本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
部署额外的域控制器
部署额外的域控制器将增加冗余度,从而提供更好的恢复能力和更高的可用性。这种做法还可以通过支持更多的 Active Directory 请求,改善目录的性能。例如,您现在可以使用 AWS Managed Microsoft AD 支持部署在大量 Amazon EC2 和 Amazon RDS for SQL Server 实例上的多个 .NET 应用程序。
当您首次创建目录时,AWS Managed Microsoft AD 会跨多个可用区部署两个域控制器,这是实现高可用性所必需的。之后,您只需指定所需域控制器的总数,即可通过 AWS Directory Service 控制台轻松部署额外的域控制器。AWS Managed Microsoft AD 会向正在运行您目录的可用区和 VPC 子网分配额外的域控制器。
例如,在下图中,DC-1 和 DC-2 代表最初随您的目录一起创建的两个域控制器。控制台将这些默认域控制器称为AWS Directory Service必需域控制器。在目录创建过程中, 特意将各个域控制器放入单独的可用区中。AWS Managed Microsoft AD之后,您可能决定添加另两个域控制器,以帮助分布峰值登录时间的身份验证负载。DC-3 和 DC-4 均表示新的域控制器,在控制台中,现在将它们表示为额外.控制器。和以前一样,AWS Managed Microsoft AD 会再次自动将新域控制器放置在不同的可用区中,以确保您的域的高可用性。
通过此过程,您将不再需要手动配置目录数据复制、自动化每日快照或对额外域控制器进行监控。此外,您还可以更轻松地在 – 云中迁移和运行任务关键型 Active Directory 集成工作负载,而无需部署和维护您自己的 Active Directory 基础设施。AWS您还可以使用 AWS Managed Microsoft AD API 为 UpdateNumberOfDomainControllers 部署或删除额外的域控制器。
添加或删除额外的域控制器
使用以下过程可在您的 AWS Managed Microsoft AD 目录中部署或删除额外的域控制器。
如果您已配置您的 AWS Managed Microsoft AD 来启用 LDAPS,则您添加的任意额外域控制器也会自动启用 LDAPS。有关更多信息,请参阅 启用安全 LDAP (LDAPS).
添加或删除额外的域控制器
-
在 AWS Directory Service console
导航窗格中,选择 Directories (目录). -
在 Directories 页面上,选择您的目录 ID。
-
在 Directory details (目录详细信息) 页面上,执行下列操作之一:
-
如果您有多个区域显示在 Multi-Region replication (多区域复制) 下,请选择您要在其中添加或删除域控制器的 区域,然后选择 Scale & share (扩展和共享) 选项卡。有关更多信息,请参阅 主要区域与附加区域.
-
如果您没有在 Multi-Region replication (多区域复制) 下显示的任何区域,请选择 Scale & share (扩展和共享) 选项卡。
-
-
在 Directory details (目录详细信息) 页面上,选择 Scale (缩放) 选项卡。
-
在 Domain controllers (域控制器) 部分中,选择编辑.
-
指定要在您的目录中添加或删除的域控制器数量,然后选择 Modify (修改).
-
当 AWS Managed Microsoft AD 完成部署过程后,所有域控制器都会显示 Active (活动) 状态,并出现分配的可用区和 VPC 子网。新的域控制器会均等地分布在已部署您的目录的可用区和子网中。
在部署额外的域控制器后,您可以将域控制器的数量减少为两个,这是实现容错和高可用性目的所需的最小数量。
相关的 AWS 安全博客文章