Azure 階段 2 中的 SharePoint 內部網路伺服器陣列:設定網域控制站
適用於:
Subscription Edition SharePoint in Microsoft 365
在 Azure 基礎結構服務中部署僅限內部網路之 SharePoint Server 2016 伺服器陣列的這個階段中,您會在 Azure 虛擬網路 (VNet) 中設定兩個複本網域控制站。 然後即可在 VNet 中驗證 SharePoint 伺服器陣列的用戶端 Web 要求,而非透過站對站的 VPN 或 ExpressRoute 連線將驗證流量傳送至內部部署網路。
注意事項
SharePoint Server 2016 也支援使用 Microsoft Entra Domain Services 來取代以網域複本執行的虛擬機。 不過,此部署指南這次只說明如何使用虛擬機器式的複本網域控制站。
您必須先完成此階段,才可繼續 Azure 中的 SharePoint 內部網路伺服器陣列階段 3:設定 SQL Server 基礎結構。 如需所有階段,請參閱 在 Azure 中使用 SQL Server Always On 可用性群組部署 SharePoint Server 。
在 Azure 中建立網域控制站虛擬機器
首先,您必須填寫表格 M 的虛擬機器名稱欄,然後依需求在大小下限欄中修改虛擬機器大小。
| 項目 | 虛擬機器名稱 | 圖庫影像 | 大小下限 | 儲存類型 |
|---|---|---|---|---|
| 1. |
(第一個域控制器,例如 DC1) |
Windows Server 2016 Datacenter |
Standard_D2 |
StandardLRS |
| 2. |
(第二個域控制器,例如 DC2) |
Windows Server 2016 Datacenter |
Standard_D2 |
StandardLRS |
| 3. |
SQL Server 計算機 (空白行實例 3 的影像,例如 SQL1) |
Microsoft SQL Server 2016 Enterprise - Windows Server 2016 |
Standard_DS4 |
PremiumLRS |
| 4. |
(第二部 SQL Server 計算機,例如 SQL2) |
Microsoft SQL Server 2016 Enterprise - Windows Server 2016 |
Standard_DS4 |
PremiumLRS |
| 5. |
(多數節點見證的影像,例如 MN1) |
Windows Server 2016 Datacenter |
Standard_D2 |
StandardLRS |
| 6. |
(第一個 SharePoint 應用程式和搜尋伺服器,範例 APP1) |
Microsoft SharePoint Server 2016 試用版 - Windows Server 2012 R2 |
Standard_DS4 |
PremiumLRS |
| 7. |
(第二個 SharePoint 應用程式和搜尋伺服器,範例 APP2) |
Microsoft SharePoint Server 2016 試用版 - Windows Server 2012 R2 |
Standard_DS4 |
PremiumLRS |
| 8. |
(第一個 SharePoint 前端和分散式快取伺服器,例如 WEB1) |
Microsoft SharePoint Server 2016 試用版 - Windows Server 2012 R2 |
Standard_DS4 |
PremiumLRS |
| 9. |
(第二個 SharePoint 前端和分散式快取伺服器,例如 WEB2) |
Microsoft SharePoint Server 2016 試用版 - Windows Server 2012 R2 |
Standard_DS4 |
PremiumLRS |
表格 M - Azure 中 SharePoint Server 2016 內部網路伺服器陣列的虛擬機器
如需虛擬機器大小的完整清單,請參閱虛擬機器大小。
使用 Azure PowerShell 命令區塊建立兩個網域控制站的虛擬機器。 指定變數的值,移除 < 和 > 字元。 請注意,此 Azure PowerShell 命令區塊會使用下列表格中的值︰
表格 M,適用於虛擬機器
表格 R,適用於資源群組
表格 V,適用於虛擬網路設定
表格 S,適用於子網路
表格 I,適用於靜態 IP 位址
表格 A,適用於可用性設定組
請記得您在 Azure 階段 1 中的 SharePoint 內部網路伺服器陣列:設定 Azure 中定義的表格 R、V、S、I 和 A。
注意事項
[!附註] 下列命令集會使用最新版的 Azure PowerShell。 請參閱開始使用 Azure PowerShell Cmdlet。
當您已經提供所有正確的值時,在 Azure PowerShell 提示中或本機電腦的 PowerShell 整合式指令碼環境 (ISE) 中執行結果區塊。
# Set up variables common to both virtual machines
$locName="<Azure location of the SharePoint farm>"
$vnetName="<Table V - Item 1 - Value column>"
$subnetName="<Table S - Item 1 - Value column>"
$avName="<Table A - Item 1 - Availability set name column>"
$rgNameTier="<Table R - Item 1 - Resource group name column>"
