Microsoft Azure a propojení různých sítí
V tomto článku si ukážeme, možnost propojení vašeho On-Premise prostředí s prostředím Microsoft Azure. Respektivě propojení Virtual Network (dále jen Virtuální síť) v jedné subskripci s Virtual Network v jiné subskripci a zároveň s vašim On-Premise prostředím. A zároveň jak úspěšně do takového prostředí integrovat doménové řadiče. Pokud tedy chcete mít možnost transparentně spravovat prostředí Active Directory napříč hybridní infrastrukturou, mít možnost propojit vaše On-Premise prostředí s různými virtuálními sítěmi v Microsoft Azure, a nebo mít k dispozici plně redundantní prostředí Active Directory, je tento článek právě určen vám. Na začátek trocha teorie…
Způsoby připojení: Site-to-Site VPN–Velmi zjednodušeně řečeno se jedná o propojení Azure Gateway s vaším On-Premise firewallem pomocí IPSec VPN. Virtuální síť definovaná v Microsoft Azure je pak dostupná jako vaše další interní síť. Client-to-Site VPN– Pomocí SSTP protokolu je možné připojit jednotlivé počítače (např. počítač správce) do virtuální sítě Microsoft Azure.** ExpressRoute – Velmi zjednodušeně řečeno se jedná o vaši privátní MPLS síť “protaženou” až do sítě Microsoft Azure a poskytuje tak daleko lepší způsob připojení s možností daleko větší propustností sítě, než je tomu v případě klasické Site-to-Site VPN.**
Sítě: Virtuální sítě – Velmi zjednodušeně řečeno se jedná o způsob definice interní síťové topologie v rámci dané Azure subskripce. Virtuální síť je možné pak tvořit na základě definice privátních rozsahů/sítí. · 192.168.0.0 - 192.168.255.255 (65,536 IP adres) - 192.168.0.0/16 (255.255.0.0) · 172.16.0.0 - 172.31.255.255 (1,048,576 IP adres) - 172.16.0.0/12 (255.240.0.0) · 10.0.0.0 - 10.255.255.255 (16,777,216 IP adres) - 10.0.0.0/8 (255.0.0.0) Příkladem definice samotné sítě může být i172.16.20.0/23. Není tedy nutné se striktně držet definicí privátní sítě. Podsíť (Subnet) – Je součástí Virtuální sítě a dále ji dělí na jednotlivé menší části. Příkladem podsítě navazují na předchozí příklad je172.16.20.0/24. Brána (Gateway)– Po vytvoření brány dojde ve skutečnosti k vytvoření dvou virtuálních strojů (Active-Passive mód) ve společném Availability set, přes jejichž společnou veřejnou IP adresu se můžete připojit do virtuální sítě Microsoft Azure. Lokální síť (Local Network) – jedná se o definici lokální sítě (v případě propojení s On-Premise prostředím), nebo se jedná jednoduše o “proti-síť”, tedy „vzdálená“ síť do, které se snažíme připojit.
Obecné předpoklady: · Platí, že v rámci jedné virtuální sítě může být definováno více podsítí. · Jednotlivé virtuální stroje spolu mohou komunikovat napříč podsítěmi v rámci stejné virtuální sítě.**** · Virtuální stroje nemohou komunikovat napříč různými virtuálními sítěmi. K tomu, aby mohly komunikovat v rámci různých virtuálních sítí, je možné je případně propojit pomocí vNet-to-vNet VPN. · Již existující virtuální stroje je možné migrovat (PowerShell) mezi jednotlivými podsítěmi, ale ne mezi jednotlivými virtuálními podsítěmi. · Pokud je třeba přesunou virtuální stroj z jedné virtuální sítě do jiné, je nutné nejprve virtuální stroj smazat (se zachováním virtuálního disku) a vytvořit jej znovu v jiné virtuální síťi.
