使用 Azure 流量管理員在 Azure 中部署高可用性跨地區 AD FS
Azure 中的 AD FS 部署提供有關如何在 Azure 中為您的組織部署簡單 ADFS 基礎架構的逐步指導方針。 本文提供使用 Azure 流量管理員,在 Azure 中建立 AD FS 跨地理部署的後續步驟。 Azure 流量管理員可藉由使用各種路由方法,以符合基礎結構的不同需求,協助您為組織建立地理位置分散的高可用性和高效能 AD FS 基礎結構。
高可用性跨地理 AD FS 基礎結構可啟用:
- 消除單一失敗點:使用 Azure 流量管理員的容錯移轉功能,即使全球其中一個資料中心關閉,您仍可達成高可用性 AD FS 基礎結構
- 改善效能:您可以使用本文中建議的部署,提供高效能 AD FS 基礎結構,以協助使用者更快速地進行驗證。
設計原則
基本設計原則會與 Azure 中的 AD FS 部署一文中的設計原則一樣。 上圖顯示基本部署至另一個地理區域的簡單延伸。 以下是將部署擴充至新地理區域的一些重點
- 虛擬網路:您應該在想要部署其他 AD FS 基礎結構的地理區域中建立新的虛擬網路。 在上圖中,您會看到 Geo1 VNET 和 Geo2 VNET 作為每個地理區域中的兩個虛擬網路。
- 新地理 VNET 中的網域控制站和 AD FS 伺服器:建議在新地理區域中部署網域控制站,讓新區域中的 AD FS 伺服器不需要聯絡另一個遙遠網路的網域控制站來完成驗證,進而改善效能。
- 儲存體帳戶:儲存體帳戶與區域相關連。 由於您要在新地理區域中部署機器,因此您必須建立新的儲存體帳戶,才能用於該區域。
- 網路安全性群組:作為儲存體帳戶,在區域中建立的網路安全性群組不能用於另一個地理區域。 因此,您必須建立新的網路安全性群組,類似於新地理區域中 INT 和 DMZ 子網路的第一個地理區域。
- 公用 IP 位址的 DNS 標籤:Azure 流量管理員只能透過 DNS 標籤來參考端點。 因此,您必須為外部負載平衡器的公用 IP 位址建立 DNS 標籤。
- Azure 流量管理員:Microsoft Azure 流量管理員可讓您控制將使用者流量分散到世界各地的不同資料中心內執行的服務端點。 Azure 流量管理員可在 DNS 層級運作。 它會使用 DNS 回應將終端使用者流量導向至全域分散式端點。 接著,用戶端會直接連線到這些端點。 透過效能、加權和優先順序的不同路由選項,您可以輕鬆地選擇最適合您組織需求的路由選項。
- 兩個區域之間的 V-net 對 V-net 連線:您不需要在虛擬網路本身之間連線。 由於每個虛擬網路都可以存取網域控制站,而且本身有 AD FS 和 WAP 伺服器,因此它們可以在不同區域中的虛擬網路之間沒有任何連線的情況下運作。
整合 Azure 流量管理員的步驟
在新地理區域中部署 AD FS
請遵循 Azure 中 AD FS 部署中的步驟和指導方針,在新地理區域中部署相同的拓撲。
網際網路取向 (公用) 負載平衡器之公用 IP 位址的 DNS 標籤
如上所述,Azure 流量管理員只能將 DNS 標籤作為端點,因此請務必為外部負載平衡器的公用 IP 位址建立 DNS 標籤。 以下螢幕擷取畫面顯示如何設定公用 IP 位址的 DNS 標籤。
部署 Azure 流量管理員
請遵循下列步驟來建立流量管理員設定檔。 如需詳細資訊,另請參閱管理 Azure 流量管理員設定檔。
建立流量管理員設定檔:為流量管理員設定檔提供唯一的名稱。 此設定檔名稱是 DNS 名稱的一部分,可作為流量管理員網域名稱標籤的前置詞。 名稱/前置詞會新增至 .trafficmanager.net,為您的流量管理員建立 DNS 標籤。 下列螢幕擷取畫面顯示流量管理員 DNS 前置詞設定為 mysts,產生的 DNS 標籤將會是 mysts.trafficmanager.net。
流量路由方法:流量管理員中有三個可用的路由選項:
優先順序
績效
加權
效能是達成高度回應 AD FS 基礎結構的建議選項。 不過,您可以選擇最適合部署需求的任何路由方法。 AD FS 功能不受選取的路由選項影響。 如需詳細資訊,請參閱流量管理員流量路由方法。 在上述範例螢幕擷取畫面中,您可以看到已選取的效能方法。
設定端點:在流量管理員頁面中,按一下端點,然後選取 [新增]。 這會開啟 [新增端點] 頁面,如以下螢幕擷取畫面所示
針對不同的輸入,請遵循下列指導方針:
類型:選取 Azure 端點,因為我們將指向 Azure 公用 IP 位址。
名稱:建立您想要與端點建立關聯的名稱。 這不是 DNS 名稱,而且不會影響 DNS 記錄。
目標資源類型:選取 [公用 IP 位址] 作為此屬性的值。
目標資源:此選項可讓您從訂用帳戶下可用的不同 DNS 標籤中選擇。 選擇對應至您要設定之端點的 DNS 標籤。
針對您希望 Azure 流量管理員將流量路由傳送至的每個地理區域新增端點。 如需如何在流量管理員中新增/設定端點的詳細資訊和詳細步驟,請參閱新增、停用、啟用或刪除端點
設定探查:在流量管理員頁面中,按一下 [設定]。 在設定頁面中,您必須將監視設定變更為在 HTTP 連接埠 80 和相對路徑 /adfs/probe 探查
注意
確定設定完成之後,端點的狀態為 ONLINE。 如果所有端點都處於「降級」狀態,假設診斷不正確且所有端點皆可連線,Azure 流量管理員會盡最大努力嘗試路由傳送流量。
修改 Azure 流量管理員的 DNS 記錄:您的同盟服務應該是 Azure 流量管理員 DNS 名稱的 CNAME。 在公用 DNS 記錄中建立 CNAME,讓嘗試連線到同盟服務的人員實際連線 Azure 流量管理員。
例如,若要將同盟服務 fs.fabidentity.com 指向流量管理員,您必須將 DNS 資源記錄更新為下列:
fs.fabidentity.com IN CNAME mysts.trafficmanager.net
測試路由和 AD FS 登入
路由測試
路由的基本測試是嘗試從每個地理區域中的電腦 Ping 同盟服務 DNS 名稱。 根據選擇的路由方法,其實際 Ping 的端點將會反映在 Ping 顯示中。 例如,如果您選取效能路由,則會到達最接近用戶端區域的端點。 以下是兩部不同區域用戶端電腦的兩個 Ping 快照集,一個位於東亞區域,另一部位於美國西部。
AD FS 登入測試
測試 AD FS 最簡單的方式是使用 IdpInitiatedSignon.aspx 頁面。 若要能夠這麼做,必須在 AD FS 屬性上啟用 IdpInitiatedSignOn。 請遵循下列步驟來驗證 AD FS 設定
使用 PowerShell 在 AD FS 伺服器上執行下列 Cmdlet,將其設定為已啟用。 Set-AdfsProperties -EnableIdPInitiatedSignonPage $true
從任何外部電腦存取
https://<yourfederationservicedns>/adfs/ls/IdpInitiatedSignon.aspx
您應該會看到 AD FS 頁面,如下所示:
並在成功登入時,它會為您提供成功訊息,如下所示: