windowsazure_logo_1

  

HOWTO:在 Windows Azure 虚机上配置 SSTP VPN

  

        VPN(虚拟专用网)大家并不会感到陌生,在 Windows Azure 上启用 VPN 服务的意义就更没必要多解释什么,大家自己心里知道就好!

  

        目前 gOxiAWindows Azure 的虚拟机上经过实践,基于 SSTP 的 VPN 是能够正常运作的,所以今天的内容也仅向大家介绍如何在 Windows Azure 虚拟机上配置 SSTP VPN。有关 VPN 常用协议的具体资料可以访问 TechNet LibraryVPN 隧道协议 的文章。

  

        要启用基于 SSTP 协议的 VPN 服务,需要准备一张证书,申请证书比较简单的办法就是用 SelfSSL 工具创建一个自签名证书,并将证书安装到 Windows Azure 虚拟机系统的计算机账户上,同时还要将证书导入到客户端“受信任的根证书颁发机构”中。这一配置过程就不再复述,创建自签名证书可参考下面的命令行:

  

selfssl.exe /N:cn=name.cloudapp.net /V:3650

  

        接下来还要准备一台虚拟机,并在 Endpoint(端点)配置中创建 TCP 443 映射。

  

        准备工作就绪,现在打开服务器管理器,添加角色和功能;勾选“Remote Access”,在后续的角色服务选择中复选“DirectAccess and VPN(RAS)”和“Routing”。

  

image

  

image

  

        稍等片刻完成安装,Windows Server 2012 系统会要求重启系统,Windows Server 2012 R2 可直接开始进行初始配置。在“Configure Remote Access”中选择“Deploy VPN Only”,完成之后向导会自动打开 RRAS 控制台。

  

image

  

image

  

        在 RRAS 控制台选中当前服务器,鼠标右键点击,执行“Configure and Enable Routing and Remote Access”,选择 Custom 进行自定义配置,在服务列表中只选择“VPN access”和“NAT”,之后跟随向导完成后续步骤,启动 RRAS 服务。

  

image

  

        回到 RRAS 控制台界面进入当前服务器属性,切换到“Security”选项卡,选择之前导入的自签名证书。

  

image

  

        再切换至“IPv4”选项卡,启用静态地址池,即“Static address pool”,并手工输入一个地址范围,如:192.168.2.1~192.168.2.20,最后确认完成整个设置。

  

image

  

        至此, SSTP VPN 的配置我们已经接近完成,现在 RRAS 控制台依次展开列表,选中 IPv4 下的 NAT,右键点击执行“New Interface”,进行网卡的添加。

  

image

  

        添加网卡时选择名为以太网开头的网卡(Ethernet)非 Internal,并在随后弹出的属性设置中,为 NAT 选择“Public interface connected to the Internet”,并复选“Enable NAT on this interface”。

  

image

  

        服务器端的配置告一段落,现在回到客户端计算机添加 VPN 连接,VPN 类型为 SSTP(安全套接字隧道协议),并允许“Microsoft CHAP Version 2(MS-CHAP v2)”协议。

  

image

  

        现在启动 VPN 连接,便可无限畅游国际互联网。连接 VPN 用户请确认是否允许进行远程连接。如果遇到其他错误,可参考“Troubleshooting common VPN related errors”。

office365-logo_thumb[1]

HOWTO: 为 Office 365 配置 Active Directory 同步

        Office 365 提供的 Active Directory 同步(目录同步)功能,可实现组织内的本地目录服务与组织 Windows Azure AD 租户集成,这一举措将极大降低 IT 管理员的管理和维护任务,同时也向用户提供了更加简化的登录体验。

        默认情况下,当一个组织订阅了 Office 365,并将域名准备就绪后,就需要为用户添加账号,这是一项繁琐的工作,虽然在 Office 365 中也提供了批量添加用户的功能,但是对于那些已经在组织本地内实现目录管理的企业来说,使用 Office 365 的目录同步应该是最明智的选择。因为 Office 365 的目录同步功能可动态的将组织内的目录服务与云进行同步,这样可免去 IT 管理员重复添加账号信息的工作,尤其是可对账户密码进行统一的管理和维护,最终用户无需同时记录一个相同账户的两个密码。

        要实现目录同步其实非常简单,在 Office 365 管理中心内的用户和组管理中提供了路线化的实施向导,共计6个步骤:

  1. 准备进行目录同步  
  2. 安装目录同步工具  
  3. 同步目录  
  4. 验证目录同步  
  5. 激活同步用户  
  6. 管理目录同步

        在开始实施前,我们应当进行目录同步的需求准备工作,微软给出了准备目录同步的详细指导,http://technet.microsoft.com/zh-cn/library/jj151831.aspx,在文中我们需要注意的几点如下:

  • 目录同步计算机必须加入 Active Directory,即成员服务器。  
  • 目录同步计算机不能是域控制器  
  • 目录同步计算机必须运行 Microsoft .NET Framework 3.x 和 4.x,虽然官方文档提示必须 3.x,但实际操作时 4.x 也是成功安装的关键。  
  • 目录同步计算机 IE 浏览器版本必须是 IE10 或更高,虽然官方未提到这点,但如果低于 IE10 会发现无法正常执行部署。  
  • 目录同步计算机必须运行 Windows PowerShell  
  • 目录同步计算机必须位于访问受控制的环境中,官方文档中提示用户只有能够访问活动目录域控制器和其他敏感网络组件的用户才能访问运行目录同步工具的计算。