Limity: · V Microsoft Azure lze v rámci jedné subskripce vytvořit až 50 virtuálních sítí · V rámci standardní brány (Gateway) se lze propojit až s deseti různými sítěmi (vNet-to-vNet, Site-to-Site) · U High Performance Gateway se lze připojit až k 30 různým sítím. · Limit propustnosti u klasické brány (Gateway) je 80 Mbps a u High Performance Gateway je limit 200 Mbps. Propojení samotných virtuálních sítí se také někdy označuje jako „vNet-to-vNet VPN connection“. Níže na obrázku pak vidíte schéma jednotlivých virtuálních sítí, bran, a doménových řadičů, které budeme v tomto článku vytvářet, nebo s nimi pracovat. Výsledkem budou dvě virtuální sítě v Microsoft Azure, které jsou vzájemně propojené a jednu On-Premise síť, propojenou s jednotlivými Microsoft Azure virtuálními sítěmi. A pak v rámci již existujících síťových propojení jednotlivých virtuálních sítí, nainstalujeme do každé virtuální sítě doménový řadič. Ty budu součásti jedné domény demo.local.
Součástí článku/postupu ovšem nebude konfigurace propojení On-Premise prostředí s Microsoft Azure, tedy Site-to-Site VPN. Ale konfigurace následného propojení s více sítěmi. Pro konfiguraci Site-to-Site VPN vás mohu odkázat na Technet článek mého bývalého kolegy: http://blogs.technet.com/b/technetczsk/archive/2014/09/16/konfigurace-azure-vpn.aspx Poznámka: Většina nastavení se bude realizovat v původním portálu: https://manage.windowsazure.com Tedy jak je vidět na obrázku základním předpokladem je již exitující propojení vaší interní sítě(í) (tedy On-Premise prostředí) s Microsoft Azure virtuální sítí. V mém případě existuje v jedné Azure subskripci virtuální síť s názvemInfra-Production (172.16.20.0/22).
Pokud přejdeme do nastavení dané virtuální sítě, je možné v rámci menu „DASHBOARD“ vidět již existující a funkční propojení mezi interním On-Premise prostředím a Microsoft Azure virtuální sítí. Je zde rovněž vidět již existující brána (Gateway) spojená s „GATEWAY IP ADDRESS“.
Pokud dále přejdeme do menu „CONFIGURE“ je zde možné nastavit parametry virtuální sítě. V tomto případě, je povoleno připojení s lokální sítí (Connec to the local network) a pak v rámci parametru “LOCAL NETWORK” je možné vybrat s jakou “lokální sítí” bude spojení navázáno. A dále je zde právě možné definovat jednotlivé podsítě (Subnets) a rovněž igateway subnet. Tedy síť sloužící pro potřeby brány (gateway). Například kliknutím na tláčitko „add subnet“ je možné přidat další podsíť.
V rámci celé části „network“ je zde kromě možnosti vybrat virtuální sítě (VIRTUAL NETWORKS), také možnost vybrat lokální sítě „LOCAL NETWORKS“. Na obrázku je pak možné vidět definici již existující lokální sítě „Premis-Azure1“ a definovaným „ADDRESS SPACE“, což není nic jiného než definice existující lokální sítě v On-Premis prostředí. A také je zde vidět definice „VPN GATEWAY ADDRESS“, což opět není nic jiného, než veřejná IP adresa firewallu na On-Premis straně.
První doménový řadič**(v On-Premise prostředí): Ve Virtual Machine Manageru 2012 R2 jsem proved základní instalaci standardního Windows Server 2012 R2 operačního systému. Tedy budoucí doménový řadič s názvemAzureDC01**.
