Использование виртуальной машины Microsoft Azure в качестве следящего сервера DAG

Exchange Server 2013 позволяет настраивать базы данных почтовых ящиков в группе обеспечения доступности базы данных (DAG) для автоматической отработки отказа центра обработки данных. Для реализации этой конфигурации требуются три отдельных физических местоположения: два для размещения центров обработки данных для серверов почтовых ящиков и одно для размещения следящего сервера для группы DAG. Организации, у которых имеется только два физических местоположения, также могут воспользоваться преимуществами автоматической отработки отказа центра обработки данных благодаря использованию виртуальной машины с файловым сервером Microsoft Azure в качестве следящего сервера группы DAG.

В этой статье основное внимание уделяется размещению следящего сервера группы DAG в Microsoft Azure и предполагается, что вы знакомы принципами устойчивости сайта и у вас уже имеется полнофункциональная инфраструктура DAG, объединяющая два центра обработки данных. Если вы еще настроили инфраструктуру группы обеспечения доступности баз данных, рекомендуем сначала ознакомиться с указанными ниже статьями.

Изменения в Microsoft Azure

Для этой конфигурации требуется многосайтовая сеть VPN Всегда была возможность подключить сеть организации к Microsoft Azure с помощью VPN-подключения типа "сеть-сеть". Однако в прошлом Azure обеспечивала поддержку только одного VPN-подключения типа "сеть-сеть". Поскольку для настройки DAG и ее следящего сервера в трех центрах обработки данных требовалось несколько VPN-подключений типа "сеть-сеть", размещение следящего сервера DAG на виртуальной машине Azure было изначально невозможно.

В июне 2014 г. в Microsoft Azure была реализована поддержка многосайтовой сети VPN, благодаря чему организации получили возможность подключить несколько центров обработки данных к одной и той же виртуальной сети Azure. Это изменение также позволило организациям с двумя центрами обработки данных более эффективно использовать Microsoft Azure в качестве третьего расположения для размещения следящих серверов DAG. Дополнительные сведения о функции многосайтовой сети VPN в Azure см. в статье Настройка многосайтовой сети VPN.

В данной конфигурации используются виртуальные машины Azure и многосайтовая сеть VPN для развертывания следящего сервера; облачный следящий сервер Azure не используется.

Следящий файловый сервер Microsoft Azure

Ниже приведен обзор использования виртуальной машины с файловым сервером Microsoft Azure в качестве следящего сервера DAG. Потребуются виртуальная сеть Azure, многосайтовая сеть VPN, объединяющая центры обработки данных с виртуальной сетью Azure, а также контроллер домена и файловый сервер, развернутые на виртуальных машинах Azure.

Существует техническая возможность использовать для этой цели лишь одну виртуальную машину Azure, а файловый ресурс-свидетель разместить на контроллере домена. Однако это приведет к ненужному повышению прав. Поэтому такая конфигурация не рекомендуется.

Первое, что нужно сделать для использования виртуальной машины Microsoft Azure для размещения следящего сервера DAG, это оформить подписку. Наилучший способ получить подписку Azure см. в статье Как приобрести Azure.

После приобретения подписки Azure необходимо выполнить указанные ниже действия.

Подготовьте виртуальную сеть Microsoft Azure

Настройте многосайтовую сеть VPN

Настройте виртуальные машины

Настройте следящий сервер DAG

Значительная часть инструкции в этой статье подразумевает использование конфигурации Microsoft Azure. Поэтому всякий раз используются ссылки на документацию по Azure, когда это применимо.

Предварительные требования

Два центра обработки данных, обеспечивающих поддержку развертывания высокой доступности Exchange и устойчивости сайта. См. Планирование высокой доступности и устойчивости сайтов для получения дополнительных сведений.

Общий IP-адрес, который не находится за пределами NAT для шлюзов VPN на каждом сайте

VPN-устройство на каждом сайте, совместимое с Microsoft Azure. Дополнительные сведения о совместимых устройствах см. в дополнительных сведениях о VPN-устройствах и параметрах IPSec/IKE для подключений VPN к сайту

Знакомство с основными понятиями DAG и управлением ею

Знакомство с Windows PowerShell

Этап 1. Подготовка виртуальной сети Microsoft Azure

Настройка сети Microsoft Azure является самой важной частью процесса развертывания. После завершения этого этапа у вас будет готовая полнофункциональная виртуальная сеть Azure, подключенная к двум центрам обработки данных через многосайтовую сеть VPN.

