Federerad autentisering med hög tillgänglighet Fas 2: Konfigurera domänkontrollanter
I den här fasen av distributionen av hög tillgänglighet för Microsoft 365 federerad autentisering i Azure-infrastrukturtjänster konfigurerar du två domänkontrollanter och katalogsynkroniseringsservern i det virtuella Azure-nätverket. Klientwebbbegäranden för autentisering kan sedan autentiseras i det virtuella Azure-nätverket i stället för att skicka autentiseringstrafiken via VPN-anslutningen från plats till plats till ditt lokala nätverk.
Obs!
Active Directory Federation Services (AD FS) (AD FS) kan inte använda Microsoft Entra ID som ersättning för Active Directory Domain Services domänkontrollanter (AD DS).
Du måste slutföra den här fasen innan du går vidare till Fas 3: Konfigurera AD FS-servrar. Se Distribuera federerad autentisering med hög tillgänglighet för Microsoft 365 i Azure för alla faser.
Skapa de virtuella domänkontrollantdatorerna i Azure
Först måste du fylla i kolumnen Namn på virtuell dator i Tabell M och ändra storleken på virtuella datorer efter behov i kolumnen Minsta storlek .
| Objekt | Namn på virtuell dator | Galleribild | Lagringstyp | Minsta storlek |
|---|---|---|---|---|
| 1. |
 (första domänkontrollanten, till exempel DC1) |
Windows Server 2016 Datacenter |
Standard_LRS |
Standard_D2 |
| 2. |
(andra domänkontrollanten, till exempel DC2) |
Windows Server 2016 Datacenter |
Standard_LRS |
Standard_D2 |
| 3. |
(katalogsynkroniseringsserver, till exempel DS1) |
Windows Server 2016 Datacenter |
Standard_LRS |
Standard_D2 |
| 4. |
(första AD FS-servern, till exempel ADFS1) |
Windows Server 2016 Datacenter |
Standard_LRS |
Standard_D2 |
| 5. |
(andra AD FS-servern, till exempel ADFS2) |
Windows Server 2016 Datacenter |
Standard_LRS |
Standard_D2 |
| 6. |
(första webbprogramproxyservern, till exempel WEB1) |
Windows Server 2016 Datacenter |
Standard_LRS |
Standard_D2 |
| 7. |
(andra webbprogramproxyservern, till exempel WEB2) |
Windows Server 2016 Datacenter |
Standard_LRS |
Standard_D2 |
Tabell M – Virtuella datorer för federerad autentisering med hög tillgänglighet för Microsoft 365 i Azure
En fullständig lista över storlekar för virtuella datorer finns i Storlekar för virtuella datorer.
Följande Azure PowerShell kommandoblock skapar de virtuella datorerna för de två domänkontrollanterna. Ange värdena för variablerna och ta bort < tecknen och > . Observera att det här Azure PowerShell kommandoblocket använder värden från följande tabeller:
Tabell M för dina virtuella datorer
Tabell R för dina resursgrupper
Tabell V, för dina inställningar för virtuella nätverk
Tabell S för dina undernät
Tabell I för dina statiska IP-adresser
Tabell A för dina tillgänglighetsuppsättningar
Kom ihåg att du definierade tabellerna R, V, S, I och A i fas 1: Konfigurera Azure.
Obs!
Följande kommandouppsättningar använder den senaste versionen av Azure PowerShell. Se Kom igång med Azure PowerShell.
När du har angett alla rätt värden kör du det resulterande blocket i Azure PowerShell-prompten eller i PowerShell Integrated Script Environment (ISE) på den lokala datorn.
Tips
Om du vill generera färdiga PowerShell-kommandoblock baserat på dina anpassade inställningar använder du den här Microsoft Excel-konfigurationsarbetsboken.