Poté co byl operační systém úspěšně instalován, jsem se k němu přihlásil a spustil PowerShell v elevovaném režimu (As Administrator). Následně jsem provedl instalaci prvního doménového řadiče v nové doménědemo.local Poznámka: Žlutě označený text je nutné změnit dle parametrů vašeho prostředí. # Nastaveni sitove konfigurace ############# # Index adapteru Get-Netadapter # Nastaveni pevne IP Adresy adapteru New-NetIPAddress –InterfaceAlias “Ethernet” –IPv4Address “10.10.10.150” –PrefixLength 24 -DefaultGateway 10.10.10.1 # Povoleni Remote Desktop Set-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Control\Terminal Server' -name "fDenyTSConnections" -Value 0 # Povoleni secure RDP authentizace Set-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp' -name "UserAuthentication" -Value 1 # IP adresy soucasnych DNS serveru Get-DNSClientServerAddress # Nastaveni DNS - pozor cislo indexu a IP adresu noveho DC na prvnim miste! Set-DNSClientServerAddress –InterfaceIndex 12 -ServerAddresses 10.10.10.150,8.8.8.8 # Povoleni firewallovych pravidel ########### Import-Module NetSecurity # Povoleni RDP Enable-NetFirewallRule -DisplayGroup "Remote Desktop" # Povoleni ICMP ECHO Set-NetFirewallRule -DisplayName “File and Printer Sharing (Echo Request - ICMPv4-In)” -enabled True # Povoleni vzdaleneho managementu Enable-NetFirewallRule -DisplayGroup "Windows Remote Management" # Povoleni vzdalene spravy Firewallu netsh advfirewall firewall set rule group="Windows Firewall Remote Management" new enable =yes # Instalace ADDS sluzby a souvisejicich komponent ############# # Instalovace potrebnych komponent (-IncludeManagementTools .. prepinac nelze pouzit v pripade Windows Server Core!) Install-WindowsFeature -Name AD-Domain-Services, DNS, RSAT-AD-PowerShell -IncludeManagementTools # Test zda je mozne nainstalovat AD forest se specifickymi parametry v danem prostredi Test-ADDSForestInstallation -DomainName demo.local # Vytvoreni noveho forestu a domeny ################# # DSRM Heslo $Password = ConvertTo-SecureString -AsPlainText -String P@ssw0rd123 -Force # Vytvoreni domeny s konkretnimi parametry a nazvem domeny (-NoRebootOnCompletion ... pokud se nema server pote restartovat) $domainname = "demo.local" $netbiosname = "DEMO" Install-ADDSForest -DomainName $domainname -SafeModeAdministratorPassword $Password -DomainNetbiosName $netbiosname -DomainMode Win2012R2 -ForestMode Win2012R2 -DatabasePath "%SYSTEMROOT%\NTDS" -LogPath "%SYSTEMROOT%\NTDS" -SysvolPath "%SYSTEMROOT%\SYSVOL" -InstallDns -Force
Druhý doménový řadič**(WEST EUROPE): V původním portálu https://manage.windowsazure.com klikněte na tlačítko „+ NEW“ a z menu vyberte „COMPUTE“, „VIRTUAL MACHINE“, „FROM GALLERY**“
Zde jsem vybral „Windows Server 2012 R2 Datacenter“. Pokračoval jsem dále pomocí šipky v dolní části průvodce vytvořením nového virtuálního stroje.
Na další záložce lze definovat hlavní parametry budoucího virtuálního stroje. Mezi hlavní parametry patří jméno virtuálního stroje (VIRTUAL MACHINE NAME), v mém případěAzureDC02. Dále velikost virtuální stroje „SIZE“ a nakonec přihlašovací jméno „NEW USER NAME“ a heslo „NEW PASSWORD“, „CONFIRM“. Pokračoval jsem dále pomocí šipky v dolní části průvodce.
Na této kartě je možné zařadit virtuální stroj do již existujícího Cloud service, nebo vytvořit nový. V mém případě je nepodstatnější zařadit virtuální stroj do existující virtuální sítě „Infra-Production“. Ta jak už bylo řečeno, je propojena přes bránu (Gateway) s On-Premis sítí. Pokračoval jsem dále pomocí šipky v dolní části průvodce.
Na poslední kartě je možné instalovat různé rozšíření. Nejpodstatnější „komponentou“ je Microsoft Azure Agent, který by měl být vždy instalován. Potvrdil jsem vytvoření virtuálního stoje pomocí tlačítka na spodní části okna průvodce.
