Utilizzo di una macchina virtuale Microsoft Azure come server di controllo del DAG
Si applica a: Exchange Server 2013
Exchange Server 2013 consente di configurare i database delle cassette postali in un gruppo di disponibilità del database per il failover automatico del data center. Questa configurazione richiede tre posizioni fisiche distinte: due data center per i server cassette postali e una terza posizione per posizionare il server di controllo del mirroring per il dag. Le organizzazioni con solo due posizioni fisiche ora possono anche sfruttare il failover automatico del data center usando una macchina virtuale del file server di Microsoft Azure per fungere da server di controllo del dag.
Questo articolo è incentrato sul posizionamento del server di controllo del dag in Microsoft Azure e presuppone di avere familiarità con i concetti di resilienza del sito e di avere già un'infrastruttura dag completamente funzionante che si estende su due data center. Se l'infrastruttura del gruppo di disponibilità del database non è già configurata, è consigliabile esaminare prima di tutto gli articoli seguenti:
Disponibilità elevata e resilienza del sito
Ruolo Gruppi di disponibilità del database (DAG)
Pianificazione della disponibilità elevata e della resilienza del sito
Modifiche a Microsoft Azure
Questa configurazione richiede una VPN multisito. È sempre stato possibile connettere la rete dell'organizzazione a Microsoft Azure usando una connessione VPN da sito a sito. In passato, tuttavia, Azure supportava solo una singola VPN da sito a sito. Poiché la configurazione di un dag e del relativo server di controllo dei dati in tre data center richiedeva più VPN da sito a sito, inizialmente non era possibile posizionare il server di controllo del dag in una macchina virtuale di Azure.
Nel giugno 2014, Microsoft Azure ha introdotto il supporto VPN multisito, che ha consentito alle organizzazioni di connettere più data center alla stessa rete virtuale di Azure. Questa modifica ha anche consentito alle organizzazioni con due data center di usare Microsoft Azure come terza posizione per posizionare i server di controllo del dag. Per altre informazioni sulla funzionalità VPN multisito in Azure, vedere Configurare una VPN multisito.
Nota
Questa configurazione usa macchine virtuali di Azure e una VPN multisito per la distribuzione del server di controllo e non usa il server di controllo cloud di Azure.
Server di controllo del file server di Microsoft Azure
Il diagramma seguente offre una panoramica dell'uso di una macchina virtuale del file server di Microsoft Azure come server di controllo del dag. È necessaria una rete virtuale di Azure, una VPN multisito che connette i data center alla rete virtuale di Azure e un controller di dominio e un file server distribuiti nelle macchine virtuali di Azure.
Nota
È tecnicamente possibile usare una singola macchina virtuale di Azure a questo scopo e inserire la condivisione di controllo file nel controller di dominio. Tuttavia, questa configurazione comporta un'elevazione dei privilegi non necessaria. Pertanto, è consigliabile usare una singola macchina virtuale di Azure.
Server di controllo del dag in Microsoft Azure
La prima cosa da fare per usare una macchina virtuale di Microsoft Azure per il server di controllo del dag è ottenere una sottoscrizione. Per informazioni sul modo migliore per acquisire una sottoscrizione di Azure, vedere Come acquistare Azure .
Dopo aver creato la sottoscrizione di Azure, è necessario seguire questa procedura per:
- Preparare la rete virtuale di Microsoft Azure
- Configurare una VPN multisito
- Configurare le macchine virtuali
- Configurare il server di controllo del gruppo di disponibilità del database
Nota
Una parte significativa delle linee guida in questo articolo include la configurazione di Microsoft Azure. Pertanto, i collegamenti alla documentazione di Azure vengono usati quando applicabile.
Prerequisiti
Due data center in grado di supportare una distribuzione con disponibilità elevata e resilienza del sito di Exchange. Per altre informazioni, vedere Pianificazione della disponibilità elevata e della resilienza del sito.