# Set up variables common to both virtual machines
$locName="<your Azure location>"
$vnetName="<Table V - Item 1 - Value column>"
$subnetName="<Table S - Item 1 - Value column>"
$avName="<Table A - Item 1 - Availability set name column>"
$rgNameTier="<Table R - Item 1 - Resource group name column>"
$rgNameInfra="<Table R - Item 4 - Resource group name column>"
$rgName=$rgNameInfra
$vnet=Get-AzVirtualNetwork -Name $vnetName -ResourceGroupName $rgName
$subnet=Get-AzVirtualNetworkSubnetConfig -VirtualNetwork $vnet -Name $subnetName
$rgName=$rgNameTier
$avSet=Get-AzAvailabilitySet -Name $avName -ResourceGroupName $rgName
# Create the first domain controller
$vmName="<Table M - Item 1 - Virtual machine name column>"
$vmSize="<Table M - Item 1 - Minimum size column>"
$staticIP="<Table I - Item 1 - Value column>"
$diskStorageType="<Table M - Item 1 - Storage type column>"
$diskSize=<size of the extra disk for Active Directory Domain Services (AD DS) data in GB>
$nic=New-AzNetworkInterface -Name ($vmName +"-NIC") -ResourceGroupName $rgName -Location $locName -Subnet $subnet -PrivateIpAddress $staticIP
$vm=New-AzVMConfig -VMName $vmName -VMSize $vmSize -AvailabilitySetId $avset.Id
$vm=Set-AzVMOSDisk -VM $vm -Name ($vmName +"-OS") -DiskSizeInGB 128 -CreateOption FromImage -StorageAccountType $diskStorageType
$diskConfig=New-AzDiskConfig -AccountType $diskStorageType -Location $locName -CreateOption Empty -DiskSizeGB $diskSize
$dataDisk1=New-AzDisk -DiskName ($vmName + "-DataDisk1") -Disk $diskConfig -ResourceGroupName $rgName
$vm=Add-AzVMDataDisk -VM $vm -Name ($vmName + "-DataDisk1") -CreateOption Attach -ManagedDiskId $dataDisk1.Id -Lun 1
$cred=Get-Credential -Message "Type the name and password of the local administrator account for the first domain controller."
$vm=Set-AzVMOperatingSystem -VM $vm -Windows -ComputerName $vmName -Credential $cred -ProvisionVMAgent -EnableAutoUpdate
$vm=Set-AzVMSourceImage -VM $vm -PublisherName MicrosoftWindowsServer -Offer WindowsServer -Skus 2016-Datacenter -Version "latest"
$vm=Add-AzVMNetworkInterface -VM $vm -Id $nic.Id
New-AzVM -ResourceGroupName $rgName -Location $locName -VM $vm
# Create the second domain controller
$vmName="<Table M - Item 2 - Virtual machine name column>"
$vmSize="<Table M - Item 2 - Minimum size column>"
$staticIP="<Table I - Item 2 - Value column>"
$diskStorageType="<Table M - Item 2 - Storage type column>"
$diskSize=<size of the extra disk for AD DS data in GB>
$nic=New-AzNetworkInterface -Name ($vmName +"-NIC") -ResourceGroupName $rgName -Location $locName -Subnet $subnet -PrivateIpAddress $staticIP
$vm=New-AzVMConfig -VMName $vmName -VMSize $vmSize -AvailabilitySetId $avset.Id
$vm=Set-AzVMOSDisk -VM $vm -Name ($vmName +"-OS") -DiskSizeInGB 128 -CreateOption FromImage -StorageAccountType $diskStorageType
$diskConfig=New-AzDiskConfig -AccountType $diskStorageType -Location $locName -CreateOption Empty -DiskSizeGB $diskSize
$dataDisk1=New-AzDisk -DiskName ($vmName + "-DataDisk1") -Disk $diskConfig -ResourceGroupName $rgName
$vm=Add-AzVMDataDisk -VM $vm -Name ($vmName + "-DataDisk1") -CreateOption Attach -ManagedDiskId $dataDisk1.Id -Lun 1
$cred=Get-Credential -Message "Type the name and password of the local administrator account for the second domain controller."
$vm=Set-AzVMOperatingSystem -VM $vm -Windows -ComputerName $vmName -Credential $cred -ProvisionVMAgent -EnableAutoUpdate
$vm=Set-AzVMSourceImage -VM $vm -PublisherName MicrosoftWindowsServer -Offer WindowsServer -Skus 2016-Datacenter -Version "latest"
$vm=Add-AzVMNetworkInterface -VM $vm -Id $nic.Id
New-AzVM -ResourceGroupName $rgName -Location $locName -VM $vm
# Create the directory synchronization server
$vmName="<Table M - Item 3 - Virtual machine name column>"
$vmSize="<Table M - Item 3 - Minimum size column>"
$staticIP="<Table I - Item 3 - Value column>"
$diskStorageType="<Table M - Item 3 - Storage type column>"
$nic=New-AzNetworkInterface -Name ($vmName +"-NIC") -ResourceGroupName $rgName -Location $locName -Subnet $subnet -PrivateIpAddress $staticIP
$vm=New-AzVMConfig -VMName $vmName -VMSize $vmSize
$cred=Get-Credential -Message "Type the name and password of the local administrator account for the directory synchronization server."
