使用 Amazon Web Services 管理控制台添加或移除额外的域控制器

为 Amazon Managed Microsoft AD 部署额外的域控制器

为 Amazon Managed Microsoft AD 部署额外的域控制器将增加冗余度，从而提供更好的恢复能力和更高的可用性。这种做法还可以通过支持更多的 Active Directory 请求，改善目录的性能。例如，您现在可以使用 Amazon Managed Microsoft AD 支持部署在大量 Amazon EC2 和 Amazon RDS for SQL Server 实例上的多个 .NET 应用程序。

当您首次创建目录时，Amazon Managed Microsoft AD 会跨多个可用区部署两个域控制器，这是实现高可用性所必需的。之后，您只需指定所需域控制器的总数，即可通过 Amazon Directory Service 控制台轻松部署额外的域控制器。AmazonManaged Microsoft AD 将向其上正在运行您的目录的可用区和 Amazon VPC 子网分限额外的域控制器。

例如，在下图中，DC-1 和 DC-2 代表最初随您的目录一起创建的两个域控制器。在 Amazon Directory Service 控制台中，这些默认域控制器为必需的控制器。Amazon在目录创建过程中，Managed Microsoft AD 特意将各个域控制器放入分隔的可用区中。之后，您可能决定添加另两个域控制器，以帮助分布峰值登录时间的身份验证负载。DC-3 和 DC-4 均表示新的域控制器，在控制台中，现在将它们表示为额外控制器。和以前一样，Amazon Managed Microsoft AD 会再次自动将新域控制器放置在不同的可用区中，以确保您的域的高可用性。

通过此过程，您将不再需要手动配置目录数据复制、自动化每日快照或对额外域控制器进行监控。此外，您可以更轻松地在 Amazon Web Services 云中迁移和运行任务关键型 Active Directory 集成工作负载，而不必部署和维护您自己的 Active Directory 基础设施。

您可以使用以下任一工具在您的 Amazon Managed Microsoft AD 中部署或移除额外的域控制器：

update-number-of-domain-controllers Amazon CLI 命令
UpdateNumberOfDomainControllers API
使用 Amazon Web Services 管理控制台添加或移除额外的域控制器

注意

额外的域控制器是 Amazon Managed Microsoft AD 的一项区域功能。如果您使用的是多区域复制，则必须分别在每个区域中应用以下过程。有关更多信息，请参阅全局与区域特色。

使用 Amazon Web Services 管理控制台添加或移除额外的域控制器

您可以使用 Amazon Web Services 管理控制台为 Amazon Managed Microsoft AD 添加或移除额外的域控制器。

先决条件

在为 Amazon Managed Microsoft AD 添加或移除额外的域控制器之前，请查看以下有关域控制器要求的更多信息：

在部署额外的域控制器后，您可以将域控制器的数量减少为两个，这是实现容错和高可用性目的所需的最小数量。
已删除的域控制器将从额外域控制器列表中删除。主域控制器和辅助域控制器是必需的，无法删除。
如果您已配置您的 Amazon Managed Microsoft AD 来启用 LDAPS，则您添加的任意额外域控制器也会自动启用 LDAPS。有关更多信息，请参阅启用安全 LDAP 或 LDAPS。

过程

按照以下过程使用 Amazon Web Services 管理控制台、Amazon CLI 或 PowerShell 在 Amazon Managed Microsoft AD 中部署或移除额外的域控制器。

Amazon Web Services 管理控制台

使用 Amazon Web Services 管理控制台添加或移除额外的域控制器

在 Amazon Directory Service 控制台导航窗格中，选择目录。
在目录页面上，选择您的目录 ID。
在报告详细信息页面上，执行以下操作之一：
- 如果多区域复制下显示多个区域，选择要添加或移除域控制器的区域，然后选择扩展和共享选项卡。有关更多信息，请参阅主区域与其他区域。
- 如果多区域复制下未显示任何区域，选择扩展和共享选项卡。
在 Domain controllers (域控制器) 部分中，选择编辑。
指定要在您的目录中添加或删除的域控制器数量，然后选择 Modify (修改)。
当 Amazon Managed Microsoft AD 完成部署过程后，所有域控制器都会显示活动状态，并出现分配的可用区和 Amazon VPC 子网。新的域控制器会均等地分布在已部署您的目录的可用区和子网中。

Amazon CLI

使用 Amazon CLI 添加或删除额外的域控制器

打开 Amazon CLI。要查看当前的域控制器数量，请运行以下命令，将目录 ID 替换为您的 Amazon Managed Microsoft AD Directory ID：
```
aws ds describe-directories --directory-id d-1234567890 | grep DesiredNumberOfDomainControllers
```
要添加或移除域控制器，可使用 update-number-of-domain-controllers命令。例如，可使用以下命令将域控制器的总数设置为 4。确保将目录 ID 替换为您的 Amazon Managed Microsoft AD 目录 ID，并将 desired-number 参数替换为要部署的域控制器数量。
```
aws ds update-number-of-domain-controllers --directory-id d-1234567890 --desired-number 4
```

PowerShell

使用 PowerShell 添加或删除额外的域控制器

打开 PowerShell。要查看当前的域控制器数量，请运行以下命令，将目录 ID 替换为您的 Amazon Managed Microsoft AD Directory ID：
```
Get-DSDirectory -DirectoryId d-1234567890 | Select-Object DesiredNumberOfDomainControllers
```
要添加或移除域控制器，可使用 Set-DSDomainControllerCount命令。例如，可使用以下命令将域控制器的总数设置为 4。确保将目录 ID 替换为您的 Amazon Managed Microsoft AD 目录 ID，并将 DesiredNumber 参数替换为要部署的域控制器数量。
```
Set-DSDomainControllerCount -DirectoryId d-1234567890 -DesiredNumber 4
```

相关的 Amazon 安全博客文章

How to increase the redundancy and performance of your Amazon Directory Service for Amazon Managed Microsoft AD by adding domain controllers

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

使用快照还原目录

升级 Amazon Managed Microsoft AD