Po vytvoření virtuálního stroje je nutné dále nastavit statickou interní IP adresu ve virtuální síti v rámci Microsoft Azure. Důvod je jednoduchý. Jelikož bude z tohoto virtuálního stroje doménový řadič, je vhodné zajistit, aby měl pokaždé stejnou IP adresu. Statickou IP adresu lze nastavit buď přes PowerShell, nebo v mém případě přes nový portál https://portal.azure.com Vybral jsem “Virtual machine (classic)”, virtuální stroj „AzureDC02“,Settings,IP addresses. Zde je nutné „IP address management“ změnit na „Static“. Poté v části „IP address“ zadat statickou IP adresu z dané podsítě (Subnet). A nakonec je nutné změnu uložit pomocí tlačítka „Save“.
Další velmi podstatnou činností, kterou je nutné provést před instalací doménového řadiče, je nastavení DNS serveru. Proto, aby nově instalovaný doménový řadič v Microsoft Azure mohl kontaktovat doménový řadič v On-Premis prostředí, je nutné nastavit jako DNS server, IP adresu doménového řadiče v On-Premis prostředí a to tedy 10.10.10.150. Konkrétní postup je pak ten, že v novém portálu vyberu „Virtual networks (classic)“, vyberu Microsoft Azure virtuální síť „Infra-Production“. DáleSettings,DNS servers. A nakonec je nutné změnu uložit pomocí tlačítka „Save“.
Provedl jsem rovněž restart virtuálního stroje, aby se změna nastavení DNS serveru projevila. Poté jsem se připojil přes RDP k virtuálnímu stroji, pomocí tlačítka „Connect“.
V příkazové řádce na AzureDC02 jsem provedl test konektivity s existujícím doménovým řadičem v On-Premise prostředí.
Stejný postup jsem aplikoval na doménovém řadiči AzureDC01 v On-Premise prostředí. Bohužel standardní „PING“ v prostředí Microsoft Azure je blokován.
Nicméně je možné použit program „psping“ z dílny sysinternals, který umí provést „PING“ ne na standardní ICMP komunikaci, ale na konkrétní TCP port. V tomto případě test konektivity na RDP port TCP 3389.
Po restartu virtuálního serveru AzureDC02 je vidět, že je správně nastavena IP adresa DNS serveru 10.10.10.150.
PSPING: https://technet.microsoft.com/en-us/sysinternals/jj729731.aspx Dále jsem v PowerShellu provedl instalaci dalšího doménového řadiče, tedy AzureDC02. Poznámka: Žlutě označený text je nutné změnit dle parametrů vašeho prostředí. # Povoleni firewallovych pravidel ########### Import-Module NetSecurity # Povoleni RDP Enable-NetFirewallRule -DisplayGroup "Remote Desktop" # Povoleni ICMP ECHO Set-NetFirewallRule -DisplayName “File and Printer Sharing (Echo Request - ICMPv4-In)” -enabled True # Povoleni vzdaleneho managementu Enable-NetFirewallRule -DisplayGroup "Windows Remote Management" # Povoleni vzdalene spravy Firewallu netsh advfirewall firewall set rule group="Windows Firewall Remote Management" new enable =yes # Instalace ADDS sluzby a souvisejicich komponent ############# # Instalovace potrebnych komponent (-IncludeManagementTools .. prepinac nelze pouzit v pripade Windows Server Core!) Install-WindowsFeature -Name AD-Domain-Services, DNS, RSAT-AD-PowerShell -IncludeManagementTools # Instalace dalsiho/dalsich DC … ############## $Password = ConvertTo-SecureString -AsPlainText -String P@ssw0rd123 -Force $cred = get-credential demo\Administrator # Test zda lze nainstalovat dalsi DC Test-ADDSDomainControllerInstallation -InstallDns -Credential $cred -DomainName demo.local | ft -AutoSize # Pripojit pocitac do domeny Add-Computer -ComputerName localhost -Domain demo.local -Credential $cred -Restart # DSRM Heslo a secure password # Prihlasit se pres RDP jako Administrator z domeny $Password = ConvertTo-SecureString -AsPlainText -String P@ssw0rd123 -Force # $cred = get-credential demo\Administrator # instalace dalsiho DC (-Credential $cred .. jen v pripade pokud nedojde k prihlaseni # Jako Administrator z domeny) $domainname = "demo.local" $dcname = "AzureDC01.demo.local" Install-ADDSDomainController -DomainName $domainname -DatabasePath "%SYSTEMROOT%\NTDS" -LogPath "%SYSTEMROOT%\NTDS" -SysvolPath "%SYSTEMROOT%\SYSVOL" -InstallDns -ReplicationSourceDC $dcname -SafeModeAdministratorPassword $Password Po restartu nového doménového řadiče je v konzoli „Active Directory Users nad Computers“ již vidět v kontejneru „Domain Controllers“ i nový doménový řadič AzureDC02.
