Microsoft Azure a propojení různých sítí


V tomto článku si ukážeme, možnost propojení vašeho On-Premise prostředí s prostředím Microsoft Azure. Respektivě propojení Virtual Network (dále jen Virtuální síť) v jedné subskripci s Virtual Network v jiné subskripci a zároveň s vašim On-Premise prostředím. A zároveň jak úspěšně do takového prostředí integrovat doménové řadiče.

Pokud tedy chcete mít možnost transparentně spravovat prostředí Active Directory napříč hybridní infrastrukturou, mít možnost propojit vaše On-Premise prostředí s různými virtuálními sítěmi v Microsoft Azure, a nebo mít k dispozici plně redundantní prostředí Active Directory, je tento článek právě určen vám.

Na začátek trocha teorie…

Způsoby připojení:

Site-to-Site VPN Velmi zjednodušeně řečeno se jedná o propojení Azure Gateway s vaším On-Premise firewallem pomocí IPSec VPN. Virtuální síť definovaná v Microsoft Azure je pak dostupná jako vaše další interní síť.

Client-to-Site VPN – Pomocí SSTP protokolu je možné připojit jednotlivé počítače (např. počítač správce) do virtuální sítě Microsoft Azure.

ExpressRoute – Velmi zjednodušeně řečeno se jedná o vaši privátní MPLS síť “protaženou” až do sítě Microsoft Azure a poskytuje tak daleko lepší způsob připojení s možností daleko větší propustností sítě, než je tomu v případě klasické Site-to-Site VPN.

Sítě:

Virtuální sítě– Velmi zjednodušeně řečeno se jedná o způsob definice interní síťové topologie v rámci dané Azure subskripce. Virtuální síť je možné pak tvořit na základě definice privátních rozsahů/sítí.

  • 192.168.0.0 – 192.168.255.255 (65,536 IP adres) – 192.168.0.0/16 (255.255.0.0)
  • 172.16.0.0 – 172.31.255.255 (1,048,576 IP adres) – 172.16.0.0/12 (255.240.0.0)
  • 10.0.0.0 – 10.255.255.255 (16,777,216 IP adres) – 10.0.0.0/8 (255.0.0.0)

Příkladem definice samotné sítě může být i 172.16.20.0/23. Není tedy nutné se striktně držet definicí privátní sítě.

Podsíť (Subnet) – Je součástí Virtuální sítě a dále ji dělí na jednotlivé menší části. Příkladem podsítě navazují na předchozí příklad je 172.16.20.0/24.

Brána (Gateway) – Po vytvoření brány dojde ve skutečnosti k vytvoření dvou virtuálních strojů (Active-Passive mód) ve společném Availability set, přes jejichž společnou veřejnou IP adresu se můžete připojit do virtuální sítě Microsoft Azure.

Lokální síť (Local Network)– jedná se o definici lokální sítě (v případě propojení s On-Premise prostředím), nebo se jedná jednoduše o “proti-síť”, tedy „vzdálená“ síť do, které se snažíme připojit.

Obecné předpoklady:

  • Platí, že v rámci jedné virtuální sítě může být definováno více podsítí.
  • Jednotlivé virtuální stroje spolu mohou komunikovat napříč podsítěmi v rámci stejné virtuální sítě.
  • Virtuální stroje nemohou komunikovat napříč různými virtuálními sítěmi. K tomu, aby mohly komunikovat v rámci různých virtuálních sítí, je možné je případně propojit pomocí vNet-to-vNet VPN.
  • Již existující virtuální stroje je možné migrovat (PowerShell) mezi jednotlivými podsítěmi, ale ne mezi jednotlivými virtuálními podsítěmi.
  • Pokud je třeba přesunou virtuální stroj z jedné virtuální sítě do jiné, je nutné nejprve virtuální stroj smazat (se zachováním virtuálního disku) a vytvořit jej znovu v jiné virtuální síťi.

Limity:

  • V Microsoft Azure lze v rámci jedné subskripce vytvořit až 50 virtuálních sítí
  • V rámci standardní brány (Gateway) se lze propojit až s deseti různými sítěmi (vNet-to-vNet, Site-to-Site)
  • U High Performance Gateway se lze připojit až k 30 různým sítím.
  • Limit propustnosti u klasické brány (Gateway) je 80 Mbps a u High Performance Gateway je limit 200 Mbps.

Propojení samotných virtuálních sítí se také někdy označuje jako „vNet-to-vNet VPN connection“.

