为 Amazon Managed Microsoft AD 配置多区域复制 - Amazon Directory Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

为 Amazon Managed Microsoft AD 配置多区域复制

多区域复制可用于跨多个 Amazon Web Services 区域自动复制您的 Amazon Managed Microsoft AD 目录数据。此复制可以提高分散的地理位置的用户和应用程序的性能。AmazonManaged Microsoft AD 使用本机 Active Directory 复制功能将您的目录数据安全地复制到新区域。

只有 Amazon Managed Microsoft AD 的企业版支持多区域复制。

在大多数 Amazon Managed Microsoft AD 可用的区域中,可以使用自动多区域复制。

重要

以下选择加入的区域不提供多区域复制功能:

  • 非洲(开普敦)(af-south-1)

  • 亚太地区(香港)ap-east-1

  • 亚太地区(海得拉巴)ap-south-2

  • 亚太地区(雅加达)ap-southeast-3

  • 亚太地区(墨尔本)ap-southeast-4

  • 加拿大西部(卡尔加里)ca-west-1

  • 欧洲(米兰)(eu-south-1)

  • 欧洲(西班牙)eu-south-2

  • 欧洲(苏黎世)eu-central-2

  • 以色列(特拉维夫)il-central-1

  • 中东(巴林)me-south-1

  • 中东(阿联酋)me-central-1

有关加入型区域以及如何启用它们的更多信息,请参阅《Amazon Account Management Guide》中的 Specify which Amazon Web Services 区域 your account can use

多区域复制的工作原理

借助多区域复制功能,Amazon Managed Microsoft AD 消除了管理全球 Active Directory 基础设施带来的无差别繁重工作。配置后,Amazon 将跨多个 Amazon 区域复制所有客户目录数据,包括用户、组、组策略和架构。

添加新区域后,将自动执行以下操作,如图所示:

  • Amazon Managed Microsoft AD 在选定的 VPC 中创建两个域控制器,并使用同一个 Amazon 账户将它们部署到新的区域。您的目录标识符 (directory_id) 在所有地区保持不变。如果需要,您可以稍后添加额外的域控制器。

  • Amazon Managed Microsoft AD 配置主区域和新区域之间的网络连接。

  • Amazon Managed Microsoft AD 创建新的 Active Directory 站点,并将其命名为与该区域相同的名称,例如 us-east-1。您也可以稍后使用 Active Directory 站点和服务工具对其进行重命名。

  • Amazon Managed Microsoft AD 将所有 Active Directory 对象和配置复制到新区域,包括用户、组、组策略、Active Directory 信任、组织单位和 Active Directory 架构。Active Directory 站点链接配置为使用更改通知。启用站点间更改通知后,更改会以与源站点内部相同的频率传播到远程站点,包括需要紧急复制的更改。

  • 如果这是您添加的第一个区域,则 Amazon Managed Microsoft AD 会将所有功能设置为可感知多区域。有关更多信息,请参阅 全局与区域特色

在主区域和其他区域之间对 Amazon Managed Microsoft AD Active Directory 进行多区域复制。

Active Directory 站点

多区域复制支持多个 Active Directory 站点(每个区域一个 Active Directory 站点)。添加新区域时,其命名的名称与该区域的名称相同,例如 us-east-1。您也可以稍后使用 Active Directory 站点和服务对其进行重命名。

Amazon 服务

诸如 Amazon RDS for SQL Server 和 Amazon FSx 之类的 Amazon 服务连接到全局目录的本地实例。这样,您的用户只需登录一次,即可使用在 Amazon 中运行的 Active Directory 感知型应用程序以及任何 Amazon 区域中的 Amazon RDS for SQL Server 等 Amazon 服务。为此,当您信任 Amazon Managed Microsoft AD 时,用户需要来自 Amazon Managed Microsoft AD 或本地 Active Directory 的凭证。

您可以将以下 Amazon 服务与多区域复制功能配合使用。

  • Amazon EC2

  • Amazon FSx for Windows File Server

  • 适用于 SQL Server 的 Amazon Relational Database Service

  • Amazon RDS for Oracle

  • Amazon RDS for MySQL

  • Amazon RDS for PostgreSQL

  • Amazon RDS for MariaDB

  • Amazon Aurora for MySQL

  • Amazon Aurora for PostgreSQL

故障转移

如果一个区域中的所有域控制器都出现故障,Amazon Managed Microsoft AD 会自动恢复域控制器并复制目录数据。同时,其他区域的域控制器保持正常运行。

多区域复制的优势

借助 Amazon Managed Microsoft AD 中的多区域复制,Active Directory 感知型应用程序在本地使用目录以获得高性能,使用多区域功能以实现弹性。您可以将多区域复制与 Active Directory 感知型应用程序(例如 SharePoint 和 SQL Server Always On)以及 Amazon 服务(例如 Amazon RDS for SQL Server 和 FSx for Windows File Server)结合使用。多区域复制具备以下额外优势。

  • 它允许您在全球快速部署单个 Amazon Managed Microsoft AD 实例,并省去了自行管理全球 Active Directory 基础设施带来的繁重工作。

  • 它使您可以更轻松、更经济高效地在多个 Amazon 区域部署和管理 Windows 和 Linux 工作负载。自动多区域复制可在您的全球 Active Directory 感知型应用程序中实现最佳性能。部署在 Windows 或 Linux 实例中的所有应用程序都使用该区域的本地 Amazon Managed Microsoft AD,以便从尽可能接近的区域响应用户请求。

  • 它提供多区域弹性。Amazon Managed Microsoft AD 部署在高度可用的 Amazon 托管基础设施中,可处理所有区域底层 Active Directory 基础设施的自动软件更新、监控、恢复和安全。这使您可以专注于构建应用程序。