Azure上搭建AD RMS环境系列一 --测试环境构建及虚机配置
来源:互联网 发布:java疯狂讲义 pdf 编辑:程序博客网 时间:2024/06/18 14:59
Azure上搭建AD RMS环境系列一
--测试环境构建及虚机配置
随着现在移动设备以及个人电脑的全方面普及,企业已经无法做到将公司文件只保留在公司可控的范围内,因此近期有较多的客户在选择使用Office 365的同时,对文档信息的管理及保护也提出了迫切的需求。然而传统的做法,通过预估客户的使用需求,制定采购方案来本地部署RMS Server的方式以及无法跟进Office 365的快速部署的周期,无法做到在客户全面铺开使用Office 365的同时,完成RMS Server的搭建来给客户信息进行保护。
另外,越来越多的公司提出了“绿色办公”,“简易IT部署”等数字化转型里面,机房租赁或本地采购硬件已经不再是公司数字化转型中的第一选择。因此在云端快速部署相应的RMS服务器是公司配合Office 365部署的推荐方案,并且公司可以根据,公司调整,人员调整及业务量调整灵活增减所需的虚机数量,更精准的控制公司的成本。
本次测试环境中,将会模拟公司的使用场景,实现文档可以在域内以及域外都受到权限的管控,因此本实验中使用以下的架构来简单模拟生产环境。
本次实验的重点在于RMS高可用群集,因此ADFS服务器简化为单台服务器来是实现单点登录的功能,在生产环境下,推荐配套使用adfs proxy服务器并部署高可用群集来保证公司AD架构的安全:
完整的高可用性联合身份验证解决方案请参考:
https://technet.microsoft.com/zh-cn/library/mt808285.aspx
下面我们开始实验环境的搭建:
首先给出测试环境中所使用的资源清单:
序号
组件
版本
功能
数量
1
AD服务器
Windows 2012 R2
AD域服务及与Office 365同步
1
2
RMS服务器
Windows 2012 R2
权限管理服务器
2
3
SQL数据库服务器
Windows 2012 R2
RMS及ADFS配置及证书存放
1
4
ADFS服务器
Windows 2012 R2
联合身份验证
1
5
21V Office 365
E3
邮件云平台
25
6
公网证书
通配符证书
ADFS以及ADRMS SSL加密
1
7
公网IP
由Azure虚机提供
3
8
AD域名
1
测试环境部署过程将会按照以下步骤进行:
1、 申请一个公网域:ocpsmc.top
2、 申请一张通配符公网证书(或者两张二级域名正式):*.ocpsmc.top
3、 安装AD域服务器,并建2个服务账户及2个测试账户
4、 安装配置一台SQL2012服务器
5、 安装配置两台ADRMS服务器,同时配置外部DNS域,添加相关A记录
6、 配置一台AzureAD Connect目录同步服务器,实现本地AD与Office365的同步,并分配邮箱、添加域名等
7、 安装一台ADFS服务器,同时配置外部DNS域,添加相关A记录
8、 配置本地ADRMS与Office365的整合
下面将展开详细讲述每一步骤:
Azure上添加虚机:
以添加域控制器DCRMSFULL为例,需要在创建虚机的第三步骤中注意:
不同于本地部署的过程,这里再为所有域内服务器配置网络环境的环节,除了要将虚机放在同一个虚拟网络的子网段中,还需要注意将网络安全组都设置在同一安全组中,从而确保域内服务器间的相关端口可以互联互通。默认的虚机创建过程中,网络配置中会设置在同一个虚拟网络及子网中,但会为每个虚机添加一个全新的网络安全组。
另外对于后续想通过Azure做高可用组的服务器,需要在创建虚机时就给同一群集中的虚机添加到相应的可用集中。
为了保证虚机之间是否相互联通,在创建新的网络安全组时,需要检查是否在入站规则中添加了允许RDP 3389端口的规则。
根据以上的原则,将对应的虚机都创建完毕,并且将后续需要发布到公网的服务所在的服务器设置静态IP。之后对域控制器安装域控角色,建立对应的服务账户及测试账户,最后再将其他服务器加入域后就完成了初步的环境搭建工作。
接下来在第二篇文章中将会详细介绍如何在虚机中启用RMS服务群集以及相关的注意事项。
文末彩蛋:
这边抛出一个创建过程中遇到的关于Azure网络安全组的问题,也希望资深的前辈路过可以帮忙解答:
如果将环境中的虚机默认各自创建网络安全组,但在域内关闭所有服务器上的防火墙,之后使用ipconfig,telenet,nslookup,ping等测试命令都能实现服务器间互相测通,但使用RMS服务时,却会得到以下RMS无法连接到域控服务器的问题:
奇怪的是,对应的ADFS服务,却可以连接到域控服务器,不会因为独立的网络安全组而影响服务。
- Azure上搭建AD RMS环境系列一 --测试环境构建及虚机配置
- Azure上搭建AD RMS环境系列二 -- RMS群集安装及内网测试
- Azure上搭建AD RMS环境系列三 -- ADFS搭建及域外公网测试
- Azure上搭建AD RMS环境系列四 -- 安装扩展插件实现第三方文档管控
- ELK实践系列-测试环境环境搭建
- Microsoft AD RMS 開發筆記(一) 關於AD RMS筆記系列
- php+mysql注入环境搭建及测试(上)
- ubuntu上搭建配置mysql和tomcat测试环境
- OSGI系列一---环境搭建
- Tensorflow系列一:环境搭建
- Hadoop系列~环境搭建,单机/伪分布式配置(一)
- Hadoop环境搭建及测试
- libgdx环境搭建及测试
- S2S3H4 SSH框架 搭建 环境配置及测试
- 构建Python+Selenium2自动化测试环境<一>
- 构建Python+Selenium2自动化测试环境<一>
- 构建Python+Selenium2自动化测试环境<一>
- ubuntu开发环境搭建(一)ssh安装及配置
- win10下使用IIS搭建外网可访问的网站
- 这是文章的标题
- psd2ugui
- 微信小程序API——向服务器发送请求
- 输入时可输入copy,体现出文件的复制
- Azure上搭建AD RMS环境系列一 --测试环境构建及虚机配置
- latex 特殊符号意义-常更新
- 第一个程序 取名“holle world” 2017.12.16
- PAT 1018. 锤子剪刀布
- MapReduce WordCount 编码实战
- mybatis详解-(12)配置多种数据库SQL解析
- 机器学习中的Softmax函数
- TCP通信
- vue子组件获取父组件方法