Регистрация DNS-серверов

Поскольку для данной конфигурации требуется разрешение имен между локальными серверами и виртуальными машинами Azure, необходимо настроить Azure для использования DNS-серверов. Разрешение имен для ресурсов в разделе Виртуальные сети Azure предоставляет обзор разрешения имен в Azure.

Выполните указанные ниже действия для регистрации DNS-серверов.

На портале Azure перейдите в раздел сети, а затем нажмите кнопку СОЗДАТЬ.

Щелкните СЕТЕВЫЕ СЛУЖБЫ> ВИРТУАЛЬНАЯ СЕТЬ> ЗАРЕГИСТРИРОВАТЬ DNS-СЕРВЕР.

Введите имя и IP-адрес DNS-сервера. Имя, указанное здесь, — логическое имя, используемое на портале управления. Оно не обязательно должно совпадать с фактическим именем DNS-сервера.

Повторите шаги 1-3 для других DNS-серверов, которые хотите добавить.

Регистрируемые DNS-серверы не используются методом циклического перебора. Виртуальные машины Azure будут использовать первый DNS-сервер, указанный в списке. Остальные дополнительные серверы будут использоваться только в том случае, если первый из них недоступен.

Повторите шаги 1-3, чтобы добавить IP-адрес, который будет использоваться для развертываемого в Microsoft Azure контроллера домена.

Создание объектов локальной сети в Azure

Затем следует выполнить указанные ниже действия, чтобы создать логические объекты сети, представляющие ваши центры обработки данных в Microsoft Azure.

На портале Azure перейдите в раздел сети, а затем нажмите кнопку СОЗДАТЬ.

Щелкните СЕТЕВЫЕ СЛУЖБЫ> ВИРТУАЛЬНАЯ СЕТЬ> ДОБАВИТЬ ЛОКАЛЬНУЮ СЕТЬ.

Введите имя первого сайта центра обработки данных и IP-адрес VPN-устройства на этом сайте. Этот IP-адрес должен быть статическим общим IP-адресом, который не находится за пределами NAT.

На следующем экране укажите IP-подсети для первого сайта.

Повторите шаги 1–4 для второго сайта.

Создание виртуальной сети Azure

Теперь выполните указанные ниже действия для создания виртуальной сети Azure, которая будет использоваться виртуальными машинами.

На портале Azure перейдите в раздел сети, а затем нажмите кнопку СОЗДАТЬ.

Щелкните СЕТЕВЫЕ СЛУЖБЫ> ВИРТУАЛЬНАЯ СЕТЬ> НАСТРАИВАЕМОЕ СОЗДАНИЕ.

На странице Сведения о виртуальной сети укажите имя виртуальной сети и выберите географическое расположение сети.

На странице DNS-серверы и подключение VPN убедитесь, что зарегистрированные ранее DNS-серверы перечислены как DNS-серверы.

В разделе ПОДКЛЮЧЕНИЕ ТИПА "СЕТЬ-СЕТЬ" установите флажок Настроить подключение VPN типа "сеть-сеть".

Не устанавливайте флажок Использование ExpressRoute , поскольку в этом случае в конфигурацию не удастся внести изменения, необходимые для настройки многосайтовой сети VPN.

В разделе ЛОКАЛЬНАЯ СЕТЬ выберите одну из двух настроенных локальных сетей.

На странице Адресное пространство виртуальной сети укажите диапазон IP-адресов, которые вы будете использовать для виртуальной сети Azure.

Контрольная точка: проверка конфигурации сети

На этом этапе в разделе сети должны отобразиться виртуальная сеть, настроенная в разделе ВИРТУАЛЬНЫЕ СЕТИ, локальные сайты в разделе ЛОКАЛЬНЫЕ СЕТИ и зарегистрированные DNS-серверы в разделе DNS-СЕРВЕРЫ.

Этап 2. Настройка многосайтовой сети VPN

Следующим шагом является установка VPN-шлюзов для локальных сайтов. Для этого необходимо выполнить указанные ниже действия.

Установите VPN-шлюз для одного из сайтов с помощью портала Azure.

Экспортируйте параметры конфигурации виртуальной сети.

Измените файл конфигурации для многосайтовой сети VPN.

Импортируйте обновленную конфигурацию сети Azure.

Запишите IP-адрес шлюза Azure и предварительные ключи.

Настройте локальные VPN-устройства.

Дополнительные сведения о настройке многосайтовой сети VPN в Azure см. в статье Настройка многосайтовой сети VPN.

Установка VPN-шлюза для своего первого сайта

При создании виртуального шлюза обратите внимание, что вы уже указали, что он будет подключен к первому локальному сайту. При переходе в панель мониторинга виртуальной сети вы увидите, что шлюз еще не создан.