Níže na obrázku pak vidíte schéma jednotlivých virtuálních sítí, bran, a doménových řadičů, které budeme v tomto článku vytvářet, nebo s nimi pracovat. Výsledkem budou dvě virtuální sítě v Microsoft Azure, které jsou vzájemně propojené a jednu On-Premise síť, propojenou s jednotlivými Microsoft Azure virtuálními sítěmi. A pak v rámci již existujících síťových propojení jednotlivých virtuálních sítí, nainstalujeme do každé virtuální sítě doménový řadič. Ty budu součásti jedné domény demo.local.

h1

Součástí článku/postupu ovšem nebude konfigurace propojení On-Premise prostředí s Microsoft Azure, tedy Site-to-Site VPN. Ale konfigurace následného propojení s více sítěmi.

Pro konfiguraci Site-to-Site VPN vás mohu odkázat na Technet článek mého bývalého kolegy:

http://blogs.technet.com/b/technetczsk/archive/2014/09/16/konfigurace-azure-vpn.aspx

Poznámka: Většina nastavení se bude realizovat v původním portálu: https://manage.windowsazure.com

Tedy jak je vidět na obrázku základním předpokladem je již exitující propojení vaší interní sítě(í) (tedy On-Premise prostředí) s Microsoft Azure virtuální sítí. V mém případě existuje v jedné Azure subskripci virtuální síť s názvem Infra-Production(172.16.20.0/22).

h2

Pokud přejdeme do nastavení dané virtuální sítě, je možné v rámci menu „DASHBOARD“ vidět již existující a funkční propojení mezi interním On-Premise prostředím a Microsoft Azure virtuální sítí. Je zde rovněž vidět již existující brána (Gateway) spojená s „GATEWAY IP ADDRESS“.

h3

Pokud dále přejdeme do menu „CONFIGURE“ je zde možné nastavit parametry virtuální sítě. V tomto případě, je povoleno připojení s lokální sítí (Connec to the local network) a pak v rámci parametru “LOCAL NETWORK” je možné vybrat s jakou “lokální sítí” bude spojení navázáno. A dále je zde právě možné definovat jednotlivé podsítě (Subnets) a rovněž i gateway subnet. Tedy síť sloužící pro potřeby brány (gateway). Například kliknutím na tláčitko „add subnet“ je možné přidat další podsíť.

h4

V rámci celé části „network“ je zde kromě možnosti vybrat virtuální sítě (VIRTUAL NETWORKS), také možnost vybrat lokální sítě „LOCAL NETWORKS“. Na obrázku je pak možné vidět definici již existující lokální sítě „Premis-Azure1“ a definovaným „ADDRESS SPACE“, což není nic jiného než definice existující lokální sítě v On-Premis prostředí. A také je zde vidět definice „VPN GATEWAY ADDRESS“, což opět není nic jiného, než veřejná IP adresa firewallu na On-Premis straně.

h5

První doménový řadič (v On-Premise prostředí):

Ve Virtual Machine Manageru 2012 R2 jsem proved základní instalaci standardního Windows Server 2012 R2 operačního systému. Tedy budoucí doménový řadič s názvem AzureDC01.

h6

Poté co byl operační systém úspěšně instalován, jsem se k němu přihlásil a spustil PowerShell v elevovaném režimu (As Administrator).

Následně jsem provedl instalaci prvního doménového řadiče v nové doméně demo.local

Poznámka: Žlutě označený text je nutné změnit dle parametrů vašeho prostředí.

# Nastaveni sitove konfigurace #############
# Index adapteru
Get-Netadapter

# Nastaveni pevne IP Adresy adapteru
New-NetIPAddress –InterfaceAlias “Ethernet” –IPv4Address “10.10.10.150” –PrefixLength 24 -DefaultGateway 10.10.10.1

# Povoleni Remote Desktop
Set-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Control\Terminal Server' -name "fDenyTSConnections" -Value 0

# Povoleni secure RDP authentizace
Set-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp' -name "UserAuthentication" -Value 1

# IP adresy soucasnych DNS serveru
Get-DNSClientServerAddress

# Nastaveni DNS – pozor cislo indexu a IP adresu noveho DC na prvnim miste!
Set-DNSClientServerAddress –InterfaceIndex 12 -ServerAddresses 10.10.10.150,8.8.8.8

# Povoleni firewallovych pravidel ###########
Import-Module NetSecurity

# Povoleni RDP
Enable-NetFirewallRule -DisplayGroup "Remote Desktop"

# Povoleni ICMP ECHO
Set-NetFirewallRule -DisplayName “File and Printer Sharing (Echo Request – ICMPv4-In)” -enabledTrue

# Povoleni vzdaleneho managementu
Enable-NetFirewallRule -DisplayGroup "Windows Remote Management"

# Povoleni vzdalene spravy Firewallu
netsh advfirewall firewall set rule group="Windows Firewall Remote Management" new enable =yes

# Instalace ADDS sluzby a souvisejicich komponent #############
# Instalovace potrebnych komponent (-IncludeManagementTools .. prepinac nelze pouzit v pripade Windows Server Core!)

