Использование виртуальной машины Microsoft Azure в качестве следящего сервера DAG

Область применения: Exchange Server 2013 г.

Exchange Server 2013 позволяет настраивать базы данных почтовых ящиков в группе обеспечения доступности базы данных (DAG) для автоматической отработки отказа центра обработки данных. Для реализации этой конфигурации требуются три отдельных физических местоположения: два для размещения центров обработки данных для серверов почтовых ящиков и одно для размещения следящего сервера для группы DAG. Организации, у которых имеется только два физических местоположения, также могут воспользоваться преимуществами автоматической отработки отказа центра обработки данных благодаря использованию виртуальной машины с файловым сервером Microsoft Azure в качестве следящего сервера группы DAG.

В этой статье рассматривается размещение свидетеля DAG в Microsoft Azure и предполагается, что вы знакомы с концепциями устойчивости сайта и уже имеете полностью функциональную инфраструктуру DAG, охватывающую два центра обработки данных. Если вы еще настроили инфраструктуру группы обеспечения доступности баз данных, рекомендуем сначала ознакомиться с указанными ниже статьями.

Высокая доступность и устойчивость сайтов

Группы обеспечения доступности баз данных

Планирование высокой доступности и устойчивости сайтов

Изменения в Microsoft Azure

Для этой конфигурации требуется VPN с несколькими сайтами. Всегда можно было подключить сеть вашей организации к Microsoft Azure с помощью VPN-подключения типа "сеть — сеть". Однако в прошлом Azure поддерживала только один VPN-подключение типа "сеть — сеть". Так как для настройки DAG и его следящего сервера в трех центрах обработки данных требовалось несколько VPN-подключений типа "сеть — сеть", размещение свидетеля DAG на виртуальной машине Azure изначально было невозможно.

В июне 2014 г. в Microsoft Azure была реализована поддержка многосайтовой сети VPN, благодаря чему организации получили возможность подключить несколько центров обработки данных к одной и той же виртуальной сети Azure. Это изменение также позволило организациям с двумя центрами обработки данных использовать Microsoft Azure в качестве третьего расположения для размещения серверов-свидетелей DAG. Дополнительные сведения о функции VPN с несколькими сайтами в Azure см. в статье Настройка многосайтового VPN.

Примечание.

В этой конфигурации используются виртуальные машины Azure и многосайтовый VPN-сервер для развертывания следящего сервера, а облачный свидетель Azure не используется.

Следящий файловый сервер Microsoft Azure

Ниже приведен обзор использования виртуальной машины с файловым сервером Microsoft Azure в качестве следящего сервера DAG. Потребуются виртуальная сеть Azure, многосайтовая сеть VPN, объединяющая центры обработки данных с виртуальной сетью Azure, а также контроллер домена и файловый сервер, развернутые на виртуальных машинах Azure.

Примечание.

Существует техническая возможность использовать для этой цели лишь одну виртуальную машину Azure, а файловый ресурс-свидетель разместить на контроллере домена. Однако такая конфигурация приводит к ненужному повышению привилегий. Поэтому мы не рекомендуем использовать одну виртуальную машину Azure.

Следящий сервер DAG в Microsoft Azure

Первое, что нужно сделать для использования виртуальной машины Microsoft Azure для размещения следящего сервера DAG, это оформить подписку. Сведения о том, как приобрести подписку Azure, см. в статье Как приобрести Azure .

После получения подписки Azure необходимо выполнить следующие действия по порядку:

1. Подготовьте виртуальную сеть Microsoft Azure
2. Настройте многосайтовую сеть VPN
3. Настройте виртуальные машины
4. Настройте следящий сервер DAG

Примечание.

Значительная часть инструкции в этой статье подразумевает использование конфигурации Microsoft Azure. Поэтому всякий раз используются ссылки на документацию по Azure, когда это применимо.

Предварительные требования

• Два центра обработки данных, которые поддерживают развертывание с высоким уровнем доступности Exchange и устойчивостью сайта. Дополнительные сведения см. в статье Планирование высокого уровня доступности и устойчивости сайта.

• Общедоступный IP-адрес, который не стоит за NAT для VPN-шлюзов на каждом сайте.