$rgNameInfra="<Table R - Item 5 - Resource group name column>"
$rgName=$rgNameInfra
$vnet=Get-AzVirtualNetwork -Name $vnetName -ResourceGroupName $rgName
$subnet=Get-AzVirtualNetworkSubnetConfig -VirtualNetwork $vnet -Name $subnetName
$rgName=$rgNameTier
$avSet=Get-AzAvailabilitySet -Name $avName -ResourceGroupName $rgName
# Create the first domain controller
$vmName="<Table M - Item 1 - Virtual machine name column>"
$vmSize="<Table M - Item 1 - Minimum size column>"
$staticIP="<Table I - Item 1 - Value column>"
$diskStorageType="<Table M - Item 1 - Storage type column>"
$diskSize=<size of the extra disk for Windows Server AD data in GB>
$nic=New-AzNetworkInterface -Name ($vmName +"-NIC") -ResourceGroupName $rgName -Location $locName -Subnet $subnet -PrivateIpAddress $staticIP
$vm=New-AzVMConfig -VMName $vmName -VMSize $vmSize -AvailabilitySetId $avset.Id
$cred=Get-Credential -Message "Type the name and password of the local administrator account for the first domain controller."
$vm=Set-AzVMOperatingSystem -VM $vm -Windows -ComputerName $vmName -Credential $cred -ProvisionVMAgent -EnableAutoUpdate
$vm=Set-AzVMSourceImage -VM $vm -PublisherName MicrosoftWindowsServer -Offer WindowsServer -Skus 2016-Datacenter -Version "latest"
$vm=Add-AzVMNetworkInterface -VM $vm -Id $nic.Id
$vm=Set-AzVMOSDisk -VM $vm -Name ($vmName +"-OS") -DiskSizeInGB 128 -CreateOption FromImage -StorageAccountType $diskStorageType
$diskConfig=New-AzDiskConfig -AccountType $diskStorageType -Location $locName -CreateOption Empty -DiskSizeGB $diskSize
$dataDisk1=New-AzDisk -DiskName ($vmName + "-DataDisk1") -Disk $diskConfig -ResourceGroupName $rgName
$vm=Add-AzVMDataDisk -VM $vm -Name ($vmName + "-DataDisk1") -CreateOption Attach -ManagedDiskId $dataDisk1.Id -Lun 1
New-AzVM -ResourceGroupName $rgName -Location $locName -VM $vm
# Create the second domain controller
$vmName="<Table M - Item 2 - Virtual machine name column>"
$vmSize="<Table M - Item 2 - Minimum size column>"
$staticIP="<Table I - Item 2 - Value column>"
$diskStorageType="<Table M - Item 2 - Storage type column>"
$diskSize=<size of the extra disk for Windows Server AD data in GB>
$nic=New-AzNetworkInterface -Name ($vmName +"-NIC") -ResourceGroupName $rgName -Location $locName -Subnet $subnet -PrivateIpAddress $staticIP
$vm=New-AzVMConfig -VMName $vmName -VMSize $vmSize -AvailabilitySetId $avset.Id
$cred=Get-Credential -Message "Type the name and password of the local administrator account for the second domain controller."