Install-WindowsFeature -Name AD-Domain-Services, DNS, RSAT-AD-PowerShell -IncludeManagementTools

# Test zda je mozne nainstalovat AD forest se specifickymi parametry v danem prostredi
Test-ADDSForestInstallation -DomainName demo.local

# Vytvoreni noveho forestu a domeny #################
# DSRM Heslo

$Password = ConvertTo-SecureString -AsPlainText -String P@ssw0rd123 -Force

# Vytvoreni domeny s konkretnimi parametry a nazvem domeny (-NoRebootOnCompletion … pokud se nema server pote restartovat)$domainname = "demo.local"
$netbiosname = "DEMO"
Install-ADDSForest -DomainName $domainname -SafeModeAdministratorPassword $Password -DomainNetbiosName $netbiosname -DomainMode Win2012R2 -ForestMode Win2012R2 -DatabasePath "%SYSTEMROOT%\NTDS" -LogPath "%SYSTEMROOT%\NTDS" -SysvolPath "%SYSTEMROOT%\SYSVOL" -InstallDns -Force

Druhý doménový řadič (WEST EUROPE):

V původním portálu https://manage.windowsazure.com klikněte na tlačítko „+ NEW“ a z menu vyberte „COMPUTE“, „VIRTUAL MACHINE“, „FROM GALLERY

h7

h8

Zde jsem vybral „Windows Server 2012 R2 Datacenter“. Pokračoval jsem dále pomocí šipky v dolní části průvodce vytvořením nového virtuálního stroje.

h9

Na další záložce lze definovat hlavní parametry budoucího virtuálního stroje. Mezi hlavní parametry patří jméno virtuálního stroje (VIRTUAL MACHINE NAME), v mém případě AzureDC02. Dále velikost virtuální stroje „SIZE“ a nakonec přihlašovací jméno „NEW USER NAME“ a heslo „NEW PASSWORD“, „CONFIRM“. Pokračoval jsem dále pomocí šipky v dolní části průvodce.

h10

Na této kartě je možné zařadit virtuální stroj do již existujícího Cloud service, nebo vytvořit nový. V mém případě je nepodstatnější zařadit virtuální stroj do existující virtuální sítě „Infra-Production“. Ta jak už bylo řečeno, je propojena přes bránu (Gateway) s On-Premis sítí. Pokračoval jsem dále pomocí šipky v dolní části průvodce.

h11

Na poslední kartě je možné instalovat různé rozšíření. Nejpodstatnější „komponentou“ je Microsoft Azure Agent, který by měl být vždy instalován. Potvrdil jsem vytvoření virtuálního stoje pomocí tlačítka na spodní části okna průvodce.

h12

Po vytvoření virtuálního stroje je nutné dále nastavit statickou interní IP adresu ve virtuální síti v rámci Microsoft Azure. Důvod je jednoduchý. Jelikož bude z tohoto virtuálního stroje doménový řadič, je vhodné zajistit, aby měl pokaždé stejnou IP adresu. Statickou IP adresu lze nastavit buď přes PowerShell, nebo v mém případě přes nový portál https://portal.azure.com

Vybral jsem “Virtual machine (classic)”, virtuální stroj „AzureDC02“, Settings, IP addresses. Zde je nutné „IP address management“ změnit na „Static“. Poté v části „IP address“ zadat statickou IP adresu z dané podsítě (Subnet). A nakonec je nutné změnu uložit pomocí tlačítka „Save“.

h13

Další velmi podstatnou činností, kterou je nutné provést před instalací doménového řadiče, je nastavení DNS serveru. Proto, aby nově instalovaný doménový řadič v Microsoft Azure mohl kontaktovat doménový řadič v On-Premis prostředí, je nutné nastavit jako DNS server, IP adresu doménového řadiče v On-Premis prostředí a to tedy 10.10.10.150.