• VPN-устройство на каждом сайте, совместимое с Microsoft Azure. Дополнительные сведения о совместимых устройствах см. в статье Сведения о VPN-устройствах и параметрах IPsec/IKE для подключений типа "сеть — сеть" VPN-шлюз.

• Знакомство с основными понятиями DAG и управлением ею

• Знакомство с Windows PowerShell

Этап 1. Подготовка виртуальной сети Microsoft Azure

Настройка сети Microsoft Azure является самой важной частью процесса развертывания. В конце этого этапа у вас есть полностью функциональная виртуальная сеть Azure, которая подключена к двум центрам обработки данных через VPN с несколькими сайтами.

Регистрация DNS-серверов

Так как для этой конфигурации требуется разрешение имен между локальными серверами и виртуальными машинами Azure, необходимо настроить Azure для использования собственных DNS-серверов. В статье о разрешении имен для ресурсов в виртуальных сетях Azure представлен обзор разрешения имен в Azure.

Выполните указанные ниже действия для регистрации DNS-серверов.

1. В портал Azure перейдите к разделу сети и нажмите кнопку СОЗДАТЬ.

2. Выберите СЕТЕВЫЕ СЛУЖБЫ>ВИРТУАЛЬНАЯ СЕТЬ>ЗАРЕГИСТРИРОВАТЬ DNS-СЕРВЕР.

3. Введите имя и IP-адрес DNS-сервера. Это логическое имя, используемое на портале управления и не обязательно совпадает с фактическим именем DNS-сервера.

4. Повторите шаги 1-3 для других DNS-серверов, которые хотите добавить.

   Примечание.

   Зарегистрированные DNS-серверы не используются в режиме циклического перебора. Виртуальные машины Azure используют первый DNS-сервер, указанный в списке, и используют дополнительные серверы только в том случае, если первый сервер недоступен.

5. Повторите шаги 1–3, чтобы добавить IP-адрес для контроллера домена в Microsoft Azure.

Создание объектов локальной сети в Azure

Затем следует выполнить указанные ниже действия, чтобы создать логические объекты сети, представляющие ваши центры обработки данных в Microsoft Azure.

1. В портал Azure перейдите к разделу сети, а затем выберите Создать.

2. Выберите СЕТЕВЫЕ СЛУЖБЫ>ВИРТУАЛЬНАЯ СЕТЬ>ДОБАВИТЬ ЛОКАЛЬНУЮ СЕТЬ.

3. Введите имя первого сайта центра обработки данных и IP-адрес VPN-устройства на этом сайте. Этот IP-адрес должен быть статическим общедоступным IP-адресом, который не стоит за NAT.

4. На следующем экране укажите IP-подсети для первого сайта.

5. Повторное исправление шагов 1–4 для второго сайта.

Создание виртуальной сети Azure

Теперь выполните следующие действия, чтобы создать виртуальную сеть Azure, используемую виртуальными машинами.

1. В портал Azure перейдите к разделу сети и нажмите кнопку СОЗДАТЬ.

2. Выберите СЕТЕВЫЕ СЛУЖБЫ>ВИРТУАЛЬНАЯ СЕТЬ>НАСТРАИВАЕМОЕ СОЗДАНИЕ.

3. На странице Сведения о виртуальной сети укажите имя виртуальной сети и выберите географическое расположение сети.

4. На странице DNS-серверы и подключение VPN убедитесь, что зарегистрированные ранее DNS-серверы перечислены как DNS-серверы.

5. В разделе ПОДКЛЮЧЕНИЕ ТИПА "СЕТЬ-СЕТЬ" установите флажок Настроить подключение VPN типа "сеть-сеть".

   Важно!

   Не выбирайте использовать ExpressRoute, так как этот параметр предотвращает необходимые изменения конфигурации, необходимые для настройки VPN с несколькими сайтами.

6. В разделе ЛОКАЛЬНАЯ СЕТЬ выберите одну из двух настроенных локальных сетей.

7. На странице виртуальная сеть адресных пространств укажите диапазон IP-адресов, используемый для виртуальной сети Azure.