Un indirizzo IP pubblico che non è dietro NAT per i gateway VPN in ogni sito
Un dispositivo VPN in ogni sito compatibile con Microsoft Azure. Per altre informazioni sui dispositivi compatibili, vedere Informazioni sui dispositivi VPN e sui parametri IPsec/IKE per le connessioni da sito a sito Gateway VPN
Familiarità con i concetti e la gestione del dag
Familiarità con Windows PowerShell
Fase 1: Preparare la rete virtuale di Microsoft Azure
La configurazione della rete di Microsoft Azure è la parte più cruciale del processo di distribuzione. Al termine di questa fase, è disponibile una rete virtuale di Azure completamente funzionante connessa ai due data center tramite una VPN multisito.
Registrare i server DNS
Poiché questa configurazione richiede la risoluzione dei nomi tra i server locali e le macchine virtuali di Azure, è necessario configurare Azure per usare i propri server DNS. L'articolo Risoluzione dei nomi per le risorse nelle reti virtuali di Azure offre una panoramica della risoluzione dei nomi in Azure.
Per registrare i server DNS, eseguire le operazioni seguenti:
Nella portale di Azure passare alle reti e quindi selezionare NUOVO.
Selezionare NETWORK SERVICESVIRTUAL NETWORKREGISTER DNS SERVER (SERVER DNS DI REGISTRAZIONE RETE VIRTUALE SERVIZI > DI RETE > VIRTUALE).
Digitare il nome e l'indirizzo IP per il server DNS. Il nome è un nome logico usato nel portale di gestione e non deve corrispondere al nome effettivo del server DNS.
Ripetere i passaggi da 1 a 3 per qualsiasi altro server DNS da aggiungere.
Nota
I server DNS registrati non vengono usati in modo round robin. Le macchine virtuali di Azure usano il primo server DNS elencato e usano eventuali server aggiuntivi solo se il primo non è disponibile.
Ripetere i passaggi da 1 a 3 per aggiungere l'indirizzo IP da usare per il controller di dominio in Microsoft Azure.
Creare oggetti di rete locali (locali) in Azure
Eseguire quindi le operazioni seguenti per creare oggetti di rete logici che rappresentano i data center in Microsoft Azure:
Nel portale di Azure, quindi passare alle reti e quindi selezionare NUOVO.
Selezionare RETE VIRTUALE SERVIZI>DI RETE>AGGIUNGI RETE LOCALE.
Digitare il nome del primo sito del data center e l'indirizzo IP del dispositivo VPN in tale sito. Questo indirizzo IP deve essere un indirizzo IP pubblico statico che non si trovi dietro NAT.
Nella schermata successiva specificare le subnet IP per il primo sito.
Ridiputare i passaggi da 1 a 4 per il secondo sito.
Creare la rete virtuale di Azure
A questo scopo, seguire questa procedura per creare una rete virtuale di Azure usata dalle macchine virtuali:
Nella portale di Azure passare alle reti e quindi selezionare NUOVO.
Selezionare NETWORK SERVICESVIRTUAL NETWORKCUSTOM CREATE (CREA PERSONALIZZATARETE VIRTUALE SERVIZI> DI RETE>).
Nella pagina Dettagli Rete virtuale specificare un nome per la rete virtuale e selezionare una posizione geografica per la rete.
Nella pagina Server DNS e connettività VPN verificare che i server DNS registrati in precedenza siano elencati come server DNS.
Selezionare la casella di controllo Configura una VPN da sito a sito in CONNETTIVITÀ DA SITO A SITO.
Importante
Non selezionare Usa ExpressRoute perché questa impostazione impedisce le modifiche di configurazione necessarie per configurare una VPN multisito.
In RETE LOCALE selezionare una delle due reti locali configurate.
Nella pagina spazi degli indirizzi Rete virtuale specificare l'intervallo di indirizzi IP da usare per la rete virtuale di Azure.
Checkpoint: esaminare la configurazione di rete
A questo punto, quando si passa alle reti, verrà visualizzata la rete virtuale configurata in RETI VIRTUALI, i siti locali in RETI LOCALI e i server DNS registrati in SERVER DNS.