Konkrétní postup je pak ten, že v novém portálu vyberu „Virtual networks (classic)“, vyberu Microsoft Azure virtuální síť „Infra-Production“. Dále Settings, DNS servers. A nakonec je nutné změnu uložit pomocí tlačítka „Save“.

h14

Provedl jsem rovněž restart virtuálního stroje, aby se změna nastavení DNS serveru projevila. Poté jsem se připojil přes RDP k virtuálnímu stroji, pomocí tlačítka „Connect“.

h15

V příkazové řádce na AzureDC02 jsem provedl test konektivity s existujícím doménovým řadičem v On-Premise prostředí.

h16

Stejný postup jsem aplikoval na doménovém řadiči AzureDC01 v On-Premise prostředí. Bohužel standardní „PING“ v prostředí Microsoft Azure je blokován.

h17

Nicméně je možné použit program „psping“ z dílny sysinternals, který umí provést „PING“ ne na standardní ICMP komunikaci, ale na konkrétní TCP port. V tomto případě test konektivity na RDP port TCP 3389.

h18

Po restartu virtuálního serveru AzureDC02 je vidět, že je správně nastavena IP adresa DNS serveru 10.10.10.150.

h19

PSPING: https://technet.microsoft.com/en-us/sysinternals/jj729731.aspx

Dále jsem v PowerShellu provedl instalaci dalšího doménového řadiče, tedy AzureDC02.

Poznámka: Žlutě označený text je nutné změnit dle parametrů vašeho prostředí.

# Povoleni firewallovych pravidel ###########
Import-Module NetSecurity

# Povoleni RDP
Enable-NetFirewallRule -DisplayGroup "Remote Desktop"

# Povoleni ICMP ECHO
Set-NetFirewallRule -DisplayName “File and Printer Sharing (Echo Request – ICMPv4-In)” -enabled True

# Povoleni vzdaleneho managementu
Enable-NetFirewallRule -DisplayGroup "Windows Remote Management"

# Povoleni vzdalene spravy Firewallu
netsh advfirewall firewall set rule group="Windows Firewall Remote Management" new enable =yes

# Instalace ADDS sluzby a souvisejicich komponent #############
# Instalovace potrebnych komponent (-IncludeManagementTools .. prepinac nelze pouzit v pripade Windows Server Core!)
Install-WindowsFeature -Name AD-Domain-Services, DNS, RSAT-AD-PowerShell -IncludeManagementTools

# Instalace dalsiho/dalsich DC … ##############
$Password = ConvertTo-SecureString -AsPlainText -String P@ssw0rd123Force
$cred = get-credential demo\Administrator

# Test zda lze nainstalovat dalsi DC
Test-ADDSDomainControllerInstallation -InstallDns -Credential $credDomainName demo.local | ft -AutoSize

# Pripojit pocitac do domeny
Add-Computer -ComputerName localhost -Domain demo.local -Credential $cred -Restart
# DSRM Heslo a secure password
# Prihlasit se pres RDP jako Administrator z domeny
$Password = ConvertTo-SecureString AsPlainText -String P@ssw0rd123 -Force
# $cred = get-credential demo\Administrator

# instalace dalsiho DC (-Credential $cred .. jen v pripade pokud nedojde k prihlaseni
# Jako Administrator z domeny)

$domainname = "demo.local"
$dcname = "AzureDC01.demo.local"
Install-ADDSDomainController -DomainName $domainnameDatabasePath "%SYSTEMROOT%\NTDS"
-LogPath "%SYSTEMROOT%\NTDS"SysvolPath "%SYSTEMROOT%\SYSVOL" -InstallDns
-ReplicationSourceDC $dcname -SafeModeAdministratorPassword $Password

Po restartu nového doménového řadiče je v konzoli „Active Directory Users nad Computers“ již vidět v kontejneru „Domain Controllers“ i nový doménový řadič AzureDC02.

h20

Poté jsem provedl testování fungování replikace pomocí programu repadmin.

h21

To ovšem ohledně nastavení není vše. Je nutné opět modifikovat DNS servery a to jak v Microsoft Azure, tak v On-Premise prostředí. Je nutné přidat druhý DNS server.

h22

Poté jsem provedl znovu restart AzureDC02.

Nastavení DNS serverů na AzureDC01 v On-Premise prostředí…

Poznámka: Žlutě označený text je nutné změnit dle parametrů vašeho prostředí.

# Nastaveni DNS – pozor cislo indexu a IP adresu noveho DC na prvnim miste!
Set-DNSClientServerAddress –InterfaceIndex 12ServerAddresses 172.16.20.10, 10.10.10.150

Třetí doménový řadič (East US):

Přesunul jsem se do jiné subskripce. Před vytvořením třetího doménového řadiče je nejprve nutné vytvořit virtuální sít a dále provést propojení sítí ve smyslu vNet-to-vNet VPN. V původním portálu klikněte na tlačítko „+ NEW“ a pak dále „NETWORK SERVICES“, „VIRTUAL NETWORK“, „CUSTOM CREATE“.

h23

Zobrazí se průvodce vytvoření nové virtuální sítě. Na první kartě jsem zadal do „NAME“ název budoucí virtuální sítě. V poli „LOCATION“ jsem pak vybral umístění virtuální sítě v regionu EAST US. Pokračoval jsem dále pomocí šipky v dolní části průvodce.

