部署额外的域控制器 - Amazon Directory Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

部署额外的域控制器

部署额外的域控制器将增加冗余度,从而提供更好的恢复能力和更高的可用性。这种做法还可以通过支持更多的 Active Directory 请求,改善目录的性能。例如,您现在可以使用Amazon托管微软 AD,支持部署在大量 Amazon EC2 和 Amazon RDS for SQL Server 实例上的多个 .NET 应用程序。

当你第一次创建目录时,Amazon在多个可用区中,托管的 Microsoft AD 部署两个域控制器,这是实现高可用性目的所必需的。之后,您可以通过Amazon Directory Service控制台只需指定所需域控制器的总数。Amazon托管的 Microsoft AD 会向其上正在运行您的目录的可用区和 VPC 子网分配额外的域控制器。

例如,在下图中,DC-1 和 DC-2 代表最初随您的目录一起创建的两个域控制器。这些区域有:Amazon Directory Service控制台将这些默认域控制器称为必需.Amazon 在目录创建过程中,托管 Microsoft AD 特意将各个域控制器放入分隔的可用区中。之后,您可能决定添加另两个域控制器,以帮助分布峰值登录时间的身份验证负载。DC-3 和 DC-4 均表示新的域控制器,在控制台中,现在将它们表示为额外控制器。和以前一样,Amazon托管 Microsoft AD 会再次自动将新域控制器放置在不同的可用区中,以确保您的域的高可用性。

通过此过程,您将不再需要手动配置目录数据复制、自动化每日快照或对额外域控制器进行监控。此外,您可以更轻松地在Amazon云无需部署和维护自己的 Active Directory 基础架构。您还可以针对以下部署或删除额外的域控制器Amazon使用UpdateNumberOfDomainControllersAPI。

注意

额外的域控制器是Amazon托管的 Microsoft AD。如果您在使用多区域复制,必须在每个地区单独应用以下程序。有关更多信息,请参阅 全球与区域功能

添加或删除额外的域控制器

使用以下过程可在您的中部署或删除额外的域控制器。Amazon托管的 Microsoft AD 目录。

注意

如果你已经配置了Amazon托管的 Microsoft AD 来启用 LDAPS,则您添加的任意额外域控制器也会自动启用 LDAPS。有关更多信息,请参阅 启用安全 LDAP (LDAPS)

添加或删除额外的域控制器

  1. Amazon Directory Service 控制台导航窗格中,选择 Directories (目录)

  2. Directories 页面上,选择您的目录 ID。

  3. 在存储库的目录详细信息页面上,请执行以下操作之一:

    • 如果你在下面显示了多个地区多区域复制中,选择要在其中添加或删除域控制器的区域,然后选择扩展和共享选项卡。有关更多信息,请参阅 主要与其他地区

    • 如果您没有在下面显示任何区域多区域复制,选择扩展和共享选项卡。

  4. Domain controllers (域控制器) 部分中,选择编辑

  5. 指定要在您的目录中添加或删除的域控制器数量,然后选择 Modify (修改)

  6. 何时Amazon托管 Microsoft AD 完成了部署过程,所有域控制器都显示处于活动状态状态,并出现分配的可用区和 VPC 子网。新的域控制器会均等地分布在已部署您的目录的可用区和子网中。

注意

在部署额外的域控制器后,您可以将域控制器的数量减少为两个,这是实现容错和高可用性目的所需的最小数量。

相关的Amazon安全博客文章

使用 Amazon CloudWatch 指标来确定何时添加域控制器

在所有域控制器之间进行负载均衡对于目录的恢复能力和性能非常重要。为了帮助您优化域控制器的性能Amazon托管 Microsoft AD,我们建议你首先监控 CloudWatch 中的重要指标以形成基准。在此过程中,您随着时间的推移分析目录以确定平均目录利用率和峰值目录利用率。确定基准后,您可以定期监控这些指标,以帮助确定何时向目录中添加域控制器。有关更多信息,请参阅 使用性能指标监控域控制器

定期监控以下指标很重要。有关 CloudWatch 中可用域控制器指标的完整列表,请参阅。Amazon托管的 Microsoft AD 性能计数器.

  • 域控制器特定的指标,例如:

    • 处理器

    • 内存

    • 逻辑磁盘

    • 网络接口

  • Amazon托管 Microsoft AD 目录特定的指标,例如:

    • LDAP 搜索

    • 绑定

    • DNS 查询

    • 目录读

    • 写入目录

有关如何使用 CloudWatch 控制台设置域控制器指标的说明,请参阅。如何自动化Amazon基于利用率指标托管 Microsoft AD 扩展中的Amazon安全博客。有关 CloudWatch 中的指标的一般信息,请参阅。使用 Amazon CloudWatch 指标中的Amazon CloudWatch 用户指南.

有关域控制器规划的一般信息,请参阅。Active Directory 域服务的容量规划在 Microsoft 网站上。

Amazon托管的 Microsoft AD 性能计数器

下表列出了 Amazon CloudWatch 中可用于跟踪域控制器和目录性能的所有性能计数器Amazon托管的 Microsoft AD。

指标类别 指标名称
数据库 ==> 实例 (NTDSA) 数据库缓存% 命中
I/O 数据库读取平均延迟
I/O数据库读取数/秒
I/O 日志写入平均延迟
目录服务 (NTDS) LDAP 绑定时间
DRA 挂起的复制操作
DRA 挂起的复制同步
DNS Processage Sent/秒
递归查询失败/秒
PCT查询Receives/秒
Processage
Message Sent/秒
MUDP 查询Receiv/秒
LogicalDisk 平均。Disk Queue Length
% 可用空间
内存 使用中的已承诺字节数
长期平均备用缓存寿命
网络接口 Message Sent/秒
Bytes Received/sec
当前的带宽
NTDS ATQ 预计队列延迟
ATQ 请求延迟
DDS Directory Reads/秒
DS 目录搜索/秒
D目录写入/秒
LDAP 客户端会话
LDAP 搜索/秒
LDAP 成功绑定/秒
处理器 % Processage
安全全系统统计 Kerberos 身份验证
NTLM 身份验证