本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
为 Amazon Managed Microsoft AD 部署额外的域控制器
为 Amazon 托管 Microsoft AD 部署额外的域控制器可增加冗余,从而实现更高的弹性和更高的可用性。这还可以通过支持更多的目录来提高目录的性能 Active Directory 请求。例如,您现在可以使用 Amazon 托管 Microsoft AD 来支持部署在大型亚马逊 EC2 和亚马逊 RDS for SQL Server 实例上的多个.NET 应用程序。
首次创建目录时,Microsoft AD Amazon 托管会在多个可用区部署两个域控制器,这是实现高可用性目的所必需的。稍后,您只需指定所需的域控制器总数,即可通过控制 Amazon Directory Service 台轻松部署其他域控制器。 Amazon 托管 Microsoft AD 会将额外的域控制器分发到运行您的目录的可用区和亚马逊 VPC 子网。
例如,在下图中,DC-1 和 DC-2 代表最初随您的目录一起创建的两个域控制器。 Amazon Directory Service 控制台将这些默认域控制器称为 “必需”。 Amazon 在目录创建过程中,托管 Microsoft AD 会故意将每个域控制器放置在不同的可用区中。之后,您可能决定添加另两个域控制器,以帮助分布峰值登录时间的身份验证负载。DC-3 和 DC-4 均表示新的域控制器,在控制台中,现在将它们表示为额外控制器。与以前一样,Microsoft AD Amazon 托管再次自动将新的域控制器放置在不同的可用区中,以确保您的域的高可用性。
通过此过程,您将不再需要手动配置目录数据复制、自动化每日快照或对额外域控制器进行监控。您还可以更轻松地迁移和运行关键任务 Active Directory— Amazon Web Services 云 无需部署和维护自己的工作负载 Active Directory 基础设施。
您可以使用以下任一工具为 Amazon 托管 Microsoft AD 部署或移除其他域控制器:
使用 Amazon Web Services Management Console添加或移除额外的域控制器
您可以使用 Amazon Web Services Management Console 向您的 Amazon 托管 Microsoft AD 添加或删除其他域控制器。
先决条件
在向 Amazon 托管 Microsoft AD 添加或移除其他域控制器之前,以下是有关域控制器要求的更多信息:
-
在部署额外的域控制器后,您可以将域控制器的数量减少为两个,这是实现容错和高可用性目的所需的最小数量。
-
已删除的域控制器将从额外域控制器列表中删除。主域控制器和辅助域控制器是必需的,无法删除。
-
如果您已将 Amazon 托管 Microsoft AD 配置为启用 LDAPS,那么您添加的任何其他域控制器也将自动启用 LDAPS。有关更多信息,请参阅 启用安全 LDAP 或 LDAPS。
过程
使用以下步骤在 Amazon 托管 Microsoft AD 中部署或移除其他域控制器,使用 Amazon Web Services Management Console Amazon CLI、或 PowerShell.
相关 Amazon 安全博客文章