Poté jsem provedl testování fungování replikace pomocí programu repadmin.
To ovšem ohledně nastavení není vše. Je nutné opět modifikovat DNS servery a to jak v Microsoft Azure, tak v On-Premise prostředí. Je nutné přidat druhý DNS server.
Poté jsem provedl znovu restart AzureDC02. Nastavení DNS serverů na AzureDC01 v On-Premise prostředí… Poznámka: Žlutě označený text je nutné změnit dle parametrů vašeho prostředí.
Nastaveni DNS - pozor cislo indexu a IP adresu noveho DC na prvnim miste!
Set-DNSClientServerAddress –InterfaceIndex 12 –ServerAddresses 172.16.20.10, 10.10.10.150 Třetí doménový řadič**(East US): Přesunul jsem se do jiné subskripce. Před vytvořením třetího doménového řadiče je nejprve nutné vytvořit virtuální sít a dále provést propojení sítí ve smyslu vNet-to-vNet VPN. V původním portálu klikněte na tlačítko „+ NEW“ a pak dále „NETWORK SERVICES“, „VIRTUAL NETWORK“, „CUSTOM CREATE**“.
Zobrazí se průvodce vytvoření nové virtuální sítě. Na první kartě jsem zadal do „NAME“ název budoucí virtuální sítě. V poli „LOCATION“ jsem pak vybral umístění virtuální sítě v regionuEAST US. Pokračoval jsem dále pomocí šipky v dolní části průvodce.
Na další kartě je možné v sekci „DNS SERVERS“ zadat IP adresu DNS serverů. V mém případě jsem zde vyplnil IP adresu AzureDC02, tedy 172.16.20.10. Důvod je jednoduchý. Nový doménový řadič AzureDC03 v regionu EAST US, musí být schopen kontaktovat doménový řadič v doméně demo.local. Dále jsem zaškrtnul volbu „Configure a site-to-site VPN“, pro propojení s jinou sítí skrze IPSec VPN. Pokračoval jsem dále pomocí šipky v dolní části průvodce.
Na předposlední kartě se definuje název „LOCAL NETWORK“, tedy lokální sítě. Pro tuto nově vytvářenou síť je „vzdálenou“ sítí, se kterou se chceme propojit pomocí VPN, sít definovaná v regionu WEST EUROPE (Infra-Production – 172.16.20.0/22). Nicméně pro lepší přehlednost jsem novou lokální síť pojmenoval „Prod-West-Europe“. Dále do pole „VPN DEVICE IP ADDRESS“ zadejte IP adresu „VPN proti-strany“. V mém případě se jedná o Microsoft Azure Gateway v jiné subskripci a v jiném regionu (WEST EUROPE). Pokračoval jsem dále pomocí šipky v dolní části průvodce.
Na poslední kartě je možné definovat jednak rozsah virtuální sítě (ADDRESS SPACE) a dale pak jednotlivé podsítě (SUBNETS). A nakonec je nutné definovat „gateway subnet“. Pro dokončení vytvoření virtuální sítě klikněte na tlačítko v dolní části průvodce.
Po vytvoření virtuální sítě je nutné dále vytvořit bránu (Gateway). Tedy kliknul jsem na ikonu “CREATE GATEWAY” v dolní části původního portálu.
Zde pak vyberte volbu „Dynamic Routing“. A potvrďte vytvoření brány. Upozornění: Vytvoření brány trvá 25-30 minut.
Po vytvoření brány, je bráně přiřazena veřejná IP adresa (GATEWAY IP ADDRESS). Dále klikněte na tlačítko „CONNECT“ na spodní části původního portálu.
