Развертывание AD FS с высоким уровнем доступности в нескольких регионах Azure с помощью диспетчера трафика Azure

• Применяется к:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

развертыванию AD FS в Azure , содержит пошаговые инструкции, с помощью которых вы можете развернуть в Azure простую инфраструктуру AD FS для вашей организации. В этой статье описаны дальнейшие действия по развертыванию AD FS в нескольких регионах Azure с помощью диспетчера трафика Azure. С помощью диспетчера трафика Azure вы можете создать для своей организации географически распространенную и высокопроизводительную инфраструктуру AD FS с высоким уровнем доступности, применяя различные методы маршрутизации в соответствии с требованиями инфраструктуры.

Инфраструктура AD FS высокого уровня доступности, развернутая в нескольких регионах, дает ряд преимуществ.

• Устраняется единая точка сбоя: диспетчер трафика Azure выполняет переключение на другие ресурсы в случае сбоя, сохраняя высокий уровень доступности инфраструктуры AD FS даже при сбое одного из центров обработки данных в любом регионе мира.
• Повышается производительность: описанное в этой статье развертывание позволяет создать инфраструктуру AD FS с высоким уровнем производительности, благодаря которой пользователи будут быстрее выполнять проверку подлинности.

Принципы дизайна

Здесь сохраняются те же принципы разработки, которые описаны в статье, посвященной развертыванию AD FS в Azure. На схеме выше показано простое расширение базового развертывания на другой географический регион. Ниже перечислены несколько аспектов, которые следует учесть при расширении развертывания на новый географический регион.

• Виртуальная сеть: в географическом регионе, в котором вы будете развертывать дополнительную инфраструктуру AD FS, необходимо создать новую виртуальную сеть. В приведенной выше схеме для каждого географического региона указана своя виртуальная сеть: Geo1 VNET и Geo2 VNET.
• Контроллеры домена и серверы AD FS в виртуальной сети для нового региона: мы рекомендуем развернуть в новом географическом регионе контроллеры домена, чтобы серверы AD FS из этого региона не обращались к контроллеру домена, размещенному в другой сети, размещенной в отдаленном регионе. Это повысит производительность системы.
• Учетные записи хранения: учетные записи хранения строго привязаны к региону. Чтобы развернуть компьютеры в новом географическом регионе, вам потребуются новые учетные записи хранения для этого региона.
• Группы безопасности сети: как и учетные записи хранения, группы безопасности сети нельзя использовать в другом географическом регионе. Поэтому необходимо создать в новом географическом регионе новые группы безопасности сети для подсетей INT и DMZ, аналогичные группам из первого географического региона.
• Имена DNS для общедоступных IP-адресов: диспетчер трафика может ссылаться на конечные точки только по имени DNS. Поэтому необходимо создать метки DNS для общедоступных IP-адресов внешних подсистем балансировки нагрузки.
• Диспетчер трафика Azure: диспетчер трафика Microsoft Azure позволяет управлять распределением пользовательского трафика между конечными точками службы в разных центрах обработки данных по всему миру. Диспетчер трафика Azure работает на уровне DNS. Он использует ответы DNS для перенаправления трафика конечных пользователей к глобально распределенным конечным точкам. Затем клиенты подключаются к этим конечным точкам напрямую. С различными параметрами маршрутизации производительности, взвешения и приоритета можно легко выбрать вариант маршрутизации, подходящий для потребностей вашей организации.
• Подключение между виртуальными сетями двух регионов: вам не потребуется наличие связи между самими виртуальными сетями. Поскольку в каждой виртуальной сети есть доступ к контроллерам домена и серверам AD FS и WAP, они могут работать без подключения между виртуальными сетями в разных регионах.

Действия по интеграции диспетчера трафика Azure

Развертывание AD FS в новом географическом регионе

Выполните шаги и рекомендации, описанные в статье, посвященной развертыванию AD FS в Azure , чтобы развернуть аналогичную топологию в новом географическом регионе.

Имена DNS для общедоступных IP-адресов балансировщиков нагрузки, подключенных к Интернету

Как упоминание выше, Диспетчер трафика Azure может ссылаться только на метки DNS в качестве конечных точек, поэтому важно создавать метки DNS для общедоступных IP-адресов внешних подсистем балансировки нагрузки. Ниже на снимке экрана показано, как настроить DNS-имя для общедоступного IP-адреса.

Развертывание диспетчера трафика Azure

Ниже описано, как создать профиль диспетчера трафика. Дополнительные сведения можно найти в статье Управление профилем диспетчера трафика Azure.