Fase 2: Configurare una VPN multisito
Il passaggio successivo consiste nel stabilire i gateway VPN per i siti locali. Per eseguire questo passaggio, è necessario:
- Stabilire un gateway VPN per uno dei siti usando il portale di Azure.
- Esportare le impostazioni di configurazione della rete virtuale.
- Modificare il file di configurazione per la VPN multisito.
- Importare la configurazione di rete di Azure aggiornata.
- Registrare l'indirizzo IP del gateway di Azure e le chiavi precondivise.
- Configurare i dispositivi VPN locali.
Per altre informazioni sulla configurazione di una VPN multisito, vedere Configurare una VPN multisito.
Stabilire un gateway VPN per il primo sito
Quando si crea il gateway virtuale, è già stato specificato per connetterlo al primo sito locale. Quando si accede al dashboard della rete virtuale, è possibile notare che il gateway non è stato creato.
Per stabilire il gateway VPN sul lato Azure, vedere Gateway VPN.
Importante
Eseguire solo i passaggi descritti nella sezione "Avviare il gateway di rete virtuale" dell'articolo e non continuare con le sezioni successive.
Esportare le impostazioni di configurazione della rete virtuale
Il portale di gestione di Azure attualmente non consente di configurare una VPN multisito. Per questa configurazione, è necessario esportare le impostazioni di configurazione della rete virtuale in un file XML e quindi modificare tale file. Seguire le istruzioni riportate in Creare una rete virtuale (classica) usando la porta di Azure per esportare le impostazioni.
Modificare le impostazioni di configurazione di rete per la VPN multisito
Aprire il file esportato in qualsiasi editor XML. Le connessioni gateway ai siti locali sono elencate nella sezione "ConnectionsToLocalNetwork". Cercare il termine nel file XML per individuare la sezione . Questa sezione del file di configurazione è simile all'esempio seguente (il nome del sito di esempio creato per il sito locale è "Sito A").
<ConnectionsToLocalNetwork>
<LocalNetworkSiteRef name="Site A">
<Connection type="IPsec" />
</LocalNetworkSiteRef>
Per configurare il secondo sito, aggiungere un'altra sezione "LocalNetworkSiteRef" nella sezione "ConnectionsToLocalNetwork". La sezione nel file di configurazione aggiornato è simile all'esempio seguente (il nome del sito di esempio per il secondo sito locale è "Site B").
<ConnectionsToLocalNetwork>
<LocalNetworkSiteRef name="Site A">
<Connection type="IPsec" />
<LocalNetworkSiteRef name="Site B">
<Connection type="IPsec" />
</LocalNetworkSiteRef>
Salvare il file delle impostazioni di configurazione aggiornato.
Importare le impostazioni di configurazione della rete virtuale
Il secondo riferimento al sito aggiunto al file di configurazione attiva Microsoft Azure per creare un nuovo tunnel. Importare il file aggiornato usando le istruzioni in Creare una rete virtuale (classica) usando il portale di Azure. Dopo aver completato l'importazione, il dashboard della rete virtuale mostra le connessioni del gateway a entrambi i siti locali.
Registrare l'indirizzo IP del gateway di Azure e le chiavi precondivise
Dopo l'importazione delle nuove impostazioni di configurazione di rete, il dashboard della rete virtuale visualizza l'indirizzo IP per il gateway di Azure. I dispositivi VPN in entrambi i siti si connettono a questo indirizzo IP. Registrare questo indirizzo IP come riferimento.
È anche necessario ottenere le chiavi IPsec/IKE precondivise per ogni tunnel creato. Queste chiavi e l'indirizzo IP del gateway di Azure vengono usati per configurare i dispositivi VPN locali.
È necessario usare PowerShell per ottenere le chiavi precondivise. Se non si ha familiarità con l'uso di PowerShell per gestire Azure, vedere Azure PowerShell.
Usare il cmdlet Get-AzureVNetGatewayKey per estrarre le chiavi precondivise. Eseguire questo cmdlet una volta per ogni tunnel. L'esempio seguente illustra i comandi da eseguire per estrarre le chiavi per i tunnel tra la rete virtuale "Sito di Azure" e i siti "Sito A" e "Sito B". In questo esempio gli output vengono salvati in file separati. In alternativa, è possibile eseguire la pipeline di queste chiavi ad altri cmdlet di PowerShell o usarle in uno script.
