Uso de uma máquina virtual do Microsoft Azure como um servidor testemunha DAG
Aplica-se a: Exchange Server 2013
Exchange Server 2013 permite que você configure seus bancos de dados de caixa de correio em um DAG (grupo de disponibilidade de banco de dados) para failover automático do datacenter. Essa configuração requer três locais físicos separados: dois datacenters para servidores de caixa de correio e um terceiro local para colocar o servidor testemunha para o DAG. Organizações com apenas dois locais físicos agora também podem aproveitar o failover automático do datacenter usando uma máquina virtual do servidor de arquivos do Microsoft Azure para atuar como servidor testemunha do DAG.
Este artigo se concentra na colocação da testemunha DAG no Microsoft Azure e pressupõe que você esteja familiarizado com os conceitos de resiliência do site e já tenha uma infraestrutura DAG totalmente funcional que abrange dois datacenters. Se você ainda não tiver sua infraestrutura DAG configurada, recomendamos que você examine primeiro os seguintes artigos:
Alta disponibilidade e resiliência de site
Função dos grupos de disponibilidade (DAGs)
Planejamento de alta disponibilidade e de resiliência do site
Alterações no Microsoft Azure
Essa configuração requer uma VPN de vários sites. Sempre foi possível conectar a rede da sua organização ao Microsoft Azure usando uma conexão VPN site a site. No entanto, no passado, o Azure tinha suporte apenas de uma VPN de site para site. Como a configuração de um DAG e sua testemunha em três datacenters exigia várias VPNs site a site, o posicionamento da testemunha DAG em uma VM do Azure não era inicialmente possível.
Em junho de 2014, o Microsoft Azure introduziu suporte a VPN de vários sites, o que permitiu que as organizações conectassem vários datacenters à mesma rede virtual do Azure. Essa alteração também tornou possível que organizações com dois datacenters usem o Microsoft Azure como terceiro local para colocar seus servidores testemunhais DAG. Para saber mais sobre o recurso VPN de vários sites no Azure, consulte Configurar uma VPN de vários sites.
Observação
Essa configuração usa máquinas virtuais do Azure e uma VPN de vários sites para implantar o servidor testemunha e não usa o Azure Cloud Witness.
Testemunha do servidor de arquivos do Microsoft Azure
O diagrama a seguir é uma visão geral do uso de uma VM do servidor de arquivos do Microsoft Azure como testemunha DAG. Você precisa de uma rede virtual do Azure, uma VPN de vários sites que conecta seus datacenters à sua rede virtual do Azure e um controlador de domínio e um servidor de arquivos implantado em máquinas virtuais do Azure.
Observação
Tecnicamente, é possível usar uma única VM do Azure para essa finalidade e colocar o compartilhamento de testemunha de arquivo no controlador de domínio. No entanto, essa configuração resulta em uma elevação desnecessária de privilégios. Portanto, recomendamos uma única VM do Azure.
Servidor de testemunha DAG no Microsoft Azure
A primeira coisa que você precisa fazer para usar uma VM do Microsoft Azure para sua testemunha DAG é obter uma assinatura. Confira Como comprar o Azure para obter a melhor maneira de adquirir uma assinatura do Azure.
Depois de ter sua assinatura do Azure, você precisará executar as seguintes etapas para:
- Preparar a rede virtual do Microsoft Azure
- Configurar uma VPN de vários sites
- Configurar máquinas virtuais
- Configurar a testemunha DAG
Observação
Uma parte significativa das diretrizes neste artigo envolve a configuração do Microsoft Azure. Portanto, os links para a documentação do Azure são usados sempre que aplicável.
Pré-requisitos
Dois datacenters capazes de dar suporte a uma implantação de alta disponibilidade e resiliência do site do Exchange. Para obter mais informações, consulte Planejamento para alta disponibilidade e resiliência do site.
