Настройка гибридного развертывания Exchange и переход на Office 365 (Exchange Online) (часть 4)

• Настройка гибридного развертывания Exchange и переход на Office 365 (Exchange Online) (часть 6)
• Настройка гибридного развертывания Exchange и переход на Office 365 (Exchange Online) (часть 8)
• Настройка гибридного развертывания Exchange и переход на Office 365 (Exchange Online) (часть 10)
• Настройка гибридного развертывания Exchange и переход на Office 365 (Exchange Online) (часть 11)
• Настройка гибридного развертывания Exchange и переход на Office 365 (Exchange Online) (часть 13)

Введение

В третьей части этой серии статей, посвященной миграции на основе гибридного развертывания Exchange в Office 365 или, точнее, в Exchange Online, мы установили и настроили службу федерации Active Directory (ADFS) 2.0 на двух серверах ADFS во внутренней сети. После того, как мы настроили серверы, мы убедились, что они работают должным образом.

В этой части 4 мы продолжим с того места, на котором остановились в части 3. То есть мы развернем серверы Active Directory Federation Proxy (ADFS), необходимые для внешней федерации удостоверений с Office 365. Точнее, мы развернем и настроим два Прокси-серверы ADFS. Для достижения высокой доступности прокси-серверы ADFS будут настроены в ферме прокси-серверов ADFS и сбалансированы по нагрузке с помощью балансировки сетевой нагрузки Windows (WNLB).

Давайте идти…

Настройка балансировки нагрузки Windows на серверах ADFS

При настройке полноценного сосуществования локальной среды Exchange и Office 365 крайне важно, чтобы федерация удостоверений работала постоянно. Как уже упоминалось в предыдущих частях этой серии статей, если служба федерации удостоверений становится недоступной, это означает, что пользователи Active Directory на предприятии не могут пройти проверку подлинности в службе Office 365, такой как Exchange Online. Поскольку пользователь не может пройти аутентификацию, он не может получить доступ к службе Office 365, так как не знает пароль, установленный для самого объекта пользователя Office 365. По этой причине настоятельно рекомендуется балансировать нагрузку на все серверы ADFS, а также на прокси-серверы ADFS с помощью балансировки сетевой нагрузки Windows (WNLB), виртуального устройства балансировки нагрузки или аппаратного балансировщика нагрузки. Поскольку ADFS не требует сходства на основе уровня 7, WNLB полностью поддерживается.

Прежде чем настраивать ADFS на двух прокси-серверах ADFS, мы настроим их в WNLB. Для этого сначала установите компонент « Балансировка сетевой нагрузки ». Это можно сделать, открыв Диспетчер серверов и запустив « Мастер добавления компонентов », как показано на рисунке 1. На странице « Выбор функций » установите флажок « Балансировка сетевой нагрузки ».

Рисунок 1: Выбор компонента балансировки сетевой нагрузки

Когда компонент будет установлен, нажмите « Закрыть », чтобы выйти из мастера.

Рис. 2. Компонент NLB установлен

Теперь запустите « Диспетчер балансировки сетевой нагрузки » из « Пуск » > « Администрирование ».

Рисунок 3: Запуск NLB Manager

В диспетчере NLB выберите в меню « Кластер » и нажмите « Создать ».

Рис. 4. Диспетчер балансировки сетевой нагрузки

Рисунок 5: Открытие мастера создания нового кластера NLB

В « Новый кластер: Подключиться » введите имя сервера ADFS, на котором вы в данный момент вошли в систему, затем нажмите « Подключиться ».

Выберите имя интерфейса из списка и нажмите « Далее ».

Примечание:
В этой серии статей я настрою Windows NLB в одноадресном режиме, поэтому у меня есть только один интерфейс, подключенный к серверу.

Рисунок 6: Указание имени первого узла и связанного с ним интерфейса

На странице « Новый кластер: параметры хоста » оставьте значения по умолчанию как есть и нажмите « Далее ».

Рисунок 7: Страница параметров хоста

На странице « Новый кластер: IP-адреса кластера » нажмите « Добавить ».

Рисунок 8: Добавление виртуального IP-адреса в кластер NLB

Теперь введите IP-адреса (виртуальные IP-адреса), которые должны принимать входящие сеансы для кластера Windows NLB. Когда закончите, нажмите « ОК » и « Далее ».

