为 Amazon Managed Microsoft AD 部署额外的域控制器 - Amazon Directory Service
使用 Amazon Web Services 管理控制台添加或移除额外的域控制器
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

为 Amazon Managed Microsoft AD 部署额外的域控制器

为Amazon托管 Microsoft AD 部署额外的域控制器可增加冗余,从而实现更高的弹性和更高的可用性。这种做法还可以通过支持更多的 Active Directory 请求,改善目录的性能。例如,您现在可以使用Amazon托管 Microsoft AD 来支持部署在大型亚马逊 EC2 和亚马逊 RDS for SQL Server 实例上的多个.NET 应用程序。

首次创建目录时,Microsoft AD Amazon 托管会在多个可用区部署两个域控制器,这是实现高可用性目的所必需的。稍后,您只需指定所需的域控制器总数,即可通过控制Amazon Directory Service台轻松部署其他域控制器。 Amazon托管 Microsoft AD 会将额外的域控制器分发到运行您的目录的可用区和亚马逊 VPC 子网。

例如,在下图中,DC-1 和 DC-2 代表最初随您的目录一起创建的两个域控制器。Amazon Directory Service控制台将这些默认域控制器称为 “必需”。 Amazon在目录创建过程中,托管 Microsoft AD 会故意将每个域控制器放置在不同的可用区中。之后,您可能决定添加另两个域控制器,以帮助分布峰值登录时间的身份验证负载。DC-3 和 DC-4 均表示新的域控制器,在控制台中,现在将它们表示为额外控制器。与以前一样,Microsoft AD Amazon 托管再次自动将新的域控制器放置在不同的可用区中,以确保您的域的高可用性。

四个域控制器分布在两个可用区中。

通过此过程,您将不再需要手动配置目录数据复制、自动化每日快照或对额外域控制器进行监控。此外,您可以更轻松地在 Amazon Web Services 云 中迁移和运行任务关键型 Active Directory 集成工作负载,而不必部署和维护您自己的 Active Directory 基础设施。

您可以使用以下任一工具为Amazon托管 Microsoft AD 部署或移除其他域控制器:

注意

其他域控制器是Amazon托管 Microsoft AD 的一项区域功能。如果您使用的是多区域复制,则必须分别在每个区域中应用以下过程。有关更多信息,请参阅 全局与区域特色

使用 Amazon Web Services 管理控制台添加或移除额外的域控制器

您可以使用Amazon Web Services 管理控制台向您的Amazon托管 Microsoft AD 添加或删除其他域控制器。

先决条件

在向Amazon托管 Microsoft AD 添加或移除其他域控制器之前,以下是有关域控制器要求的更多信息:

  • 在部署额外的域控制器后,您可以将域控制器的数量减少为两个,这是实现容错和高可用性目的所需的最小数量。

  • 已删除的域控制器将从额外域控制器列表中删除。主域控制器和辅助域控制器是必需的,无法删除。

  • 如果您已将Amazon托管 Microsoft AD 配置为启用 LDAPS,那么您添加的任何其他域控制器也将自动启用 LDAPS。有关更多信息,请参阅 启用安全 LDAP 或 LDAPS

过程

使用以下步骤在Amazon托管 Microsoft AD 中部署或移除其他域控制器,并使用Amazon Web Services 管理控制台Amazon CLI、或PowerShell。

Amazon Web Services 管理控制台
要使用添加或移除其他域控制器 Amazon Web Services 管理控制台

  1. Amazon Directory Service 控制台导航窗格中,选择目录

  2. 目录页面上,选择您的目录 ID。

  3. 报告详细信息页面上,执行以下操作之一:

    • 如果多区域复制下显示多个区域,选择要添加或移除域控制器的区域,然后选择扩展和共享选项卡。有关更多信息,请参阅 主区域与其他区域

    • 如果多区域复制下未显示任何区域,选择扩展和共享选项卡。

  4. Domain controllers (域控制器) 部分中,选择编辑

  5. 指定要在您的目录中添加或删除的域控制器数量,然后选择 Modify (修改)

  6. Amazon托管 Microsoft AD 完成部署过程后,所有域控制器都将显示活动状态,并且会显示分配的可用区和亚马逊 VPC 子网。新的域控制器会均等地分布在已部署您的目录的可用区和子网中。

Amazon CLI
使用添加或移除其他域控制器 Amazon CLI

  1. 打开Amazon CLI. 要查看当前的域控制器数量,请运行以下命令,将目录 ID 替换为您的Amazon托管 Microsoft AD 目录 ID:

    aws ds describe-directories --directory-id d-1234567890 | grep DesiredNumberOfDomainControllers

  2. 要添加或移除域控制器,可使用 update-number-of-domain-controllers 命令。例如,可使用以下命令将域控制器的总数设置为 4。确保将目录 ID 替换为Amazon托管 Microsoft AD 目录 ID,将desired-number参数替换为要部署的域控制器数量。

    aws ds update-number-of-domain-controllers --directory-id d-1234567890 --desired-number 4
PowerShell
使用 PowerShell 添加或删除额外的域控制器

  1. 打开 PowerShell。要查看当前的域控制器数量,请运行以下命令,将目录 ID 替换为您的 Amazon Managed Microsoft AD Directory ID:

    Get-DSDirectory -DirectoryId d-1234567890 | Select-Object DesiredNumberOfDomainControllers

  2. 要添加或移除域控制器,可使用 Set-DSDomainControllerCount 命令。例如,可使用以下命令将域控制器的总数设置为 4。确保将目录 ID 替换为Amazon托管 Microsoft AD 目录 ID,将DesiredNumber参数替换为要部署的域控制器数量。

    Set-DSDomainControllerCount -DirectoryId d-1234567890 -DesiredNumber 4

相关Amazon安全博客文章