Um endereço IP público que não está atrás do NAT para os gateways de VPN em cada site
Um dispositivo VPN em cada site compatível com o Microsoft Azure. Consulte Sobre dispositivos VPN e parâmetros IPsec/IKE para conexões site a site Gateway de VPN para obter mais informações sobre dispositivos compatíveis
Familiaridade com os conceitos e o gerenciamento do DAG
Familiaridade com Windows PowerShell
Fase 1: preparar a rede virtual do Microsoft Azure
Configurar a rede do Microsoft Azure é a parte mais crucial do processo de implantação. No final dessa fase, você tem uma rede virtual do Azure totalmente funcional que está conectada aos dois datacenters por meio de uma VPN de vários sites.
Registrar servidores DNS
Como essa configuração requer resolução de nomes entre os servidores locais e as VMs do Azure, você precisa configurar o Azure para usar seus próprios servidores DNS. A resolução de nomes para recursos no artigo de redes virtuais do Azure fornece uma visão geral da resolução de nomes no Azure.
Faça o seguinte para registrar seus servidores DNS:
No portal do Azure, vá para redes e selecione NOVO.
Selecione SERVIDORDNS DE REGISTRO DEREDE> DE SERVIÇOS> DE REDE VIRTUAL.
Digite o nome e o endereço IP para o servidor DNS. O nome é um nome lógico usado no portal de gerenciamento e não precisa corresponder ao nome real do servidor DNS.
Repita as etapas 1 a 3 para quaisquer outros servidores DNS que você deseja adicionar.
Observação
Os servidores DNS registrados não são usados de forma round robin. As VMs do Azure usam o primeiro servidor DNS listado e usam apenas servidores adicionais se o primeiro não estiver disponível.
Repita as etapas 1 a 3 para adicionar o endereço IP a ser usado para o controlador de domínio no Microsoft Azure.
Criar objetos de rede locais (locais) no Azure
Em seguida, faça o seguinte para criar objetos de rede lógicos que representam seus datacenters no Microsoft Azure:
No portal do Azure e, em seguida, vá para redes e selecione NOVO.
Selecione REDEVIRTUAL>SERVIÇOS>DE REDE ADICIONAR REDE LOCAL.
Digite o nome do seu primeiro site de datacenter e o endereço IP do dispositivo VPN nesse site. Esse endereço IP deve ser um endereço IP público estático que não está por trás do NAT.
Na próxima tela, especifique as sub-redes IP para seu primeiro site.
Repat etapas 1 a 4 para seu segundo site.
Criar a rede virtual do Azure
Agora, faça as seguintes etapas para criar uma rede virtual do Azure usada pelas VMs:
No portal do Azure, vá para redes e selecione NOVO.
Selecione NETWORK SERVICES>VIRTUAL NETWORK>CUSTOM CREATE.
Na página Detalhes do Rede Virtual, especifique um nome para a rede virtual e selecione um local geográfico para a rede.
Na página DNS Servers e VPN Connectivity , verifique se os servidores DNS registrados anteriormente estão listados como servidores DNS.
Selecione a caixa Configurar uma VPN site a site marcar em CONECTIVIDADE SITE A SITE.
Importante
Não selecione Usar ExpressRoute, pois essa configuração impede as alterações de configuração necessárias para configurar uma VPN de vários sites.
Em REDE LOCAL, selecione uma das duas redes locais que você configurou.
Na página Espaços de Endereço Rede Virtual, especifique o intervalo de endereços IP a ser usado para sua rede virtual do Azure.
Ponto de verificação: examine a configuração de rede
Neste ponto, ao acessar redes, você deverá ver a rede virtual configurada em REDES VIRTUAIS, seus sites locais em REDES LOCAIS e seus servidores DNS registrados em DNS SERVERS.
Fase 2: configurar uma VPN de vários sites
A próxima etapa é estabelecer os gateways de VPN para seus sites locais. Para fazer esta etapa, você precisa:
- Estabeleça um gateway de VPN para um de seus sites usando o portal do Azure.