$vm=Set-AzVMOperatingSystem -VM $vm -Windows -ComputerName $vmName -Credential $cred -ProvisionVMAgent -EnableAutoUpdate
$vm=Set-AzVMSourceImage -VM $vm -PublisherName MicrosoftWindowsServer -Offer WindowsServer -Skus 2016-Datacenter -Version "latest"
$vm=Add-AzVMNetworkInterface -VM $vm -Id $nic.Id
$vm=Set-AzVMOSDisk -VM $vm -Name ($vmName +"-OS") -DiskSizeInGB 128 -CreateOption FromImage -StorageAccountType $diskStorageType
$diskConfig=New-AzDiskConfig -AccountType $diskStorageType -Location $locName -CreateOption Empty -DiskSizeGB $diskSize
$dataDisk1=New-AzDisk -DiskName ($vmName + "-DataDisk1") -Disk $diskConfig -ResourceGroupName $rgName
$vm=Add-AzVMDataDisk -VM $vm -Name ($vmName + "-DataDisk1") -CreateOption Attach -ManagedDiskId $dataDisk1.Id -Lun 1
New-AzVM -ResourceGroupName $rgName -Location $locName -VM $vm
注意事項
[!附註] 由於這些虛擬機器是用於內部網路應用程式,並不會指派公用 IP 位址或 DNS 網域名稱標籤,也不會曝露在網際網路上。 不過,這也表示您無法透過 Azure 入口網站與虛擬機器連線。 當您檢視虛擬機器的屬性時,無法使用 [連線] 選項。 請使用遠端桌面連線附屬應用程式或另一個遠端桌面工具,透過使用其私人 IP 位址或內部網路 DNS 名稱來與虛擬機器連線。
設定第一個網域控制站
使用您所選的遠端桌面用戶端,建立第一個網域控制站虛擬機器的遠端桌面連線。 請使用其內部網路 DNS 或本機管理員帳戶的電腦名稱和認證。
下一步,您需要從 Windows PowerShell 命令提示字元中使用以下命令,來將額外的資料磁碟新增至第一個網域控制站。
Get-Disk | Where PartitionStyle -eq "RAW" | Initialize-Disk -PartitionStyle MBR -PassThru | New-Partition -AssignDriveLetter -UseMaximumSize | Format-Volume -FileSystem NTFS -NewFileSystemLabel "WSAD Data"
下一步,使用 ping 命令來對組織網路上的資源名稱和 IP 位址執行 Ping,以測試第一個網域控制站對組織網路上位置的連線狀況。
此程序可確保 DNS 名稱解析運作正常 (虛擬機器已透過內部部署 DNS 伺服器正確設定),而且封包可在跨單位虛擬網路間傳送。 如果此基本測試失敗,請連絡您的 IT 部門,以針對 DNS 名稱解析和封包傳遞問題進行移難排解。
下一步,從第一個網域控制站上的 Windows PowerShell 命令提示字元,執行下列命令:
$domname="<DNS domain name of the domain for which this computer will be a domain controller, such as corp.contoso.com>"
$cred = Get-Credential -Message "Enter credentials of an account with permission to join a new domain controller to the domain"
Install-WindowsFeature AD-Domain-Services -IncludeManagementTools
Install-ADDSDomainController -InstallDns -DomainName $domname -DatabasePath "F:\NTDS" -SysvolPath "F:\SYSVOL" -LogPath "F:\Logs" -Credential $cred
系統會提示您提供網域管理員帳戶的認證。 電腦將會重新啟動。
設定第二個網域控制站
使用您所選的遠端桌面用戶端,建立第二個網域控制站虛擬機器的遠端桌面連線。 請使用其內部網路 DNS 或本機管理員帳戶的電腦名稱和認證。
下一步,您需要從 Windows PowerShell 命令提示字元中使用以下命令,來將額外的資料磁碟新增至第二個網域控制站。
Get-Disk | Where PartitionStyle -eq "RAW" | Initialize-Disk -PartitionStyle MBR -PassThru | New-Partition -AssignDriveLetter -UseMaximumSize | Format-Volume -FileSystem NTFS -NewFileSystemLabel "WSAD Data"
接著,執行下列命令:
$domname="<DNS domain name of the domain for which this computer will be a domain controller, such as corp.contoso.com>"
$cred = Get-Credential -Message "Enter credentials of an account with permission to join a new domain controller to the domain"
Install-WindowsFeature AD-Domain-Services -IncludeManagementTools
Install-ADDSDomainController -InstallDns -DomainName $domname -DatabasePath "F:\NTDS" -SysvolPath "F:\SYSVOL" -LogPath "F:\Logs" -Credential $cred
系統會提示您提供網域管理員帳戶的認證。 電腦將會重新啟動。
下一步,您需要更新虛擬網路的 DNS 伺服器,如此一來,此 Azure 會指派兩個新的網域控制站 IP 位址給虛擬機器,以便使用虛擬機器的 DNS 伺服器。
$rgName="<Table R - Item 4 - Resource group name column>"
$adrgName="<Table R - Item 1 - Resource group name column>"
$locName="<your Azure location>"
$vnetName="<Table V - Item 1 - Value column>"
$onpremDNSIP1="<Table D - Item 1 - DNS server IP address column>"
$onpremDNSIP2="<Table D - Item 2 - DNS server IP address column>"