Чтобы установить шлюз VPN на стороне Azure, см. в

Выполните только действия, указанные в разделе "Запустите шлюз виртуальной сети" этой статьи; сведения, содержащиеся в последующих разделах, не понадобятся.

Экспорт параметров конфигурации виртуальной сети

В настоящее время на портале управления Azure отсутствует возможность настроить многосайтовую сеть VPN. Для этой конфигурации необходимо экспортировать параметры конфигурации виртуальной сети в XML-файл, а затем изменить этот файл. Следуйте инструкциям в Create a virtual network (classic) с помощью порта Azure для экспорта параметров.

Изменение параметров конфигурации сети для многосайтовой сети VPN

Откройте экспортированный файл в любом редакторе XML. Подключения шлюза к локальным сайтам перечислены в разделе "ConnectionsToLocalNetwork". Найдите этот раздел в XML-файле. Этот раздел файла конфигурации будет выглядеть следующим образом (предполагается, что локальному сайту присвоено имя "Site A"):

Чтобы настроить второй сайт, добавьте в раздел "ConnectionsToLocalNetwork" другой раздел "LocalNetworkSiteRef". Этот раздел в обновленном файле конфигурации будет выглядеть следующим образом (предполагается, что второму локальному сайту присвоено имя "Site B"):

Сохраните обновленный файл параметров конфигурации.

Импорт параметров конфигурации виртуальной сети

Ссылка на второй сайт, которую вы добавили в файл конфигурации, запускает создание нового туннеля в Microsoft Azure. Импорт обновленного файла с помощью инструкций в Create a virtual network (classic) с помощью портала Azure. По завершении импорта на панели мониторинга виртуальной сети отобразятся подключения шлюза для обоих локальных сайтов.

Сохранение сведений об IP-адресе шлюза Azure и предварительных ключах

После импорта новых параметров конфигурации сети на панели мониторинга виртуальной сети отобразится IP-адрес шлюза Azure. Это IP-адрес, к которому будут подключаться VPN-устройства на обоих сайтах. Запишите этот IP-адрес для использования в будущем.

Также потребуется получить предварительные ключи IPsec/IKE для каждого созданного туннеля. Эти ключи и IP-адрес шлюза Azure потребуются для настройки локальных VPN-устройств.

Для получения предварительных ключей необходимо использовать PowerShell. Если вы не знакомы с порядком использования PowerShell для управления Azure, обратитесь к статье Справка по Azure PowerShell.

Используйте командлет Get-AzureVNetGatewayKey для извлечения предварительных ключей. Запустите этот командлет один раз для каждого туннеля. В следующем примере показаны команды, которые необходимо выполнить для извлечения ключей для туннелей между виртуальной сетью "Azure Site" и сайтами "Site A" и "Site B". В этом примере выходные данные сохраняются в отдельные файлы. Кроме того, можно направить эти ключи в другие командлеты PowerShell или использовать их в сценарии.

Настройка локальных VPN-устройств

Microsoft Azure предоставляет сценарии настройки для поддерживаемых VPN-устройств. Щелкните ссылку Загрузить скрипт VPN-устройства на панели мониторинга виртуальной сети для загрузки соответствующего сценария для своих VPN-устройств.

В загруженном сценарии будет находиться параметр конфигурации для первого сайта, который был указан при настройке виртуальной сети. Его можно использовать без изменений для настройки VPN-устройства для этого сайта. Например, если при создании виртуальной сети сайт "Site A" был указан как ЛОКАЛЬНАЯ СЕТЬ, сценарий VPN-устройства можно использовать для сайта "Site A". Однако его потребуется изменить, чтобы настроить VPN-устройство для сайта "Site B". В частности, необходимо обновить предварительный ключ в соответствии с ключом для второго сайта.

Например, если для сайтов используется VPN-устройство службы маршрутизации и удаленного доступа (RRAS), потребуется выполнить указанные ниже действия.

Откройте сценарий настройки в любом текстовом редакторе.

Найдите #Add S2S VPN interface раздел.

В этом разделе найдите команду Add-VpnS2SInterface. Убедитесь, что значение параметра SharedSecret совпадает с предварительно общим ключом для сайта, для которого настроено VPN-устройство.

Для других устройств могут потребоваться дополнительные проверки. Например, сценарии настройки для устройств Cisco устанавливают правила списка управления доступом с помощью диапазонов локальных IP-адресов. Прежде чем использовать сценарий настройки, необходимо просмотреть и проверить в нем все ссылки на локальный сайт.