- Exporte as configurações de configuração de rede virtual.
- Modifique o arquivo de configuração para VPN de vários sites.
- Importe a configuração de rede atualizada do Azure.
- Registre o endereço IP do gateway do Azure e as chaves pré-compartilhadas.
- Configure dispositivos VPN locais.
Para obter mais informações sobre como configurar uma VPN de vários sites, consulte Configurar uma VPN de vários sites.
Estabelecer um gateway de VPN para seu primeiro site
Ao criar seu gateway virtual, você já especificou para conectá-lo ao seu primeiro site local. Quando você entra na rede virtual dashboard, você pode ver que o gateway não foi criado.
Para estabelecer o gateway de VPN no lado do Azure, consulte Gateway de VPN.
Importante
Execute apenas as etapas na seção "Iniciar o gateway de rede virtual" do artigo e não continue para as seções subsequentes.
Exportar configurações de rede virtual
No momento, o portal de gerenciamento do Azure não permite que você configure uma VPN de vários sites. Para essa configuração, você precisa exportar as configurações de rede virtual para um arquivo XML e modificar esse arquivo. Siga as instruções em Criar uma rede virtual (clássica) usando o porta do Azure para exportar suas configurações.
Modificar as configurações de rede para a VPN de vários sites
Abra o arquivo que você exportou em qualquer editor XML. As conexões de gateway com seus sites locais estão listadas na seção "ConnectionsToLocalNetwork". Pesquise esse termo no arquivo XML para localizar a seção. Esta seção no arquivo de configuração se parece com o exemplo a seguir (o nome do site de exemplo que você criou para seu site local é "Site A").
<ConnectionsToLocalNetwork>
<LocalNetworkSiteRef name="Site A">
<Connection type="IPsec" />
</LocalNetworkSiteRef>
Para configurar seu segundo site, adicione outra seção "LocalNetworkSiteRef" na seção "ConnectionsToLocalNetwork". A seção no arquivo de configuração atualizado se parece com o exemplo a seguir (o nome do site de exemplo para seu segundo site local é "Site B").
<ConnectionsToLocalNetwork>
<LocalNetworkSiteRef name="Site A">
<Connection type="IPsec" />
<LocalNetworkSiteRef name="Site B">
<Connection type="IPsec" />
</LocalNetworkSiteRef>
Salve o arquivo de configuração atualizado.
Importar configurações de rede virtual
A segunda referência de site que você adicionou ao arquivo de configuração dispara o Microsoft Azure para criar um novo túnel. Importe o arquivo atualizado usando as instruções em Criar uma rede virtual (clássica) usando o portal do Azure. Depois de concluir a importação, a rede virtual dashboard mostra as conexões de gateway para ambos os sites locais.
Registrar o endereço IP do gateway do Azure e as chaves pré-compartilhadas
Depois que as novas configurações de rede são importadas, a rede virtual dashboard exibe o endereço IP do gateway do Azure. Dispositivos VPN em ambos os sites se conectam a esse endereço IP. Registre este endereço IP para referência.
Você também precisa obter as chaves IPsec/IKE pré-compartilhadas para cada túnel criado. Você usa essas chaves e o endereço IP do gateway do Azure para configurar seus dispositivos VPN locais.
Você precisa usar o PowerShell para obter as chaves pré-compartilhadas. Se você não estiver familiarizado com o uso do PowerShell para gerenciar o Azure, consulte Azure PowerShell.
Use o cmdlet Get-AzureVNetGatewayKey para extrair as chaves pré-compartilhadas. Execute este cmdlet uma vez para cada túnel. O exemplo a seguir mostra os comandos que você precisa executar para extrair as chaves de túneis entre a rede virtual "Site do Azure" e os sites "Site A" e "Site B". Neste exemplo, as saídas são salvas em arquivos separados. Como alternativa, você pode pipeline essas chaves para outros cmdlets do PowerShell ou usá-las em um script.