Get-AzureVNETGatewayKey -VNetName "Azure Site" -LocalNetworkSiteName "Site A" > C:\Keys\KeysForTunnelToSiteA.txt
Get-AzureVNETGatewayKey -VNetName "Azure Site" -LocalNetworkSiteName "Site B" > C:\Keys\KeysForTunnelToSiteB.txt
Configurare i dispositivi VPN locali
Microsoft Azure fornisce script di configurazione del dispositivo VPN per i dispositivi VPN supportati. Selezionare il collegamento Scarica script dispositivo VPN nel dashboard della rete virtuale per lo script appropriato per i dispositivi VPN.
Lo script scaricato ha l'impostazione di configurazione per il primo sito configurato durante la configurazione della rete virtuale e può essere usato così come è per configurare il dispositivo VPN per tale sito. Ad esempio, se è stato specificato il sito A come RETE LOCALE al momento della creazione della rete virtuale, lo script del dispositivo VPN può essere usato per il sito A. Tuttavia, è necessario modificarlo per configurare il dispositivo VPN per il sito B. In particolare, è necessario aggiornare la chiave precondivisa in modo che corrisponda alla chiave per il secondo sito.
Ad esempio, se si usa un dispositivo VPN RRAS (Routing and Remote Access Service) per i siti, è necessario seguire questa procedura:
- Aprire lo script di configurazione in qualsiasi editor di testo.
- Trovare la
#Add S2S VPN interface
sezione . - Trovare il comando Add-VpnS2SInterface in questa sezione. Verificare che il valore per il parametro SharedSecret corrisponda alla chiave precondivisa per il sito per cui si sta configurando il dispositivo VPN.
Altri dispositivi potrebbero richiedere una maggiore verifica. Ad esempio, gli script di configurazione per i dispositivi Cisco impostano regole ACL usando gli intervalli di indirizzi IP locali. Prima di usarlo, è necessario esaminare e verificare tutti i riferimenti al sito locale nello script di configurazione.
Checkpoint: esaminare lo stato della VPN
A questo punto, entrambi i siti sono connessi alla rete virtuale di Azure tramite i gateway VPN. È possibile convalidare lo stato della VPN multisito eseguendo il comando seguente in PowerShell.
Get-AzureVnetConnection -VNetName "Azure Site" | Format-Table LocalNetworkSiteName, ConnectivityState
Se entrambi i tunnel sono attivi e in esecuzione, l'output di questo comando sarà simile al seguente:
LocalNetworkSiteName ConnectivityState
-------------------- -----------------
Site A Connected
Site B Connected
È anche possibile verificare la connettività visualizzando il dashboard della rete virtuale nel portale di gestione di Azure. Il valore STATUS per entrambi i siti viene visualizzato come Connesso.
Nota
La visualizzazione della modifica dello stato nel portale di gestione di Azure può richiedere alcuni minuti dopo che la connessione è stata stabilita correttamente.
Fase 3: Configurare le macchine virtuali
È necessario creare almeno due macchine virtuali in Microsoft Azure per questa distribuzione: un controller di dominio e un file server che funge da server di controllo del dag.
Creare macchine virtuali per il controller di dominio e il file server usando le istruzioni riportate in Guida introduttiva: Creare una macchina virtuale Windows nel portale di Azure. Assicurarsi di selezionare la rete virtuale creata per REGION/AFFINITY GROUP/VIRTUAL NETWORK quando si specificano le impostazioni delle macchine virtuali.
Specificare gli indirizzi IP preferiti sia per il controller di dominio che per il file server usando Azure PowerShell. Quando si specifica un indirizzo IP preferito per una macchina virtuale, è necessario aggiornarlo, che richiede il riavvio della macchina virtuale. L'esempio seguente imposta gli indirizzi IP per Azure-DC e Azure-FSW rispettivamente su 10.0.0.10 e 10.0.0.11.