h24

Na další kartě je možné v sekci „DNS SERVERS“ zadat IP adresu DNS serverů. V mém případě jsem zde vyplnil IP adresu AzureDC02, tedy 172.16.20.10. Důvod je jednoduchý. Nový doménový řadič AzureDC03 v regionu EAST US, musí být schopen kontaktovat doménový řadič v doméně demo.local. Dále jsem zaškrtnul volbu „Configure a site-to-site VPN“, pro propojení s jinou sítí skrze IPSec VPN. Pokračoval jsem dále pomocí šipky v dolní části průvodce.

h25

Na předposlední kartě se definuje název „LOCAL NETWORK“, tedy lokální sítě. Pro tuto nově vytvářenou síť je „vzdálenou“ sítí, se kterou se chceme propojit pomocí VPN, sít definovaná v regionu WEST EUROPE (Infra-Production – 172.16.20.0/22). Nicméně pro lepší přehlednost jsem novou lokální síť pojmenoval „Prod-West-Europe“. Dále do pole „VPN DEVICE IP ADDRESS“ zadejte IP adresu „VPN proti-strany“. V mém případě se jedná o Microsoft Azure Gateway v jiné subskripci a v jiném regionu (WEST EUROPE). Pokračoval jsem dále pomocí šipky v dolní části průvodce.

h26

Na poslední kartě je možné definovat jednak rozsah virtuální sítě (ADDRESS SPACE) a dale pak jednotlivé podsítě (SUBNETS). A nakonec je nutné definovat „gateway subnet“. Pro dokončení vytvoření virtuální sítě klikněte na tlačítko v dolní části průvodce.

h27

Po vytvoření virtuální sítě je nutné dále vytvořit bránu (Gateway). Tedy kliknul jsem na ikonu “CREATE GATEWAY” v dolní části původního portálu.

h28

Zde pak vyberte volbu „Dynamic Routing“. A potvrďte vytvoření brány.

Upozornění:Vytvoření brány trvá 25-30 minut.

h29

Po vytvoření brány, je bráně přiřazena veřejná IP adresa (GATEWAY IP ADDRESS). Dále klikněte na tlačítko „CONNECT“ na spodní části původního portálu.

h30

Po krátké chvíli je vygenerována událost poukazující na to, že nebylo možné se propojit.

h31

Důvod je jednoduchý. Je nutné dokonfigurovat druhou stranu. Tedy virtuální síť v druhé subskripci v regionu WEST EUROPE. Zde pak v původním portálu klikněte na tlačítko „+ NEW“ a pak dále „NETWORK SERVICES“, „VIRTUAL NETWORK“, „ADD LOCAL NETWORK“.

h32

Spustí se průvodce přidáním „LOCAL NETWORK“. A opět je třeba zadat protistranu. Tentokrát protistranu v regionu EAST US. V mém případě jsem do pole „NAME“ zadal „Prod-East-US“ a do pole „VPN DEVICE IP ADDRESS…“jsem zadal IP adresu brány (GATEWAY) ve virtuální síti Prod-East-US. Pokračoval jsem dále pomocí šipky v dolní části průvodce.

h33

Na další kartě jsem zadal IP rozsah virtuální sítě v regionu East US, a to tedy 192.168.100.0/23. Pokračoval jsem dále pomocí šipky v dolní části průvodce.

h34

Po vytvoření „LOCAL NETWORK“ v regionu „WEST EUROPE“ umožnující se propojit s virtuální síti v regionu „EAST US“ jsem potřeboval zjistit aktuální „MANAGE KEY“. Jedná se v podstatě o PRE-SHARED KEY, použitý v rámci sestavení a negociace IPSec tunelu/VPN.

Kliknutím na ikonu „MANAGE KEY“ se zobrazí klíč. Ten je nutné si zkopírovat.

Upozornění: Neprovádějte regeneraci klíče, jinak přestane fungovat VPN tunel mezi virtuální sítí v regionu WEST EUROPE a On-Premise sítí/sítěmi.

h36

Poznámka: Žlutě označený text je nutné změnit dle parametrů vašeho prostředí.