Get-AzureVNETGatewayKey -VNetName "Azure Site" -LocalNetworkSiteName "Site A" > C:\Keys\KeysForTunnelToSiteA.txt
Get-AzureVNETGatewayKey -VNetName "Azure Site" -LocalNetworkSiteName "Site B" > C:\Keys\KeysForTunnelToSiteB.txt
Configurar dispositivos VPN locais
O Microsoft Azure fornece scripts de configuração de dispositivo VPN para dispositivos VPN com suporte. Selecione o link Baixar Script do Dispositivo VPN na rede virtual dashboard para o script apropriado para seus dispositivos VPN.
O script que você baixa tem a configuração do primeiro site que você configurou ao configurar sua rede virtual e pode ser usado como é para configurar o dispositivo VPN para esse site. Por exemplo, se você especificou o Site A como a REDE LOCAL ao criar sua rede virtual, o script do dispositivo VPN poderá ser usado para o Site A. No entanto, você precisa modificá-lo para configurar o dispositivo VPN para o Site B. Especificamente, você precisa atualizar a chave pré-compartilhada para corresponder à chave do segundo site.
Por exemplo, se você estiver usando um dispositivo VPN do Serviço de Roteamento e Acesso Remoto (RRAS) para seus sites, precisará executar as seguintes etapas:
- Abra o script de configuração em qualquer editor de texto.
- Encontre a
#Add S2S VPN interface
seção. - Localize o comando Add-VpnS2SInterface nesta seção. Verifique se o valor do parâmetro SharedSecret corresponde à chave pré-compartilhada para o site para o qual você está configurando o dispositivo VPN.
Outros dispositivos podem exigir mais verificação. Por exemplo, os scripts de configuração para dispositivos Cisco definem regras de ACL usando os intervalos de endereços IP locais. Você precisa examinar e verificar todas as referências ao site local no script de configuração antes de usá-lo.
Ponto de verificação: examine o status vpn
Neste ponto, ambos os sites estão conectados à sua rede virtual do Azure por meio dos gateways de VPN. Você pode validar o status da VPN de vários sites executando o comando a seguir no PowerShell.
Get-AzureVnetConnection -VNetName "Azure Site" | Format-Table LocalNetworkSiteName, ConnectivityState
Se ambos os túneis estiverem em execução, a saída deste comando será semelhante a esta:
LocalNetworkSiteName ConnectivityState
-------------------- -----------------
Site A Connected
Site B Connected
Você também pode verificar a conectividade exibindo o dashboard de rede virtual no portal de gerenciamento do Azure. O valor STATUS para ambos os sites é mostrado como Conectado.
Observação
Pode levar vários minutos após a conexão ser estabelecida com êxito para que a status alteração apareça no portal de gerenciamento do Azure.
Fase 3: configurar máquinas virtuais
Você precisa criar um mínimo de duas máquinas virtuais no Microsoft Azure para essa implantação: um controlador de domínio e um servidor de arquivo que serve como testemunha da DAG.
Crie máquinas virtuais para seu controlador de domínio e seu servidor de arquivos usando as instruções em Início Rápido: Criar uma máquina virtual do Windows no portal do Azure. Selecione a rede virtual criada para REGION/AFFINITY GROUP/VIRTUAL NETWORK ao especificar as configurações de suas máquinas virtuais.
Especifique endereços IP preferenciais para o controlador de domínio e o servidor de arquivos usando Azure PowerShell. Quando você especifica um endereço IP preferencial para uma VM, ele precisa ser atualizado, o que requer a reinicialização da VM. O exemplo a seguir define os endereços IP do Azure-DC e do Azure-FSW como 10.0.0.10 e 10.0.0.11, respectivamente.