$vm=Set-AzVMOperatingSystem -VM $vm -Windows -ComputerName $vmName -Credential $cred -ProvisionVMAgent -EnableAutoUpdate
$vm=Set-AzVMSourceImage -VM $vm -PublisherName MicrosoftWindowsServer -Offer WindowsServer -Skus 2016-Datacenter -Version "latest"
$vm=Add-AzVMNetworkInterface -VM $vm -Id $nic.Id
$vm=Set-AzVMOSDisk -VM $vm -Name ($vmName +"-OS") -DiskSizeInGB 128 -CreateOption FromImage -StorageAccountType $diskStorageType
New-AzVM -ResourceGroupName $rgName -Location $locName -VM $vm
Obs!
Eftersom dessa virtuella datorer är för ett intranätprogram tilldelas de inte någon offentlig IP-adress eller en DNS-domännamnsetikett och exponeras för Internet. Men det innebär också att du inte kan ansluta till dem från Azure Portal. Alternativet Anslut är inte tillgängligt när du visar egenskaperna för den virtuella datorn. Använd tillbehöret Anslutning till fjärrskrivbord eller något annat verktyg för fjärrskrivbord för att ansluta till den virtuella datorn med hjälp av dess privata IP-adress eller intranäts-DNS-namn.
Konfigurera den första domänkontrollanten
Använd valfri fjärrskrivbordsklient och skapa en fjärrskrivbordsanslutning till den första virtuella domänkontrollanten. Använd intranätets DNS- eller datornamn och autentiseringsuppgifterna för det lokala administratörskontot.
Lägg sedan till den extra datadisken till den första domänkontrollanten med det här kommandot från en Windows PowerShell kommandotolk på den första virtuella domänkontrollanten:
Get-Disk | Where PartitionStyle -eq "RAW" | Initialize-Disk -PartitionStyle MBR -PassThru | New-Partition -AssignDriveLetter -UseMaximumSize | Format-Volume -FileSystem NTFS -NewFileSystemLabel "WSAD Data"
Testa sedan den första domänkontrollantens anslutning till platser i organisationens nätverk med hjälp av pingkommandot för att pinga namn och IP-adresser för resurser i organisationens nätverk.
Den här proceduren säkerställer att DNS-namnmatchningen fungerar korrekt (att den virtuella datorn är korrekt konfigurerad med lokala DNS-servrar) och att paket kan skickas till och från det virtuella nätverket mellan platser. Om det här grundläggande testet misslyckas kontaktar du IT-avdelningen för att felsöka problem med DNS-namnmatchning och paketleverans.
Kör sedan följande kommandon från kommandotolken Windows PowerShell på den första domänkontrollanten:
$domname="<DNS domain name of the domain for which this computer will be a domain controller, such as corp.contoso.com>"
$cred = Get-Credential -Message "Enter credentials of an account with permission to join a new domain controller to the domain"
Install-WindowsFeature AD-Domain-Services -IncludeManagementTools
Install-ADDSDomainController -InstallDns -DomainName $domname -DatabasePath "F:\NTDS" -SysvolPath "F:\SYSVOL" -LogPath "F:\Logs" -Credential $cred
Du uppmanas att ange autentiseringsuppgifterna för ett domänadministratörskonto. Datorn startas om.
Konfigurera den andra domänkontrollanten
Använd valfri fjärrskrivbordsklient och skapa en fjärrskrivbordsanslutning till den andra virtuella domänkontrollanten. Använd intranätets DNS- eller datornamn och autentiseringsuppgifterna för det lokala administratörskontot.