Po krátké chvíli je vygenerována událost poukazující na to, že nebylo možné se propojit.
Důvod je jednoduchý. Je nutné dokonfigurovat druhou stranu. Tedy virtuální síť v druhé subskripci v regionu WEST EUROPE. Zde pak v původním portálu klikněte na tlačítko„+ NEW“ a pak dále „NETWORK SERVICES“, „VIRTUAL NETWORK“, „ADD LOCAL NETWORK“.
Spustí se průvodce přidáním „LOCAL NETWORK“. A opět je třeba zadat protistranu. Tentokrát protistranu v regionu EAST US. V mém případě jsem do pole „NAME“ zadal „Prod-East-US“ a do pole „VPN DEVICE IP ADDRESS…“ jsem zadal IP adresu brány (GATEWAY) ve virtuální síti Prod-East-US. Pokračoval jsem dále pomocí šipky v dolní části průvodce.
Na další kartě jsem zadal IP rozsah virtuální sítě v regionu East US, a to tedy 192.168.100.0/23. Pokračoval jsem dále pomocí šipky v dolní části průvodce.
Po vytvoření „LOCAL NETWORK“ v regionu „WEST EUROPE“ umožnující se propojit s virtuální síti v regionu „EAST US“ jsem potřeboval zjistit aktuální „MANAGE KEY“. Jedná se v podstatě o PRE-SHARED KEY, použitý v rámci sestavení a negociace IPSec tunelu/VPN.
Kliknutím na ikonu „MANAGE KEY“ se zobrazí klíč. Ten je nutné si zkopírovat. Upozornění: Neprovádějte regeneraci klíče, jinak přestane fungovat VPN tunel mezi virtuální sítí v regionu WEST EUROPE a On-Premise sítí/sítěmi.
Poznámka: Žlutě označený text je nutné změnit dle parametrů vašeho prostředí. # Prihlaste se pomoci uctu, ktery ma prava k subskripci “East US” Add-AzureAccount # Vyberte spravnou subskripci Select-AzureSubscription -SubscriptionId "<subscription_name>" # Nastavte manage key pro virtualni sit Prod-East-US Set-AzureVNetGatewayKey -VNetName "Prod-East-US" -LocalNetworkSiteName "Prod-West-Europe" -SharedKey shared_key Dále je třeba zajistit, aby se bylo možné připojit z více bodů. Tedy z více sítí do jedné sítě, nebo do více sítí současně. Přes grafické rozhraní je možné nastavit jen jedno spojení. Proto je nutné tento problém obejít. A to editaci konfiguračního souboru virtuální sítě. Pomocí tlačítka „EXPORT“ proveďte vyexportování konfigurace do souboru s příponou .xml
Uložení konfiguračního souboru virtuální sítě.
Následně pomocí vašeho oblíbeného editoru proveďte editaci tohoto XML souboru. Například pomocí Notepadu. Je nutné upravit sekci začínající<Gateway>a přidat připojení k další síti. V mém případě k síti "Prod-East-US".Změny uložte. <NetworkConfiguration xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns="http://schemas.microsoft.com/ServiceHosting/2011/07/NetworkConfiguration"> <VirtualNetworkConfiguration> <Dns> <DnsServers> <DnsServer name="10.10.10.150" IPAddress="10.10.10.150" /> <DnsServer name="192.168.0.10" IPAddress="192.168.0.10" /> </DnsServers> </Dns> <LocalNetworkSites> <LocalNetworkSite name="Premis-Azure1"> <AddressSpace> <AddressPrefix>10.10.10.0/24</AddressPrefix> </AddressSpace> <VPNGatewayAddress>188.75.144.18</VPNGatewayAddress> </LocalNetworkSite> <LocalNetworkSite name="Prod-East-US"> <AddressSpace> <AddressPrefix>192.168.100.0/23</AddressPrefix> </AddressSpace> <VPNGatewayAddress>40.121.143.205</VPNGatewayAddress> </LocalNetworkSite> </LocalNetworkSites> <VirtualNetworkSites> <VirtualNetworkSite name="Group Group CloudLinkKPCS1" Location="West