Get-AzureVM Azure-DC | Set-AzureStaticVNetIP -IPAddress 10.0.0.10 | Update-AzureVM Get-AzureVM Azure-FSW | Set-AzureStaticVNetIP -IPAddress 10.0.0.11 | Update-AzureVM
Nota
Una macchina virtuale con un indirizzo IP preferito tenta di usare tale indirizzo. Tuttavia, se tale indirizzo è stato assegnato a una macchina virtuale diversa, la macchina virtuale con la configurazione dell'indirizzo IP preferita non viene avviata. Per evitare questo problema, assicurarsi che l'indirizzo IP usato non sia assegnato a un'altra macchina virtuale. Per altre informazioni, vedere Configurare gli indirizzi IP privati per una macchina virtuale usando il portale di Azure.
Effettuare il provisioning della macchina virtuale del controller di dominio in Azure usando gli standard usati dall'organizzazione.
Preparare il file server con i prerequisiti per un server di controllo del dag di Exchange:
Aggiungere il ruolo File Server usando l'Aggiunta guidata ruoli e funzionalità o il cmdlet Install-WindowsFeature .
Aggiungere il gruppo di sicurezza universale Sottosistemi attendibili di Exchange al gruppo Amministratori locali.
Checkpoint: esaminare lo stato della macchina virtuale
A questo punto, le macchine virtuali devono essere in esecuzione e devono essere in grado di comunicare con i server in entrambi i data center locali:
- Verificare che il controller di dominio in Azure si stia replicando con i controller di dominio locali.
- Verificare che sia possibile raggiungere il file server in Azure per nome e stabilire una connessione SMB dai server Exchange.
- Verificare che sia possibile raggiungere i server Exchange per nome dal file server in Azure.
Fase 4: Configurare il server di controllo del dag
Infine, è necessario configurare il dag per usare il nuovo server di controllo del mirroring. Per impostazione predefinita, Exchange usa C:\DAGFileShareWitnesses come percorso di controllo della condivisione file nel server di controllo del mirroring. Se si usa un percorso di file personalizzato, è necessario aggiornare anche la directory di controllo per la condivisione specifica.
Connettersi a Exchange Management Shell.
Eseguire il comando seguente per configurare il server di controllo del mirroring per i dag.
Set-DatabaseAvailabilityGroup -Identity DAG1 -WitnessServer Azure-FSW
Per altre informazioni, vedere gli articoli seguenti:
Configurare le proprietà del gruppo di disponibilità del database.
Checkpoint: convalidare il controllo della condivisione file dag
A questo punto, il dag è stato configurato per l'uso del file server in Azure come server di controllo del dag. Eseguire le operazioni seguenti per convalidare la configurazione:
Convalidare la configurazione del gruppo di disponibilità del database eseguendo il comando seguente.
Get-DatabaseAvailabilityGroup -Identity DAG1 -Status | Format-List Name, WitnessServer, WitnessDirectory, WitnessShareInUse
Verificare che il parametro WitnessServer sia impostato sul file server in Azure, che il parametro WitnessDirectory sia impostato sul percorso corretto e che il parametro WitnessShareInUse mostri Primary.
Se il dag ha un numero pari di nodi, viene configurato il server di controllo della condivisione file. Convalidare l'impostazione di controllo della condivisione file nelle proprietà del cluster eseguendo il comando seguente. Il valore per il parametro SharePath deve puntare al file server e visualizzare il percorso corretto.
Get-ClusterResource -Cluster MBX1 | Get-ClusterParameter | Format-List
Verificare quindi lo stato della risorsa cluster "File Share Witness" eseguendo il comando seguente. Lo stato della risorsa cluster deve essere visualizzato Online.
Get-ClusterResource -Cluster MBX1
Verificare infine che la condivisione sia stata creata correttamente nel file server esaminando la cartella in Esplora file e le condivisioni in Server Manager.
Vedere anche
Pianificazione di switchover e failovercon disponibilità elevata e resilienza del sitoGestione dei gruppi di disponibilità del database