Azure上搭建AD RMS环境系列一-测试环境构建及虚机配置

随着现在移动设备以及个人电脑的全方面普及,企业已经无法做到将公司文件只保留在公司可控的范围内,因此近期有较多的客户在选择使用Office 365的同时,对文档信息的管理及保护也提出了迫切的需求。然而传统的做法,通过预估客户的使用需求,制定采购方案来本地部署RMS Server的方式以及无法跟进Office 365的快速部署的周期,无法做到在客户全面铺开使用Office 365的同时,完成RMS Server的搭建来给客户信息进行保护。

另外,越来越多的公司提出了“绿色办公”,“简易IT部署”等数字化转型里面,机房租赁或本地采购硬件已经不再是公司数字化转型中的第一选择。因此在云端快速部署相应的RMS服务器是公司配合Office 365部署的推荐方案,并且公司可以根据,公司调整,人员调整及业务量调整灵活增减所需的虚机数量,更精准的控制公司的成本。

本次测试环境中,将会模拟公司的使用场景,实现文档可以在域内以及域外都受到权限的管控,因此本实验中使用以下的架构来简单模拟生产环境。

本次实验的重点在于RMS高可用群集,因此ADFS服务器简化为单台服务器来是实现单点登录的功能,在生产环境下,推荐配套使用adfsproxy服务器并部署高可用群集来保证公司AD架构的安全:

完整的高可用性联合身份验证解决方案请参考:

https://technet.microsoft.com/zh-cn/library/mt808285.aspx

下面我们开始实验环境的搭建:

首先给出测试环境中所使用的资源清单:

测试环境部署过程将会按照以下步骤进行:

1、申请一个公网域:ocpsmc.top

2、申请一张通配符公网证书(或者两张二级域名正式):*.ocpsmc.top

3、安装AD域服务器,并建2个服务账户及2个测试账户

4、安装配置一台SQL2012服务器

5、安装配置两台ADRMS服务器,同时配置外部DNS域,添加相关A记录

6、配置一台AzureAD Connect目录同步服务器,实现本地AD与Office 365的同步,并分配邮箱、添加域名等

7、安装一台ADFS服务器,同时配置外部DNS域,添加相关A记录

8、配置本地ADRMS与Office365的整合

下面将展开详细讲述每一步骤:

Azure上添加虚机:

以添加域控制器DCRMSFULL为例,需要在创建虚机的第三步骤中注意:

不同于本地部署的过程,这里再为所有域内服务器配置网络环境的环节,除了要将虚机放在同一个虚拟网络的子网段中,还需要注意将网络安全组都设置在同一安全组中,从而确保域内服务器间的相关端口可以互联互通。默认的虚机创建过程中,网络配置中会设置在同一个虚拟网络及子网中,但会为每个虚机添加一个全新的网络安全组。

另外对于后续想通过Azure做高可用组的服务器,需要在创建虚机时就给同一群集中的虚机添加到相应的可用集中。

为了保证虚机之间是否相互联通,在创建新的网络安全组时,需要检查是否在入站规则中添加了允许RDP 3389端口的规则。

根据以上的原则,将对应的虚机都创建完毕,并且将后续需要发布到公网的服务所在的服务器设置静态IP。之后对域控制器安装域控角色,建立对应的服务账户及测试账户,最后再将其他服务器加入域后就完成了初步的环境搭建工作。

接下来在第二篇文章中将会详细介绍如何在虚机中启用RMS服务群集以及相关的注意事项。

  • 发表于:
  • 原文链接http://kuaibao.qq.com/s/20180305G0ZY5200?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。

扫码关注云+社区

领取腾讯云代金券