Europe"> <AddressSpace> <AddressPrefix>10.0.0.0/16</AddressPrefix> </AddressSpace> <Subnets> <Subnet name="Subnet-1"> <AddressPrefix>10.0.0.0/24</AddressPrefix> </Subnet> </Subnets> </VirtualNetworkSite> <VirtualNetworkSite name="Group Group-4 Nagios001" Location="West Europe"> <AddressSpace> <AddressPrefix>10.2.0.0/16</AddressPrefix> </AddressSpace> <Subnets> <Subnet name="Subnet-1"> <AddressPrefix>10.2.0.0/24</AddressPrefix> </Subnet> </Subnets> </VirtualNetworkSite> <VirtualNetworkSite name="Infra-Production" Location="West Europe"> <AddressSpace> <AddressPrefix>172.16.20.1/22</AddressPrefix> </AddressSpace> <Subnets> <Subnet name="Subnet-1"> <AddressPrefix>172.16.20.0/24</AddressPrefix> </Subnet> <Subnet name="GatewaySubnet"> <AddressPrefix>172.16.23.0/29</AddressPrefix> </Subnet> </Subnets> <DnsServersRef> <DnsServerRef name="10.10.10.150" /> </DnsServersRef> <Gateway> **<ConnectionsToLocalNetwork> <LocalNetworkSiteRef name="Premis-Azure1"> <Connection type="IPsec" /> </LocalNetworkSiteRef> ****<LocalNetworkSiteRef name="Prod-East-US"> <Connection type="IPsec" /> </LocalNetworkSiteRef> ****</ConnectionsToLocalNetwork> </Gateway> </VirtualNetworkSite> <VirtualNetworkSite name="LAB_70-411" Location="West Europe"> <AddressSpace> <AddressPrefix>192.168.0.0/20</AddressPrefix> </AddressSpace> <Subnets> <Subnet name="Subnet-1"> <AddressPrefix>192.168.0.0/23</AddressPrefix> </Subnet> </Subnets> <DnsServersRef> <DnsServerRef name="192.168.0.10" /> </DnsServersRef> </VirtualNetworkSite> </VirtualNetworkSites> </VirtualNetworkConfiguration> </NetworkConfiguration> Následně je nutné upravenou konfiguraci sítě naimportovat. V původním portálu klikněte na tlačítko“+ NEW“ a dále „NETWORK SERVICES“, „VIRTUAL NETWORK“, „IMPORT CONFIGURATION**“.
Vyberte upravený soubor konfigurace virtuální sítě a klikněte na tlačítko šipky v dolní části průvodce importem konfigurace.
Dále je zde vidět přehled toho co bude změněno, nebo kde nedojde k žádným změnám. Pro import konfigurace klikněte na tlačítko v dolní části průvodce.
Po úspěšném importu konfigurace je na první podhled patrné, že způsob zobrazení se změnil. Nyní je vidět že vůči bráně ve virtuální sítiInfra-production jsou nastaveny dvě připojení. A jak je patrné připojení vůči druhé subskripci v regionu East US je odpojeno.
V rámci menu „CONFIGURE“ jde vidět, že volba „LOCAL NETWORK“ se změnila na „multiple“
Pro vyřešení tohoto problému, tedy že není sestaveno spojení se sítí Prod-East-US je nutné provést následující kroky. Poznámka: Žlutě označený text je nutné změnit dle parametrů vašeho prostředí. # Prihlaste se pomoci uctu, ktery ma prava k subskripci “WEST EUROPE” Add-AzureAccount # Vyberte spravnou subskripci – WEST EUROPE Select-AzureSubscription -SubscriptionId "<subscription_name>" # nastavte manage key pro spojeni siti Infra-Production a Prod-East-US Set-AzureVNetGatewayKey -VNetName "Infra-Production" -LocalNetworkSiteName "Prod-East-US" -SharedKey Shared_key # vynutte pripojeni obou siti Set-AzureVNetGateway -VNetName "Infra-Production" -LocalNetworkSiteName "Prod-East-US" –Connect # kontrola stavu propojeni siti Get-AzureVnetConnection -VNetName "Infra-Production"
A konečně se dostáváme k samotnému vytvoření třetího doménového řadiče. Vytvořil jsem v jiné subskripci v regionu East US nový virtuální stroj.