Контрольная точка: проверка конфигурации сети

На этом этапе в разделе сети должны отобразиться виртуальная сеть, настроенная в разделе ВИРТУАЛЬНЫЕ СЕТИ, локальные сайты в разделе ЛОКАЛЬНЫЕ СЕТИ и зарегистрированные DNS-серверы в разделе DNS-СЕРВЕРЫ.

Этап 2. Настройка многосайтовой сети VPN

Следующим шагом является установка VPN-шлюзов для локальных сайтов. Чтобы выполнить этот шаг, необходимо:

1. Установите VPN-шлюз для одного из сайтов с помощью портала Azure.
2. Экспортируйте параметры конфигурации виртуальной сети.
3. Измените файл конфигурации для многосайтовой сети VPN.
4. Импортируйте обновленную конфигурацию сети Azure.
5. Запишите IP-адрес шлюза Azure и предварительные ключи.
6. Настройте локальные VPN-устройства.

Дополнительные сведения о настройке многосайтовой сети VPN в Azure см. в статье Настройка многосайтовой сети VPN.

Установка VPN-шлюза для своего первого сайта

При создании виртуального шлюза вы уже указали, как подключить его к первому локальному сайту. При переходе на панель мониторинга виртуальной сети вы увидите, что шлюз не был создан.

Сведения о том, как установить VPN-шлюз на стороне Azure, см. в разделе VPN-шлюз.

Важно!

Выполните только действия, указанные в разделе "Запустите шлюз виртуальной сети" этой статьи; сведения, содержащиеся в последующих разделах, не понадобятся.

Экспорт параметров конфигурации виртуальной сети

В настоящее время на портале управления Azure отсутствует возможность настроить многосайтовую сеть VPN. Для этой конфигурации необходимо экспортировать параметры конфигурации виртуальной сети в XML-файл, а затем изменить этот файл. Следуйте инструкциям в разделе Создание виртуальной сети (классической) с помощью порта Azure для экспорта параметров.

Изменение параметров конфигурации сети для многосайтовой сети VPN

Откройте экспортированный файл в любом редакторе XML. Подключения шлюза к локальным сайтам перечислены в разделе "ConnectionsToLocalNetwork". Найдите этот раздел в XML-файле. Этот раздел в файле конфигурации выглядит так, как показано в следующем примере (пример имени сайта, созданного для локального сайта, — "Сайт A").

<ConnectionsToLocalNetwork>

    <LocalNetworkSiteRef name="Site A">

        <Connection type="IPsec" />

</LocalNetworkSiteRef>

Чтобы настроить второй сайт, добавьте в раздел "ConnectionsToLocalNetwork" другой раздел "LocalNetworkSiteRef". Раздел в обновленном файле конфигурации выглядит так, как показано в следующем примере (пример имени сайта для второго локального сайта — "Сайт B").

<ConnectionsToLocalNetwork>

        <LocalNetworkSiteRef name="Site A">

            <Connection type="IPsec" />

        <LocalNetworkSiteRef name="Site B">

            <Connection type="IPsec" />

    </LocalNetworkSiteRef>

Сохраните обновленный файл параметров конфигурации.

Импорт параметров конфигурации виртуальной сети

Вторая ссылка на сайт, добавленная в файл конфигурации, активирует Microsoft Azure для создания нового туннеля. Импортируйте обновленный файл с помощью инструкций из раздела Создание виртуальной сети (классической) с помощью портал Azure. После завершения импорта на панели мониторинга виртуальной сети отображаются подключения шлюза к обоим локальным сайтам.

Запись IP-адреса шлюза Azure и предварительных ключей

После импорта новых параметров конфигурации сети на панели мониторинга виртуальной сети отображается IP-адрес шлюза Azure. VPN-устройства на обоих сайтах подключаются к этому IP-адресу. Запишите этот IP-адрес для использования в будущем.

Кроме того, необходимо получить общие ключи IPsec/IKE для каждого созданного туннеля. Эти ключи и IP-адрес шлюза Azure используются для настройки локальных VPN-устройств.

Для получения общих ключей необходимо использовать PowerShell. Если вы не знакомы с порядком использования PowerShell для управления Azure, обратитесь к статье Справка по Azure PowerShell.

