인 컨트롤러와 파일 서버 모두에 대해 기본 설정 IP 주소를 지정합니다. VM에 대한 기본 IP 주소를 지정하는 경우 업데이트해야 하므로 VM을 다시 시작해야 합니다. 다음 예제에서는 Azure-DC 및 Azure-FSW의 IP 주소를 각각 10.0.0.10 및 10.0.0.11로 설정합니다.

    Get-AzureVM Azure-DC | Set-AzureStaticVNetIP -IPAddress 10.0.0.10 | Update-AzureVM
    
    Get-AzureVM Azure-FSW | Set-AzureStaticVNetIP -IPAddress 10.0.0.11 | Update-AzureVM
    

    참고

    기본 IP 주소가 있는 VM은 해당 주소를 사용하려고 시도합니다. 그러나 해당 주소가 다른 VM에 할당된 경우 기본 IP 주소 구성이 있는 VM이 시작되지 않습니다. 이 문제를 방지하려면 사용하는 IP 주소가 다른 VM에 할당되지 않았는지 확인합니다. 자세한 내용은 Azure Portal 사용하여 가상 머신에 대한 개인 IP 주소 구성을 참조하세요.

  3. organization 사용하는 표준을 사용하여 Azure에서 도메인 컨트롤러 VM을 프로비전합니다.

  4. Exchange DAG 감시에 대한 필수 구성 요소를 사용하여 파일 서버를 준비합니다.

    1. 역할 및 기능 추가 마법사 또는 Install-WindowsFeature cmdlet을 사용하여 파일 서버 역할을 추가합니다.

    2. Exchange 신뢰할 수 있는 하위 시스템 유니버설 보안 그룹을 로컬 관리자 그룹에 추가합니다.

검사점: 가상 머신 상태 검토

이 시점에서 가상 머신은 실행 중이어야 하며 온-프레미스 데이터 센터의 두 서버와 통신할 수 있어야 합니다.

  • Azure의 도메인 컨트롤러가 온-프레미스 도메인 컨트롤러와 복제 중인지 확인합니다.
  • 이름으로 Azure의 파일 서버에 연결하고 Exchange 서버에서 SMB 연결을 설정할 수 있는지 확인합니다.
  • Azure의 파일 서버에서 이름으로 Exchange 서버에 연결할 수 있는지 확인합니다.

4단계: DAG 감시 구성

마지막으로 새 미러링 모니터 서버를 사용하도록 DAG를 구성해야 합니다. 기본적으로 Exchange는 C:\DAGFileShareWitnesses를 미러링 모니터 서버의 파일 공유 감시 경로로 사용합니다. 사용자 지정 파일 경로를 사용하는 경우 특정 공유에 대한 미러링 모니터 서버 디렉터리도 업데이트해야 합니다.

  1. Exchange 관리 셸에 연결합니다.

  2. 다음 명령을 실행하여 DAG에 대한 미러링 모니터 서버를 구성합니다.

    Set-DatabaseAvailabilityGroup -Identity DAG1 -WitnessServer Azure-FSW
    

자세한 내용은 다음 문서를 참조하세요.

데이터베이스 가용성 그룹 속성을 구성합니다.

Set-DatabaseAvailabilityGroup

검사점: DAG 파일 공유 감시 유효성 검사

이 시점에서 DAG 감시로 Azure의 파일 서버를 사용하도록 DAG를 구성했습니다. 다음을 수행하여 구성의 유효성을 검사합니다.

  1. 다음 명령을 실행하여 DAG 구성의 유효성을 검사합니다.

    Get-DatabaseAvailabilityGroup -Identity DAG1 -Status | Format-List Name, WitnessServer, WitnessDirectory, WitnessShareInUse
    

    WitnessServer 매개 변수가 Azure의 파일 서버로 설정되어 있는지, WitnessDirectory 매개 변수가 올바른 경로로 설정되어 있는지, WitnessShareInUse 매개 변수에 Primary가 표시되는지 확인합니다.

  2. DAG에 노드 수가 짝수인 경우 파일 공유 감시가 구성됩니다. 다음 명령을 실행하여 클러스터 속성에서 파일 공유 감시 설정의 유효성을 검사합니다. SharePath 매개 변수의 값은 파일 서버를 가리키고 올바른 경로를 표시해야 합니다.

    Get-ClusterResource -Cluster MBX1 | Get-ClusterParameter | Format-List
    
  3. 다음으로, 다음 명령을 실행하여 "파일 공유 감시" 클러스터 리소스의 상태 확인합니다. 클러스터 리소스의 상태가온라인으로 표시되어야 합니다.

    Get-ClusterResource -Cluster MBX1
    
  4. 마지막으로 파일 탐색기 폴더와 서버 관리자 공유를 검토하여 파일 서버에서 공유가 성공적으로 생성되었는지 확인합니다.

참고 항목

고가용성 및 사이트 복원력전환 및 장애 조치(failover)데이터베이스 가용성 그룹 관리 계획