1. Создайте профиль диспетчера трафика и присвойте этому профилю уникальное имя. Имя профиля будет входить в DNS-имя и будет префиксом доменного имени для диспетчера трафика. Это имя (префикс) добавляется к имени домена .trafficmanager.net, чтобы создать DNS-имя для диспетчера трафика. На снимке экрана ниже вы видите, что для диспетчера трафика выбран префикс DNS "mysts" и в результате мы получили DNS-имя mysts.trafficmanager.net.

   

2. Метод маршрутизации трафика: в диспетчере трафика доступны три метода маршрутизации трафика.

   • Приоритет

   • Производительность

   • Взвешенный

     Для максимальной скорости ответа инфраструктуры AD FS рекомендуем выбрать метод Производительность. Но вы можете выбрать любой метод маршрутизации, который соответствует целям вашего развертывания. Выбор метода маршрутизации не влияет на функциональность AD FS. Дополнительные сведения см. в статье Методы маршрутизации трафика диспетчером трафика. На приведенном выше снимке экрана выбран метод Производительность.

3. Настройка конечных точек: на странице диспетчера трафика щелкните конечные точки и выберите "Добавить". Откроется страница добавления конечной точки, как на этом снимке экрана:

   

   Чтобы заполнить поля ввода, следуйте рекомендациям ниже:

   Тип: выберите здесь значение "Конечная точка Azure", поскольку мы будет указывать на общедоступный IP-адрес Azure.

   Имя: введите имя, которое вы выбрали для этой конечной точки. Это имя не имеет отношения к DNS-имени и не повлияет на записи DNS.

   Тип целевого ресурса: в качестве значения для этого свойства выберите "Общедоступный IP-адрес".

   Конечный ресурс: здесь будет указан список имен DNS, которые настроены в вашей подписке. Выберите имя DNS, которое соответствует настраиваемой конечной точке.

   Добавьте конечную точку для каждого географического региона, в который диспетчер трафика Azure должен направлять трафик. Дополнительные сведения и подробные инструкции по добавлению и (или) настройке конечных точек в диспетчере трафика см. в статье об управлении конечными точками.

4. Настройте пробу: щелкните "Настройка" на странице диспетчера трафика. На странице настройки необходимо изменить параметры монитора пробы на HTTP-порт 80 и относительный путь /adfs/probe

   

   Примечание.

   После настройки убедитесь, что конечная точка имеет статус ONLINE. Если все конечные точки находятся в состоянии "понижения", Диспетчер трафика Azure будет лучше всего пытаться маршрутизировать трафик, предполагая, что диагностика является неверным, и все конечные точки доступны.

5. Измените DNS-записи для диспетчера трафика Azure: служба федерации должна указывать на DNS-имя диспетчера трафика Azure через запись CNAME. Создайте запись CNAME в общедоступных записях DNS, чтобы все желающие подключиться к службе федерации обращались к диспетчеру трафика Azure.

   Например, чтобы служба федерации fs.fabidentity.com указывала на диспетчер трафика, создайте следующую DNS-запись:

   fs.fabidentity.com IN CNAME mysts.trafficmanager.net

Проверьте работу маршрутизации и входа в AD FS

Проверка маршрутизации

Проще всего проверить маршрутизацию с помощью проверки связи с DNS-именем службы федерации с любого компьютера из каждого географического региона. В зависимости от выбранного метода маршрутизации будут выбираться различные конечные точки. Выбранная конечная точка отобразится в результатах проверки связи. Например, если выбран метод маршрутизации "Производительность", будет выполняться обращение к ближайшей к региону клиента конечной точке. Ниже приведен снимок экрана с проверкой связи с клиентских компьютеров из двух разных регионов: Восточная Азия и западная часть США.

Проверка входа в AD FS

Самый простой способ проверить вход AD FS — использовать страницу IdpInitiatedSignon.aspx. Для этого необходимо включить IdpInitiatedSignOn в свойствах AD FS. Чтобы проверить установку AD FS, сделайте следующее:

1. Запустите указанный ниже командлет на сервере AD FS с помощью PowerShell, чтобы включить страницу входа: Set-AdfsProperties -EnableIdPInitiatedSignonPage $true.

2. С любого внешнего компьютера перейдите по адресу https://<yourfederationservicedns>/adfs/ls/IdpInitiatedSignon.aspx

3. Должна появиться страница AD FS, как показано ниже.

   

   Если вход будет выполнен успешно, отобразится сообщение об успешном выполнении, как показано ниже.

   

Дополнительные ссылки

• Развертывание AD FS в Azure
• Microsoft Azure Traffic Manager
• Методы маршрутизации трафика средствами диспетчера трафика

Следующие шаги

• Управление профилем диспетчера трафика Azure
• Добавление, отключение, включение и удаление конечных точек