Get-AzureVM Azure-DC | Set-AzureStaticVNetIP -IPAddress 10.0.0.10 | Update-AzureVM Get-AzureVM Azure-FSW | Set-AzureStaticVNetIP -IPAddress 10.0.0.11 | Update-AzureVM
Observação
Uma VM com um endereço IP preferencial tenta usar esse endereço. No entanto, se esse endereço tiver sido atribuído a uma VM diferente, a VM com a configuração de endereço IP preferencial não será iniciada. Para evitar esse problema, verifique se o endereço IP usado não está atribuído a outra VM. Para obter mais informações, consulte Configurar endereços IP privados para uma máquina virtual usando o portal do Azure.
Provisione a VM do controlador de domínio no Azure usando os padrões usados pela sua organização.
Prepare o servidor de arquivos com os pré-requisitos para uma testemunha do Exchange DAG:
Adicione a função Servidor de Arquivos usando o Assistente de Adicionar Funções e Recursos ou o cmdlet Install-WindowsFeature .
Adicione o grupo de segurança universal Subsistemas Confiáveis do Exchange ao grupo Administradores Locais.
Ponto de verificação: examinar status de máquina virtual
Neste ponto, suas máquinas virtuais devem estar em execução e devem ser capazes de se comunicar com servidores em ambos os datacenters locais:
- Verifique se o controlador de domínio no Azure está se replicando com seus controladores de domínio locais.
- Verifique se você pode acessar o servidor de arquivos no Azure pelo nome e estabelecer uma conexão SMB de seus servidores do Exchange.
- Verifique se você pode acessar seus servidores do Exchange pelo nome do servidor de arquivos no Azure.
Fase 4: configurar a testemunha DAG
Por fim, você precisa configurar o DAG para usar o novo servidor testemunha. Por padrão, o Exchange usa o C:\DAGFileShareWitnesses como o caminho de testemunha de compartilhamento de arquivos no servidor testemunha. Se você estiver usando um caminho de arquivo personalizado, também deverá atualizar o diretório de testemunha para o compartilhamento específico.
Conecte-se ao Shell de Gerenciamento do Exchange.
Execute o comando a seguir para configurar o servidor testemunha para seus DAGs.
Set-DatabaseAvailabilityGroup -Identity DAG1 -WitnessServer Azure-FSW
Para saber mais, confira os seguintes artigos:
Configurar propriedades do grupo de disponibilidade de banco de dados.
Ponto de verificação: validar a testemunha de compartilhamento de arquivos DAG
Neste ponto, você configurou o DAG para usar o servidor de arquivos no Azure como testemunha do DAG. Faça o seguinte para validar sua configuração:
Valide a configuração da DAG executando o comando a seguir.
Get-DatabaseAvailabilityGroup -Identity DAG1 -Status | Format-List Name, WitnessServer, WitnessDirectory, WitnessShareInUse
Verifique se o parâmetro WitnessServer está definido como o servidor de arquivos no Azure, o parâmetro WitnessDirectory está definido como o caminho correto e o parâmetro WitnessShareInUse mostra Primário.
Se o DAG tiver um número par de nós, a testemunha de compartilhamento de arquivos será configurada. Valide a configuração de testemunha de compartilhamento de arquivos em propriedades de cluster executando o comando a seguir. O valor do parâmetro SharePath deve apontar para o servidor de arquivos e exibir o caminho correto.
Get-ClusterResource -Cluster MBX1 | Get-ClusterParameter | Format-List
Em seguida, verifique o status do recurso de cluster "Testemunha de Compartilhamento de Arquivos" executando o comando a seguir. O estado do recurso de cluster deve ser exibido Online.
Get-ClusterResource -Cluster MBX1
Por fim, verifique se o compartilhamento foi criado com êxito no servidor de arquivos examinando a pasta em Explorador de Arquivos e os compartilhamentos no Gerenciador do Servidor.
Confira também
Planejamento para alta disponibilidade e resiliência do siteComutadores e FailoversGerenciando grupos de disponibilidade de banco de dados