Nejpodstatnější je opět zařadit nově vytvářený virtuální stroj do správné virtuální sítě.
Dále je opět nutné znovu pro budoucí doménový řadič rezervovat statickou interní IP adresu.
A jako minule je nutné prověřit konektivitu mezi AzureDC03 a AzureDC02.
Provedl jsem instalaci třetího doménového řadiče. Poznámka: Žlutě označený text je nutné změnit dle parametrů vašeho prostředí. # Povoleni firewallovych pravidel ########### Import-Module NetSecurity # Povoleni RDP Enable-NetFirewallRule -DisplayGroup "Remote Desktop" # Povoleni ICMP ECHO Set-NetFirewallRule -DisplayName “File and Printer Sharing (Echo Request - ICMPv4-In)” -enabled True # Povoleni vzdaleneho managementu Enable-NetFirewallRule -DisplayGroup "Windows Remote Management" # Povoleni vzdalene spravy Firewallu netsh advfirewall firewall set rule group="Windows Firewall Remote Management" new enable =yes # Instalace ADDS sluzby a souvisejicich komponent ############# # Instalovace potrebnych komponent (-IncludeManagementTools .. prepinac nelze pouzit v pripade Windows Server Core!) Install-WindowsFeature -Name AD-Domain-Services, DNS, RSAT-AD-PowerShell -IncludeManagementTools # Instalace dalsiho/dalsich DC … ############## $Password = ConvertTo-SecureString -AsPlainText -String P@ssw0rd123 -Force $cred = get-credential demo\Administrator # Test zda lze nainstalovat dalsi DC Test-ADDSDomainControllerInstallation -InstallDns -Credential $cred -DomainName demo.local | ft -AutoSize # Pripojit pocitac do domeny Add-Computer -ComputerName localhost -Domain demo.local -Credential $cred -Restart # DSRM Heslo a secure password # Prihlasit se pres RDP jako Administrator z domeny $Password = ConvertTo-SecureString -AsPlainText -String P@ssw0rd123 -Force # $cred = get-credential demo\Administrator # instalace dalsiho DC (-Credential $cred .. jen v pripade pokud nedojde k prihlaseni # Jako Administrator z domeny) $domainname = "demo.local" $dcname = "AzureDC02.demo.local" Install-ADDSDomainController -DomainName $domainname -DatabasePath "%SYSTEMROOT%\NTDS" -LogPath "%SYSTEMROOT%\NTDS" -SysvolPath "%SYSTEMROOT%\SYSVOL" -InstallDns -ReplicationSourceDC $dcname -SafeModeAdministratorPassword $Password Nakonec je nutné upravit DNS servery, tedy přidat další DNS servery. Tak jak to bylo popsáno dříve. Po instalaci všech doménových řadičů je vhodné vytvořit novou site a do ní přesunout doménový řadič z regionu East US. Přece jenom je zde předpoklad, že latence budou vyšší při propojení mezi WEST EUROPE a EAST US.
Pokud jsem se pokusil vynutit replikaci skrze všechny Sites, došlo k chybě. AzureDC01 je nedostupný z AzureDC03. Důvod je jednoduchý. Mezi jednotlivými sítěmi nefunguje automatické routování.Proto je nutné navíc propojit samostatně On-Premis sít(ě) s virtuální sítí v regionu EAST US!
Odkazy na další informace: https://azure.microsoft.com/en-us/documentation/articles/vpn-gateway-multi-site/ https://azure.microsoft.com/en-us/documentation/articles/virtual-networks-create-vnet-classic-portal/#export-and-import-virtual-network-settings-using-the-management-portal https://azure.microsoft.com/en-us/documentation/articles/virtual-networks-configure-vnet-to-vnet-connection/ Pokud pak potřebujete, řešit konkrétní problémy související s Microsoft Azure: https://social.technet.microsoft.com/Forums/cs-CZ/home?forum=windowsazurecz