# Prihlaste se pomoci uctu, ktery ma prava k subskripci “East US”
Add-AzureAccount

# Vyberte spravnou subskripci
Select-AzureSubscription -SubscriptionId "<subscription_name>"

# Nastavte manage key pro virtualni sit Prod-East-US
Set-AzureVNetGatewayKey -VNetName "Prod-East-US"LocalNetworkSiteName "Prod-West-Europe" -SharedKey shared_key

Dále je třeba zajistit, aby se bylo možné připojit z více bodů. Tedy z více sítí do jedné sítě, nebo do více sítí současně. Přes grafické rozhraní je možné nastavit jen jedno spojení. Proto je nutné tento problém obejít. A to editaci konfiguračního souboru virtuální sítě. Pomocí tlačítka „EXPORT“ proveďte vyexportování konfigurace do souboru s příponou .xml

h37

Uložení konfiguračního souboru virtuální sítě.

h38

Následně pomocí vašeho oblíbeného editoru proveďte editaci tohoto XML souboru. Například pomocí Notepadu. Je nutné upravit sekci začínající <Gateway> a přidat připojení k další síti. V mém případě k síti "Prod-East-US". Změny uložte.

<NetworkConfiguration xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns="http://schemas.microsoft.com/ServiceHosting/2011/07/NetworkConfiguration">
<VirtualNetworkConfiguration>
<Dns>
<DnsServers>
<DnsServer name="10.10.10.150" IPAddress="10.10.10.150" />
<DnsServer name="192.168.0.10" IPAddress="192.168.0.10" />
</DnsServers>
</Dns>
<LocalNetworkSites>
<LocalNetworkSite name="Premis-Azure1">
<AddressSpace>
<AddressPrefix>10.10.10.0/24</AddressPrefix>
</AddressSpace>
<VPNGatewayAddress>188.75.144.18</VPNGatewayAddress>
</LocalNetworkSite>
<LocalNetworkSite name="Prod-East-US">
<AddressSpace>
<AddressPrefix>192.168.100.0/23</AddressPrefix>
</AddressSpace>
<VPNGatewayAddress>40.121.143.205</VPNGatewayAddress>
</LocalNetworkSite>
</LocalNetworkSites>
<VirtualNetworkSites>
<VirtualNetworkSite name="Group Group CloudLinkKPCS1" Location="West Europe">
<AddressSpace>
<AddressPrefix>10.0.0.0/16</AddressPrefix>
</AddressSpace>
<Subnets>
<Subnet name="Subnet-1">
<AddressPrefix>10.0.0.0/24</AddressPrefix>
</Subnet>
</Subnets>
</VirtualNetworkSite>
<VirtualNetworkSite name="Group Group-4 Nagios001" Location="West Europe">
<AddressSpace>
<AddressPrefix>10.2.0.0/16</AddressPrefix>
</AddressSpace>
<Subnets>
<Subnet name="Subnet-1">
<AddressPrefix>10.2.0.0/24</AddressPrefix>
</Subnet>
</Subnets>
</VirtualNetworkSite>
<VirtualNetworkSite name="Infra-Production" Location="West Europe">
<AddressSpace>
<AddressPrefix>172.16.20.1/22</AddressPrefix>
</AddressSpace>
<Subnets>
<Subnet name="Subnet-1">
<AddressPrefix>172.16.20.0/24</AddressPrefix>
</Subnet>
<Subnet name="GatewaySubnet">
<AddressPrefix>172.16.23.0/29</AddressPrefix>
</Subnet>
</Subnets>
<DnsServersRef>
<DnsServerRef name="10.10.10.150" />
</DnsServersRef>
<Gateway>
<ConnectionsToLocalNetwork>
<LocalNetworkSiteRef name="Premis-Azure1">
<Connection type="IPsec" />
</LocalNetworkSiteRef>
<LocalNetworkSiteRef name="Prod-East-US">
<Connection type="IPsec" />
</LocalNetworkSiteRef>
</ConnectionsToLocalNetwork>
</Gateway>
</VirtualNetworkSite>
<VirtualNetworkSite name="LAB_70-411" Location="West Europe">
<AddressSpace>
<AddressPrefix>192.168.0.0/20</AddressPrefix>
</AddressSpace>
<Subnets>
<Subnet name="Subnet-1">
<AddressPrefix>192.168.0.0/23</AddressPrefix>
</Subnet>
</Subnets>
<DnsServersRef>
<DnsServerRef name="192.168.0.10" />
</DnsServersRef>
</VirtualNetworkSite>
</VirtualNetworkSites>
</VirtualNetworkConfiguration>
</NetworkConfiguration>

Následně je nutné upravenou konfiguraci sítě naimportovat. V původním portálu klikněte na tlačítko “+ NEW“ a dále „NETWORK SERVICES“, „VIRTUAL NETWORK“, „IMPORT CONFIGURATION“.

h39

Vyberte upravený soubor konfigurace virtuální sítě a klikněte na tlačítko šipky v dolní části průvodce importem konfigurace.

h40

Dále je zde vidět přehled toho co bude změněno, nebo kde nedojde k žádným změnám. Pro import konfigurace klikněte na tlačítko v dolní části průvodce.

h41

Po úspěšném importu konfigurace je na první podhled patrné, že způsob zobrazení se změnil. Nyní je vidět že vůči bráně ve virtuální síti Infra-productionjsou nastaveny dvě připojení. A jak je patrné připojení vůči druhé subskripci v regionu East US je odpojeno.

h42

V rámci menu „CONFIGURE“ jde vidět, že volba „LOCAL NETWORK“ se změnila na „multiple

h43

Pro vyřešení tohoto problému, tedy že není sestaveno spojení se sítí Prod-East-US je nutné provést následující kroky.