Используйте командлет Get-AzureVNetGatewayKey для извлечения общих ключей. Запустите этот командлет один раз для каждого туннеля. В следующем примере показаны команды, необходимые для извлечения ключей для туннелей между виртуальной сетью "Сайт Azure" и сайтами "Сайт A" и "Сайт B". В этом примере выходные данные сохраняются в отдельных файлах. Кроме того, можно направить эти ключи в другие командлеты PowerShell или использовать их в сценарии.

Get-AzureVNETGatewayKey -VNetName "Azure Site" -LocalNetworkSiteName "Site A" > C:\Keys\KeysForTunnelToSiteA.txt

Get-AzureVNETGatewayKey -VNetName "Azure Site" -LocalNetworkSiteName "Site B" > C:\Keys\KeysForTunnelToSiteB.txt

Настройка локальных VPN-устройств

Microsoft Azure предоставляет сценарии настройки для поддерживаемых VPN-устройств. Выберите ссылку Скачать скрипт VPN-устройства на панели мониторинга виртуальной сети, чтобы выбрать соответствующий сценарий для VPN-устройств.

Скрипт, который вы загружаете, имеет параметр конфигурации для первого сайта, настроенный при настройке виртуальной сети, и может использоваться как есть для настройки VPN-устройства для этого сайта. Например, если вы указали сайт A в качестве локальной сети при создании виртуальной сети, скрипт VPN-устройства можно использовать для сайта A. Однако необходимо изменить его, чтобы настроить VPN-устройство для сайта B. В частности, необходимо обновить ключ, который предоставляет общий доступ, чтобы он соответствовал ключу для второго сайта.

Например, если вы используете VPN-устройство службы маршрутизации и удаленного доступа (RRAS) для своих сайтов, необходимо выполнить следующие действия.

1. Откройте сценарий настройки в любом текстовом редакторе.
2. #Add S2S VPN interface Найдите раздел .
3. В этом разделе найдите команду Add-VpnS2SInterface. Убедитесь, что значение параметра SharedSecret соответствует предварительному ключу для сайта, для которого настраивается VPN-устройство.

Для других устройств может потребоваться дополнительная проверка. Например, сценарии настройки для устройств Cisco устанавливают правила списка управления доступом с помощью диапазонов локальных IP-адресов. Прежде чем использовать сценарий настройки, необходимо просмотреть и проверить в нем все ссылки на локальный сайт.

Контрольная точка: проверка состояния VPN

На этом этапе оба сайта подключены к виртуальной сети Azure через VPN-шлюзы. Вы можете проверить состояние многосайтовой сети VPN, выполнив следующую команду в PowerShell.

Get-AzureVnetConnection -VNetName "Azure Site" | Format-Table LocalNetworkSiteName, ConnectivityState

Если оба туннеля запущены и запущены, выходные данные этой команды выглядят следующим образом:

LocalNetworkSiteName    ConnectivityState

--------------------    -----------------

Site A                  Connected

Site B                  Connected

Можно также проверить подключение, обратившись к панели мониторинга виртуальной сети на портале управления Azure. Значение STATUS для обоих сайтов отображается как Подключено.

Примечание.

После успешного установления подключения может потребоваться несколько минут, чтобы изменения о состоянии подключения отразились на портале управления Azure.

Этап 3. Настройка виртуальных машин

Для этого развертывания необходимо создать как минимум две виртуальные машины в Microsoft Azure: контроллер домена и файловый сервер, который служит в качестве свидетеля DAG.

1. Создайте виртуальные машины для контроллера домена и файлового сервера, следуя инструкциям в разделе Краткое руководство. Создание виртуальной машины Windows в портал Azure. При указании параметров виртуальных машин убедитесь, что выбрана виртуальная сеть, которую вы создали для параметра РЕГИОН, ТЕРРИТОРИАЛЬНАЯ ГРУППА, ВИРТУАЛЬНАЯ СЕТЬ.

2. С помощью Azure PowerShell укажите предпочтительные IP-адреса для контроллера домена и файлового сервера. При указании предпочтительного IP-адреса для виртуальной машины ее необходимо обновить, что требует перезапуска виртуальной машины. В примере ниже задаются IP-адреса для контроллера домена Azure-DC и файлового сервера Azure FSW, 10.0.0.10 и 10.0.0.11 соответственно.