Контрольная точка: проверка состояния VPN

На этом этапе оба сайта подключены к виртуальной сети Azure через VPN-шлюзы. Вы можете проверить состояние многосайтовой сети VPN, выполнив следующую команду в PowerShell.

Если оба туннеля работают, выходные данные этой команды будут выглядеть следующим образом:

Можно также проверить подключение, обратившись к панели мониторинга виртуальной сети на портале управления Azure. В столбце СОСТОЯНИЕ для обоих сайтов будет отображаться значение Подключено.

После успешного установления подключения может потребоваться несколько минут, чтобы изменения о состоянии подключения отразились на портале управления Azure.

Этап 3. Настройка виртуальных машин

Для этого развертывания необходимо создать как минимум две виртуальные машины в Microsoft Azure: контроллер домена и файловый сервер, который будет использоваться в качестве следящего сервера DAG.

Создание виртуальных машин для контроллера домена и файловых серверов с помощью инструкций в Quickstart: Создание виртуальной Windows на портале Azure. При указании параметров виртуальных машин убедитесь, что выбрана виртуальная сеть, которую вы создали для параметра РЕГИОН, ТЕРРИТОРИАЛЬНАЯ ГРУППА, ВИРТУАЛЬНАЯ СЕТЬ.

С помощью Azure PowerShell укажите предпочтительные IP-адреса для контроллера домена и файлового сервера. При указании предпочтительного IP-адреса для виртуальной машины его необходимо обновить, для чего потребуется перезапустить виртуальную машину. В примере ниже задаются IP-адреса для контроллера домена Azure-DC и файлового сервера Azure FSW, 10.0.0.10 и 10.0.0.11 соответственно.

Виртуальная машина с предпочтительным IP-адресом будет пытаться использовать этот адрес. Тем не менее, если этот адрес был назначен другой виртуальной машине, виртуальная машина с предпочтительным IP-адресом не запустится. Чтобы избежать подобных ситуаций, убедитесь, что используемый IP-адрес не назначен другой виртуальной машине. Дополнительные сведения см. в перенастройке частных IP-адресов для виртуальной машины с помощью портала Azure .

Подготовьте контроллер домена виртуальной машины в Azure в соответствии с используемыми в вашей организации стандартами.

Подготовьте необходимые компоненты для следящего сервера DAG Exchange.

Добавьте роль файлового сервера с помощью мастера добавления ролей и функций или комлета Install-WindowsFeature .

Добавьте универсальную группу безопасности доверенной подсистемы Exchange в группу локальных администраторов.

Контрольная точка: просмотр состояния виртуальной машины

На этом этапе виртуальные машины должны быть настроены и работать, а также должны иметь возможность обращаться к серверам в обоих локальных центрах обработки данных.

Убедитесь, что контроллер домена в Azure выполняет репликацию с локальных контроллеров домена.

Убедитесь, что к файловому серверу Azure можно обратиться по имени и установить с ним подключение по протоколу SMB с серверов Exchange.

Убедитесь, что к вашим серверам Exchange можно обратиться по имени с файлового сервера в Azure.

Этап 4. Настройка следящего сервера DAG

Наконец, необходимо настроить вашу DAG для использования нового следящего сервера. По умолчанию Exchange C:\DAGFileShareWitnesses в качестве пути свидетеля для обмена файлами на сервере свидетелей. Если используется пользовательский путь, также следует обновить следящий каталог для определенной общей папки.

Подключитесь к Командная консоль Exchange.

Выполните следующую команду для настройки следящего сервера для своих групп обеспечения доступности базы данных.

Дополнительные сведения см. в следующих статьях:

Контрольная точка: проверка файлового ресурса свидетеля DAG

На этом этапе вы уже настроили DAG для использования файлового сервера в Azure в качестве своего следящего сервера DAG. Выполните указанные ниже действия, чтобы проверить конфигурацию.

Проверьте конфигурацию DAG, выполнив следующую команду:

Убедитесь, что параметр WitnessServer задан на файловом сервере Azure, параметр WitnessDirectory задан в правильном пути, а параметр WitnessShareInUse показывает Primary.

Если DAG имеет 10 узлов, будет настроен свидетель обмена файлами. Проверка параметра свидетеля обмена файлами в свойствах кластера с помощью следующей команды. Значение параметра SharePath должно указать на файл-сервер и отобразить правильный путь.

Далее проверьте состояние ресурса кластера "File Share Witness", выстроив следующую команду. Состояние кластерного ресурса должно отображаться в Интернете.

Затем убедитесь, что общий ресурс успешно создан на файловом сервере. Для этого перейдите к папке в проводнике и к общим папкам в диспетчере серверов.