Sedan måste du lägga till den extra datadisken till den andra domänkontrollanten med det här kommandot från en Windows PowerShell kommandotolk på den andra virtuella domänkontrollanten:
Get-Disk | Where PartitionStyle -eq "RAW" | Initialize-Disk -PartitionStyle MBR -PassThru | New-Partition -AssignDriveLetter -UseMaximumSize | Format-Volume -FileSystem NTFS -NewFileSystemLabel "WSAD Data"
Kör sedan följande kommandon:
$domname="<DNS domain name of the domain for which this computer will be a domain controller, such as corp.contoso.com>"
$cred = Get-Credential -Message "Enter credentials of an account with permission to join a new domain controller to the domain"
Install-WindowsFeature AD-Domain-Services -IncludeManagementTools
Install-ADDSDomainController -InstallDns -DomainName $domname -DatabasePath "F:\NTDS" -SysvolPath "F:\SYSVOL" -LogPath "F:\Logs" -Credential $cred
Du uppmanas att ange autentiseringsuppgifterna för ett domänadministratörskonto. Datorn startas om.
Därefter måste du uppdatera DNS-servrarna för ditt virtuella nätverk så att Azure tilldelar virtuella datorer IP-adresserna för de två nya domänkontrollanterna som ska användas som deras DNS-servrar. Fyll i variablerna och kör sedan dessa kommandon från en Windows PowerShell kommandotolk på den lokala datorn:
$rgName="<Table R - Item 4 - Resource group name column>"
$adrgName="<Table R - Item 1 - Resource group name column>"
$locName="<your Azure location>"
$vnetName="<Table V - Item 1 - Value column>"
$onpremDNSIP1="<Table D - Item 1 - DNS server IP address column>"
$onpremDNSIP2="<Table D - Item 2 - DNS server IP address column>"
$staticIP1="<Table I - Item 1 - Value column>"
$staticIP2="<Table I - Item 2 - Value column>"
$firstDCName="<Table M - Item 1 - Virtual machine name column>"
$secondDCName="<Table M - Item 2 - Virtual machine name column>"
$vnet=Get-AzVirtualNetwork -ResourceGroupName $rgName -Name $vnetName
$vnet.DhcpOptions.DnsServers.Add($staticIP1)
$vnet.DhcpOptions.DnsServers.Add($staticIP2)
$vnet.DhcpOptions.DnsServers.Remove($onpremDNSIP1)
$vnet.DhcpOptions.DnsServers.Remove($onpremDNSIP2)
Set-AzVirtualNetwork -VirtualNetwork $vnet
Restart-AzVM -ResourceGroupName $adrgName -Name $firstDCName
Restart-AzVM -ResourceGroupName $adrgName -Name $secondDCName
Observera att vi startar om de två domänkontrollanterna så att de inte konfigureras med de lokala DNS-servrarna som DNS-servrar. Eftersom de båda är DNS-servrar själva konfigurerades de automatiskt med de lokala DNS-servrarna som DNS-vidarebefordrare när de befordrades till domänkontrollanter.
Därefter måste vi skapa en Active Directory-replikeringsplats för att säkerställa att servrar i det virtuella Azure-nätverket använder de lokala domänkontrollanterna. Anslut till någon av domänkontrollanterna med ett domänadministratörskonto och kör följande kommandon från en Windows PowerShell fråga på administratörsnivå:
$vnet="<Table V - Item 1 - Value column>"
$vnetSpace="<Table V - Item 4 - Value column>"
New-ADReplicationSite -Name $vnet
New-ADReplicationSubnet -Name $vnetSpace -Site $vnet
Konfigurera katalogsynkroniseringsservern
Använd valfri fjärrskrivbordsklient och skapa en fjärrskrivbordsanslutning till den virtuella datorn för katalogsynkroniseringsservern. Använd intranätets DNS- eller datornamn och autentiseringsuppgifterna för det lokala administratörskontot.
Anslut sedan den till lämplig AD DS-domän med dessa kommandon i Windows PowerShell prompten.
$domName="<AD DS domain name to join, such as corp.contoso.com>"
$cred=Get-Credential -Message "Type the name and password of a domain account."
Add-Computer -DomainName $domName -Credential $cred
Restart-Computer
Här är konfigurationen som beror på att den här fasen har slutförts, med platshållardatornamn.
Fas 2: Domänkontrollanterna och katalogsynkroniseringsservern för din federerade autentiseringsinfrastruktur med hög tillgänglighet i Azure
Nästa steg
Använd fas 3: Konfigurera AD FS-servrar för att fortsätta konfigurera den här arbetsbelastningen.
Se även
Distribuera federerad autentisering med hög tillgänglighet för Microsoft 365 i Azure
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för