Poznámka: Žlutě označený text je nutné změnit dle parametrů vašeho prostředí.

# Prihlaste se pomoci uctu, ktery ma prava k subskripci “WEST EUROPE”
Add-AzureAccount

# Vyberte spravnou subskripci – WEST EUROPE
Select-AzureSubscription -SubscriptionId "<subscription_name>"

# nastavte manage key pro spojeni siti Infra-Production a Prod-East-US
Set-AzureVNetGatewayKeyVNetName "Infra-Production"LocalNetworkSiteName "Prod-East-US" -SharedKey Shared_key

# vynutte pripojeni obou siti
Set-AzureVNetGateway -VNetName "Infra-Production" -LocalNetworkSiteName "Prod-East-US" –Connect

# kontrola stavu propojeni siti
Get-AzureVnetConnectionVNetName "Infra-Production"

h44

A konečně se dostáváme k samotnému vytvoření třetího doménového řadiče. Vytvořil jsem v jiné subskripci v regionu East US nový virtuální stroj.

h45

Nejpodstatnější je opět zařadit nově vytvářený virtuální stroj do správné virtuální sítě.

h46

Dále je opět nutné znovu pro budoucí doménový řadič rezervovat statickou interní IP adresu.

h47

A jako minule je nutné prověřit konektivitu mezi AzureDC03 a AzureDC02.

h48

h49

h50

Provedl jsem instalaci třetího doménového řadiče.
Poznámka: Žlutě označený text je nutné změnit dle parametrů vašeho prostředí.

# Povoleni firewallovych pravidel ###########
Import-Module NetSecurity

# Povoleni RDP
Enable-NetFirewallRuleDisplayGroup "Remote Desktop"

# Povoleni ICMP ECHO
Set-NetFirewallRule -DisplayName “File and Printer Sharing (Echo Request – ICMPv4-In)” -enabled True

# Povoleni vzdaleneho managementu
Enable-NetFirewallRule -DisplayGroup "Windows Remote Management"

# Povoleni vzdalene spravy Firewallu
netsh advfirewall firewall set rule group="Windows Firewall Remote Management" new enable =yes

# Instalace ADDS sluzby a souvisejicich komponent #############
# Instalovace potrebnych komponent (-IncludeManagementTools .. prepinac nelze pouzit v pripade Windows Server Core!)

Install-WindowsFeature -Name AD-Domain-Services, DNS, RSAT-AD-PowerShellIncludeManagementTools

# Instalace dalsiho/dalsich DC … ##############
$Password = ConvertTo-SecureStringAsPlainText -String P@ssw0rd123Force
$cred = get-credential demo\Administrator

# Test zda lze nainstalovat dalsi DC
Test-ADDSDomainControllerInstallationInstallDns -Credential $credDomainName demo.local | ft -AutoSize

# Pripojit pocitac do domeny
Add-ComputerComputerName localhost Domain demo.localCredential $credRestart
# DSRM Heslo a secure password
# Prihlasit se pres RDP jako Administrator z domeny

$Password = ConvertTo-SecureStringAsPlainText -String P@ssw0rd123Force
# $cred = get-credential demo\Administrator

# instalace dalsiho DC (-Credential $cred .. jen v pripade pokud nedojde k prihlaseni
# Jako Administrator z domeny)

$domainname = "demo.local"
$dcname = "AzureDC02.demo.local"
Install-ADDSDomainControllerDomainName $domainnameDatabasePath "%SYSTEMROOT%\NTDS"
-LogPath "%SYSTEMROOT%\NTDS" -SysvolPath "%SYSTEMROOT%\SYSVOL" –InstallDns
ReplicationSourceDC $dcnameSafeModeAdministratorPassword $Password

Nakonec je nutné upravit DNS servery, tedy přidat další DNS servery. Tak jak to bylo popsáno dříve.