        综上所述,建议选择一台 Windows Server 2008 R2 Standard 服务器作为目录同步计算机,并安装上述要求安装或升级必须的软件。

        现在,我们可以进入 Office 365 管理中心的用户和组管理页面,在活动用户选项页面中点击 Active Directory 同步旁的设置链接,开始执行目录同步任务。

image

        首先,参考指导步骤1、2条检查准备工作是否就绪,然后通过步骤3,激活 Office 365 的目录同步功能。

image

        目录同步服务被激活后,强烈建立先访问 Office 365 Onramp 网站对目录同步计算机执行一次检查工作。可参考下面截图。

image

image

image

image

image

image

image

image

image

       执行检查向导的目的主要是为了保证当前目录同步计算机的软件符合其需求。在早些时候,因为相关软件版本不匹配导致的安装失败问题还是很常见的。

       现在,下载目录同步工具,进行安装。安装过程很简单,整个过程中向导会在目录同步计算机上安装 SQL Server Express,并创建一个用于目录同步所需的账号,安装完成后便可开始进行配置。需要注意的是,如果在安装过程中出现错误导致无法完成安装,只需要重新执行安装即可。在实际操作中发现,此类问题还是比较常见的。

1

2

3

4

5

        现在跟随向导完成后续的配置,这里需要准备好 Office 365 管理员的凭据以及企业内部活动目录的凭据。凭据验证通过,即实现将内部活动目录服务上的数据同步至云端。在这一系列步骤中,强烈推荐启用密码同步选项,这样用户本地账号密码即可与云端账号密码统一,但是在启用的同时也需要注意,因为云端密码策略要求比较高,必须是复杂强密码格式,所以如果本地账号密码不符合强密码要求,会导致同步失败。

6

7

8

9

10

11

12

13

        至此,Office 365 目录同步的安装和初始配置工作即告一段落!等待片刻就会在 Office 365 管理中心的用户和组中看到组织内部的账号同步过来了,之后就可以统一为这些用户账号分配许可证。此外我们还能利用目录同步工具的筛选功能,仅同步指定类别的账号。

windowsazure_logo_1 bb545021_hero_windows_sysinternals(en-us,MSDN_10)

        Windows Azure 已经来到中国,虽然目前只提供试用服务,但相信在不久的将来,广大用户终将享用这一微软提供的高品质云计算服务。gOxiA 在6月份提交了试用申请,就在前几天审批终于下来,拿到了试用激活码,立刻激活了试用权益,可以好好体验一下中国版的 Windows Azure。(PS: 其实早在7月份 gOxiA 就开始使用 Windows Azure 的国际版,嘿嘿!)

        虽然微软承诺为 Windows Azure 的虚拟机提供 99.95% 的计算 SLA,但作为用户还是要定期将云中的数据拉回到本地备份一份。

        Windows Azure 存储管理中,我们可以下载虚拟机的 VHD,但是前提是必须事先关闭这些虚拟机,即使你发现未关闭虚机的情况下也能下载,但是几分钟后下载进程便会中断。要关闭虚机才能下载 VHD,即要中断服务,而且一般 VHD 的容量都不小,即使在光纤专线下,从 Windows Azure 下载这些数据也需要不少的时间。所以,通过此法备份 VHD 显然不可行!

image

        Windows Azure 存储概览页面中,提供了其他第三方开发的存储资源管理器链接,但是经过比较和试用,也并不能起到很好的作用。因为通常虚拟机上都会运行 Web 和数据库服务,对于文件备份还比较简单,但是数据库的完整备份就需要停止数据库服务,否则运行中涉及的数据文件都是独占模式,根本无法打包拷贝。此外,将零散的备份数据拉回本地也是相当繁琐的。

        如何能在节省资源的情况下,快速备份整个数据磁盘呢?!

        目前 gOxiA 想到了两个办法,第一个最为简单快速,但实现的目标比较单一,即使用 Windows Sysinternals 提供的 Disk2VHD 工具,gOxiA 早在09年10月就介绍过这款小工具 http://goxia.maytide.net/read.php/1307.htm,利用它便可以在不停机、不停服务的情况下快速创建当前系统上磁盘的镜像。在创建了数据磁盘镜像后,我们便可将其放置到 Web 目录或 FTP 中,将其拉回到本地存储。此外,Disk2VHD 还有一个显著的特点,可将产生的磁盘镜像文件,存储在要捕获镜像的磁盘卷上。

Disk2vhd

        另一个办法即使用系统内置的 Windows Server Backup,功能强大,而且还可以执行计划备份,但是要备份的数据不能包含备份存储所在的磁盘卷上,所以通常要为备份单独准备一个磁盘,这无形中便会增加了资源的占用,并会在 Windows Azure 中产生一些费用。

image

        如果只是简单的不定时的做些备份,gOxiA 倒是推荐第一个办法,如果备份属于必须的计划内工作,那么选择第二种最为合适。因为备份磁盘不必一直在线,所以可以在 Windows Azure 门户中进行操作将其与虚机分离,然后再下载到本地。

        两种备份方法都是对磁盘卷进行镜像操作,因为使用了卷影技术所以不需要中断那些独占存储的应用或服务,而且用户所获得的备份还将包含完整的磁盘目录结构信息,特别是目录安全设置等信息。此外,还可以备份系统镜像,这样便可在需要的时候将其挂载到本地环境下运行。

分页: 22/23 第一页 上页 17 18 19 20 21 22 23 下页 最后页 [ 显示模式: 摘要 | 列表 ]