$staticIP1="<Table I - Item 1 - Value column>"
$staticIP2="<Table I - Item 2 - Value column>"
$firstDCName="<Table M - Item 1 - Virtual machine name column>"
$secondDCName="<Table M - Item 2 - Virtual machine name column>"
$vnet=Get-AzVirtualNetwork -ResourceGroupName $rgName -Name $vnetName
$vnet.DhcpOptions.DnsServers.Add($staticIP1)
$vnet.DhcpOptions.DnsServers.Add($staticIP2)
$vnet.DhcpOptions.DnsServers.Remove($onpremDNSIP1)
$vnet.DhcpOptions.DnsServers.Remove($onpremDNSIP2)
Set-AzVirtualNetwork -VirtualNetwork $vnet
Restart-AzVM -ResourceGroupName $adrgName -Name $firstDCName
Restart-AzVM -ResourceGroupName $adrgName -Name $secondDCName
請注意,我們會重新啟動兩個網域控制站,所以這兩個控制站不會像 DNS 伺服器一樣,透過內部部署 DNS 伺服器來設定。 因為這兩個控制站本身就是 DNS 伺服器,當系統提示其作為網域控制站時,這些控制站會自動透過內部部署 DNS 伺服器設定為 DNS 轉寄站。
下一步,我們需要建立一個 Active Directory 複寫站台,以確保 Azure 的虛擬網路中的伺服器會使用本機網域控制站。 請使用網域管理員帳戶登入主要網域控制站,並從管理員層級的 Windows PowerShell 提示執行下列命令:
$vnet="<Table V - Item 1 - Value column>"
$vnetSpace="<Table V - Item 5 - Value column>"
New-ADReplicationSite -Name $vnet
New-ADReplicationSubnet -Name $vnetSpace -Site $vnet
設定 SharePoint 伺服器陣列帳戶和權限
SharePoint 伺服器陣列需要下列使用者帳戶︰
sp_farm:用於管理 SharePoint 伺服器陣列的使用者帳戶。
sp_farm_db:擁有 SQL Server 執行個體之系統管理員權限的使用者帳戶。
sp_install:擁有安裝角色和功能所需之網域系統管理權限的使用者帳戶。
sqlservice:可用來執行 SQL Server 執行個體的使用者帳戶。
使用域控制器為其成員之網域的網域系統管理員帳戶登入任何計算機、開啟系統管理員層級的 Windows PowerShell 命令提示字元,然後 一次 執行一個命令:
New-ADUser -SamAccountName sp_farm -AccountPassword (read-host "Set user password" -assecurestring) -name "sp_farm" -enabled $true -PasswordNeverExpires $true -ChangePasswordAtLogon $false
New-ADUser -SamAccountName sp_farm_db -AccountPassword (read-host "Set user password" -assecurestring) -name "sp_farm_db" -enabled $true -PasswordNeverExpires $true -ChangePasswordAtLogon $false
New-ADUser -SamAccountName sp_install -AccountPassword (read-host "Set user password" -assecurestring) -name "sp_install" -enabled $true -PasswordNeverExpires $true -ChangePasswordAtLogon $false
New-ADUser -SamAccountName sqlservice -AccountPassword (read-host "Set user password" -assecurestring) -name "sqlservice" -enabled $true -PasswordNeverExpires $true -ChangePasswordAtLogon $false
針對每個命令,系統會提示您輸入密碼。 請記錄這些帳戶名稱及密碼,然後將它們儲存在安全的位置。
接著執行下列步驟,將更多帳戶屬性新增到新的使用者帳戶。
Click Start, type Active Directory Users, and then click Active Directory Users and Computers.
In the tree pane, open your domain, and then click Users.
In the contents pane, right-click sp_install, and then click Add to a group.
In the Select Groups dialog, type domain admins, and then click OK twice.
In the dialog, click View and click Advanced Features. The option lets you see all hidden containers and hidden tabs in the property windows for Active Directory objects.
Right-click your domain name and click Properties.
In the Properties dialog, click the Security tab, and then click the Advanced button.
In the Advanced Security settings for window, click Add.
In the Permission Entry for window, click Select a principal.
In the text box, type \sp_install, and then click OK.
Select Allow for Create computer objects, and then click OK three times.
以下是成功完成此階段的設定結果 (包含電腦名稱的預留位置)。
階段 2:高可用性 SharePoint Server 2016 伺服器陣列的網域控制站。
下一步
使用 Azure 中的 SharePoint 內部網路伺服器陣列階段 3:設定 SQL Server 基礎結構以繼續設定此工作負載。
另請參閱
其他資源
使用 SQL Server AlwaysOn 可用性群組在 Azure 中部署 SharePoint Server
Microsoft Azure 中的 SharePoint Server