为你的 Amazon 托管 Microsoft AD 部署额外的域控制器 - Amazon Directory Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

为你的 Amazon 托管 Microsoft AD 部署额外的域控制器

为 Amazon 托管 Microsoft AD 部署额外的域控制器可增加冗余,从而实现更高的弹性和更高的可用性。这还可以通过支持更多的目录来提高目录的性能 Active Directory 请求。例如,你现在可以使用 Amazon 托管 Microsoft AD 来支持多个。 NET部署在 Amazon EC2 和 Amazon 的大型服务器队列上的应用程序,RDS适用于SQL服务器实例。

首次创建目录时,Microsoft AD Amazon 托管会在多个可用区部署两个域控制器,这是实现高可用性目的所必需的。稍后,您只需指定所需的域控制器总数,即可通过控制 Amazon Directory Service 台轻松部署其他域控制器。 Amazon 托管 Microsoft AD 会将额外的域控制器分发到运行您的目录的可用区和亚马逊VPC子网。

例如,在下图中,DC-1 和 DC-2 代表最初随您的目录一起创建的两个域控制器。 Amazon Directory Service 控制台将这些默认域控制器称为 “必需”。 Amazon 在目录创建过程中,托管 Microsoft AD 会故意将每个域控制器放置在不同的可用区中。之后,您可能决定添加另两个域控制器,以帮助分布峰值登录时间的身份验证负载。DC-3 和 DC-4 均表示新的域控制器,在控制台中,现在将它们表示为额外控制器。与以前一样,Microsoft AD Amazon 托管再次自动将新的域控制器放置在不同的可用区中,以确保您的域的高可用性。

四个域控制器分布在两个可用区中。

通过此过程,您将不再需要手动配置目录数据复制、自动化每日快照或对额外域控制器进行监控。您还可以更轻松地迁移和运行关键任务 Active Directory— Amazon Web Services 云 无需部署和维护自己的工作负载 Active Directory 基础设施。

您可以使用以下任一工具为 Amazon 托管 Microsoft AD 部署或移除其他域控制器:

注意

其他域控制器是 Amazon 托管 Microsoft AD 的一项区域功能。如果您使用的是多区域复制,则必须分别在每个区域中应用以下步骤。有关更多信息,请参阅 全局与区域特色

使用添加或移除其他域控制器 Amazon Web Services Management Console

您可以使用 Amazon Web Services Management Console 向您的 Amazon 托管 Microsoft AD 添加或删除其他域控制器。

先决条件

在向 Amazon 托管 Microsoft AD 添加或移除其他域控制器之前,以下是有关域控制器要求的更多信息:

  • 在部署额外的域控制器后,您可以将域控制器的数量减少为两个,这是实现容错和高可用性目的所需的最小数量。

  • 已删除的域控制器将从额外域控制器列表中删除。主域控制器和辅助域控制器是必需的,无法删除。

  • 如果您已将 Amazon 托管 Microsoft AD 配置为启用LDAPS,那么您添加的任何其他域控制器也将自动LDAPS启用。有关更多信息,请参阅 启用安全LDAP或 LDAPS

过程

使用以下步骤在 Amazon 托管 Microsoft AD 中部署或移除其他域控制器 Amazon Web Services Management Console。

添加或删除额外的域控制器
  1. Amazon Directory Service 控制台导航窗格中,选择目录

  2. 目录页面上,选择您的目录 ID。

  3. 报告详细信息页面上,执行以下操作之一:

    • 如果多区域复制下显示多个区域,选择要添加或移除域控制器的区域,然后选择扩展和共享选项卡。有关更多信息,请参阅 主区域与其他区域

    • 如果多区域复制下未显示任何区域,选择扩展和共享选项卡。

  4. Domain controllers (域控制器) 部分中,选择编辑

  5. 指定要在您的目录中添加或删除的域控制器数量,然后选择 Modify (修改)

  6. Amazon 托管 Microsoft AD 完成部署过程后,所有域控制器都将显示活动状态,并且会显示分配的可用区和亚马逊VPC子网。新的域控制器会均等地分布在已部署您的目录的可用区和子网中。

相关 Amazon 安全博客文章