Po instalaci všech doménových řadičů je vhodné vytvořit novou site a do ní přesunout doménový řadič z regionu East US. Přece jenom je zde předpoklad, že latence budou vyšší při propojení mezi WEST EUROPE a EAST US.

h51

Pokud jsem se pokusil vynutit replikaci skrze všechny Sites, došlo k chybě. AzureDC01 je nedostupný z AzureDC03. Důvod je jednoduchý. Mezi jednotlivými sítěmi nefunguje automatické routování. Proto je nutné navíc propojit samostatně On-Premis sít(ě) s virtuální sítí v regionu EAST US!

h52

Odkazy na další informace:

https://azure.microsoft.com/en-us/documentation/articles/vpn-gateway-multi-site/

https://azure.microsoft.com/en-us/documentation/articles/virtual-networks-create-vnet-classic-portal/#export-and-import-virtual-network-settings-using-the-management-portal

https://azure.microsoft.com/en-us/documentation/articles/virtual-networks-configure-vnet-to-vnet-connection/

Pokud pak potřebujete, řešit konkrétní problémy související s Microsoft Azure:

https://social.technet.microsoft.com/Forums/cs-CZ/home?forum=windowsazurecz

– Jakub Heinz, KPCS CZ

Comments (1)

  1. aw says:

    hai, I just want to tell you that I am just very new to blogs and seriously loved this website. More than likely I’m planning to bookmark your blog post .
    You amazingly come with really good posts. Thanks a lot for sharing your blog Microsoft.

    http://www.lokerjobindo.com/search/label/Loker%20Daerah%20Aceh
    http://www.lokerjobindo.com/search/label/Loker%20Daerah%20Bali
    http://www.lokerjobindo.com/search/label/Loker%20Daerah%20Balikpapan
    http://www.lokerjobindo.com/search/label/Loker%20Daerah%20Bandung
    http://www.lokerjobindo.com/search/label/Loker%20Daerah%20Banjarmasin
    http://www.lokerjobindo.com/search/label/Loker%20Daerah%20Banten
    http://www.lokerjobindo.com/search/label/Loker%20Daerah%20Batam
    http://www.lokerjobindo.com/search/label/Loker%20Daerah%20Bekasi
    http://www.lokerjobindo.com/search/label/Loker%20Daerah%20Bengkulu
    http://www.lokerjobindo.com/search/label/Loker%20Daerah%20Bogor
    http://www.lokerjobindo.com/search/label/Loker%20Daerah%20Bontang
    http://www.lokerjobindo.com/search/label/Loker%20Daerah%20Cianjur
    http://www.lokerjobindo.com/search/label/Loker%20Daerah%20Cikarang
    http://www.lokerjobindo.com/search/label/Loker%20Daerah%20Cilegon
    http://www.lokerjobindo.com/search/label/Loker%20Daerah%20Cirebon
    http://www.lokerjobindo.com/search/label/Loker%20Daerah%20Denpasar
    http://www.lokerjobindo.com/search/label/Loker%20Daerah%20Jakarta
    http://www.lokerjobindo.com/search/label/Loker%20Daerah%20Jambi
    http://www.lokerjobindo.com/search/label/Loker%20Daerah%20Jember
    http://www.lokerjobindo.com/search/label/Loker%20Daerah%20Karawang
    http://www.lokerjobindo.com/search/label/Loker%20Daerah%20Kendal
    http://www.lokerjobindo.com/search/label/Loker%20Daerah%20Kudus
    http://www.lokerjobindo.com/search/label/Loker%20Daerah%20Kupang
    http://www.lokerjobindo.com/search/label/Loker%20Daerah%20Lampung
    http://www.lokerjobindo.com/search/label/Loker%20Daerah%20Madiun
    http://www.lokerjobindo.com/search/label/Loker%20Daerah%20Makasar
    http://www.lokerjobindo.com/search/label/Loker%20Daerah%20Malang
    http://www.lokerjobindo.com/search/label/Loker%20Daerah%20Maluku
    http://www.lokerjobindo.com/search/label/Loker%20Daerah%20Manado
    http://www.lokerjobindo.com/search/label/Loker%20Daerah%20Medan
    http://www.lokerjobindo.com/search/label/Loker%20Daerah%20NTT
    http://www.lokerjobindo.com/search/label/Loker%20Daerah%20Padang
    http://www.lokerjobindo.com/search/label/Lowongan%20Kerja%20Serang
    http://www.lokerjobindo.com/search/label/Loker%20Daerah%20Tangerang
    http://www.lokerjobindo.com/search/label/Lowongan%20Kerja%20BUMN
    http://www.lokerjobindo.com/search/label/Lowongan%20Kerja%20Terbaru
    http://www.lokerjobindo.com/search/label/Lowongan%20Kerja%20Bank
    http://www.lokerjobindo.com/search/label/Lowongan%20Kerja%20SMA
    http://www.lokerjobindo.com

Skip to main content