   Get-AzureVM Azure-DC | Set-AzureStaticVNetIP -IPAddress 10.0.0.10 | Update-AzureVM
   
   Get-AzureVM Azure-FSW | Set-AzureStaticVNetIP -IPAddress 10.0.0.11 | Update-AzureVM
   

   Примечание.

   Виртуальная машина с предпочитаемым IP-адресом пытается использовать этот адрес. Однако если этот адрес был назначен другой виртуальной машине, виртуальная машина с предпочтительной конфигурацией IP-адреса не запускается. Чтобы избежать этой проблемы, убедитесь, что используемый IP-адрес не назначен другой виртуальной машине. Дополнительные сведения см. в статье Настройка частных IP-адресов для виртуальной машины с помощью портал Azure.

3. Подготовьте контроллер домена виртуальной машины в Azure в соответствии с используемыми в вашей организации стандартами.

4. Подготовьте необходимые компоненты для следящего сервера DAG Exchange.

   1. Добавьте роль файлового сервера с помощью мастера добавления ролей и компонентов или командлета Install-WindowsFeature .

   2. Добавьте универсальную группу безопасности доверенной подсистемы Exchange в группу локальных администраторов.

Контрольная точка: просмотр состояния виртуальной машины

На этом этапе виртуальные машины должны быть настроены и работать, а также должны иметь возможность обращаться к серверам в обоих локальных центрах обработки данных.

• Убедитесь, что контроллер домена в Azure выполняет репликацию с локальных контроллеров домена.
• Убедитесь, что к файловому серверу Azure можно обратиться по имени и установить с ним подключение по протоколу SMB с серверов Exchange.
• Убедитесь, что к вашим серверам Exchange можно обратиться по имени с файлового сервера в Azure.

Этап 4. Настройка следящего сервера DAG

Наконец, необходимо настроить вашу DAG для использования нового следящего сервера. По умолчанию Exchange использует C:\DAGFileShareWitnesses как путь файловому ресурсу-свидетелю на следящем сервере. Если вы используете пользовательский путь к файлу, следует также обновить следящий каталог для конкретной общей папки.

1. Подключитесь к Командная консоль Exchange.

2. Выполните следующую команду для настройки следящего сервера для своих групп обеспечения доступности базы данных.

   Set-DatabaseAvailabilityGroup -Identity DAG1 -WitnessServer Azure-FSW
   

Дополнительные сведения см. в следующих статьях:

Настройте свойства группы доступности базы данных.

Set-DatabaseAvailabilityGroup

Контрольная точка: проверка файлового ресурса свидетеля DAG

На этом этапе вы настроили daG для использования файлового сервера в Azure в качестве свидетеля DAG. Выполните указанные ниже действия, чтобы проверить конфигурацию.

1. Проверьте конфигурацию DAG, выполнив следующую команду:

   Get-DatabaseAvailabilityGroup -Identity DAG1 -Status | Format-List Name, WitnessServer, WitnessDirectory, WitnessShareInUse
   

   Убедитесь, что параметрУ WitnessServer задан файловый сервер в Azure, параметру WitnessDirectory задан правильный путь, а параметру WitnessShareInUse — значение Primary.

2. Если daG содержит четное число узлов, то настраивается файловый ресурс-свидетель. Проверьте параметр следящего ресурса в свойствах кластера, выполнив следующую команду. Значение параметра SharePath должно указывать на файловый сервер и отображать правильный путь.

   Get-ClusterResource -Cluster MBX1 | Get-ClusterParameter | Format-List
   

3. Затем проверьте состояние ресурса кластера "Файловый ресурс-свидетель", выполнив следующую команду. Состояние ресурса кластера должно отображаться в сети.

   Get-ClusterResource -Cluster MBX1
   

4. Затем убедитесь, что общий ресурс успешно создан на файловом сервере. Для этого перейдите к папке в проводнике и к общим папкам в диспетчере серверов.

См. также

Планирование высокого уровня доступности и устойчивости сайта: переключения и отработки отказаУправление группами доступности баз данных