Рисунок 9: Виртуальный IP-адрес

На странице « Новый кластер: Параметры кластера » введите полное доменное имя для Windows NLB в текстовое поле « Полное интернет-имя », а затем выберите режим работы кластера.

В этой серии статей мы используем « sts.office365lab.dk » в качестве полного доменного имени и будем запускать Windows NLB в одноадресном режиме.

Нажмите « Далее ».

Рисунок 10: Указание полного интернет-имени и режима работы кластера

На странице « Новый кластер: правила портов » настройте кластер NLB для прослушивания только порта 443/TCP.

Нажмите « Готово ».

Рисунок 11: Правила порта

Теперь кластер NLB настроен, но только с одним узлом.

Рисунок 12: Кластер NLB создан

Чтобы добавить другой прокси-сервер ADFS в качестве узла, щелкните правой кнопкой мыши имя кластера и выберите « Добавить хост в кластер » в контекстном меню. На странице « Добавить хост в кластер: подключение » введите имя другого прокси-сервера ADFS и нажмите « Подключиться ». Выберите указанный интерфейс и нажмите « Далее ».

Рисунок 13: Указание имени и интерфейса другого узла

Оставьте значения по умолчанию и нажмите « Далее ».

Рисунок 14: Параметры хоста

Нажмите « Готово ».

Рисунок 15: Правила порта

Через некоторое время другой узел был добавлен в кластер NLB.

Рис. 16. Кластер NLB теперь включает два узла

Итак, несмотря на то, что теперь у нас есть набор NLB-кластеров с sts.office365lab.dk, связанным с указанным виртуальным IP-адресом, трафик, попадающий в sts.office365lab.dk, не может быть направлен в NLB-кластер, поскольку полное доменное имя не существует во внешнем DNS.

Итак, давайте откроем диспетчер DNS на контроллере домена в лесу Active Directory и добавим новую запись узла (A-запись).

Рисунок 17: Создание записи DNS во внешнем DNS

Назовите его « sts », а затем введите общедоступный IP-адрес, который перенаправляет трафик на виртуальный IP-адрес, который был установлен при создании кластера NLB.

Добавление «sts.office365.dk» в файл hosts на прокси-серверах ADFS

Поскольку прокси-серверы ADFS были настроены с тем же виртуальным именем (sts.office365lab.dk), что и серверы ADFS во внутренней сети, нам необходимо убедиться, что, когда прокси-серверы ADFS будут направлять трафик 443 на «sts. office365lab.dk», чтобы он направлялся на серверы ADFS во внутренней сети. Простой способ добиться этого — добавить «sts.office365lab.dk» в локальный файл hosts на каждом прокси-сервере ADFS, указывающем на виртуальный IP-адрес серверов ADFS во внутренней сети.

Рисунок 18: Добавление «sts.office365lab.dk» в файл hosts на прокси-серверах ADFS

После добавления «sts.office365lab.dk» в файл hosts на обоих прокси-серверах ADFS откройте командную строку и введите «nbtstat –R», чтобы очистить таблицу имен удаленного кэша NBT, а затем попробуйте пропинговать «sts.office365lab.dk». ». Теперь это должно разрешить виртуальный IP-адрес, настроенный на серверах ADFS во внутренней сети.

Рис. 19. «sts.office365lab.dk» преобразуется в виртуальный IP-адрес, настроенный на серверах ADFS во внутренней сети.

Включить спуфинг MAC-адресов на виртуальных машинах Hyper-V

В этой серии статей все серверы, включая прокси-серверы ADFS, основаны на виртуальных машинах в среде Hyper-V. Это означает, что нам нужно включить подмену MAC-адресов на интерфейсе для серверов, участвующих в качестве узлов в NLB-кластере, работающем в одноадресном режиме. Для этого выключите каждый узел, а затем откройте страницу свойств для каждой соответствующей виртуальной машины. На странице свойств выберите виртуальный сетевой адаптер, затем установите флажок « Включить подмену MAC-адресов ».

Рисунок 20: Включение подмены MAC-адресов

Теперь снова запустите каждый узел кластера.

На этом завершается часть 4 этой статьи, состоящей из нескольких частей, в которой я объясняю, как настроить гибридное развертывание Exchange с последующим переходом на Office 365 (Exchange Online).