部署额外的域控制器 - AWS Directory Service
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

部署额外的域控制器

部署额外的域控制器将增加冗余度,从而提供更好的恢复能力和更高的可用性。这种做法还可以通过支持更多的 Active Directory 请求,改善目录的性能。例如,您现在可以使用 AWS Managed Microsoft AD 支持部署在大量 Amazon EC2 和 Amazon RDS for SQL Server 实例上的多个 .NET 应用程序。

当您首次创建目录时,AWS Managed Microsoft AD 会跨多个可用区部署两个域控制器,这是实现高可用性所必需的。之后,您只需指定所需域控制器的总数,即可通过 AWS Directory Service 控制台轻松部署额外的域控制器。AWS Managed Microsoft AD 会向正在运行您目录的可用区和 VPC 子网分配额外的域控制器。

例如,在下图中,DC-1 和 DC-2 代表最初随您的目录一起创建的两个域控制器。控制台将这些默认域控制器称为AWS Directory Service必需域控制器。在目录创建过程中, 特意将各个域控制器放入单独的可用区中。AWS Managed Microsoft AD之后,您可能决定添加另两个域控制器,以帮助分布峰值登录时间的身份验证负载。DC-3 和 DC-4 均表示新的域控制器,在控制台中,现在将它们表示为额外.控制器。和以前一样,AWS Managed Microsoft AD 会再次自动将新域控制器放置在不同的可用区中,以确保您的域的高可用性。

通过此过程,您将不再需要手动配置目录数据复制、自动化每日快照或对额外域控制器进行监控。此外,您还可以更轻松地在 – 云中迁移和运行任务关键型 Active Directory 集成工作负载,而无需部署和维护您自己的 Active Directory 基础设施。AWS您还可以使用 AWS Managed Microsoft AD API 为 UpdateNumberOfDomainControllers 部署或删除额外的域控制器。

注意

其他域控制器是 AWS Managed Microsoft AD 的区域性功能。如果您正在使用 多区域复制,则必须在每个区域中单独应用以下过程。有关更多信息,请参阅全球与区域 功能

添加或删除额外的域控制器

使用以下过程可在您的 AWS Managed Microsoft AD 目录中部署或删除额外的域控制器。

注意

如果您已配置您的 AWS Managed Microsoft AD 来启用 LDAPS,则您添加的任意额外域控制器也会自动启用 LDAPS。有关更多信息,请参阅 启用安全 LDAP (LDAPS).

添加或删除额外的域控制器

  1. AWS Directory Service console导航窗格中,选择 Directories (目录).

  2. Directories 页面上,选择您的目录 ID。

  3. Directory details (目录详细信息) 页面上,执行下列操作之一:

    • 如果您有多个区域显示在 Multi-Region replication (多区域复制) 下,请选择您要在其中添加或删除域控制器的 区域,然后选择 Scale & share (扩展和共享) 选项卡。有关更多信息,请参阅 主要区域与附加区域.

    • 如果您没有在 Multi-Region replication (多区域复制) 下显示的任何区域,请选择 Scale & share (扩展和共享) 选项卡。

  4. Directory details (目录详细信息) 页面上,选择 Scale (缩放) 选项卡。

  5. Domain controllers (域控制器) 部分中,选择编辑.

  6. 指定要在您的目录中添加或删除的域控制器数量,然后选择 Modify (修改).

  7. 当 AWS Managed Microsoft AD 完成部署过程后,所有域控制器都会显示 Active (活动) 状态,并出现分配的可用区和 VPC 子网。新的域控制器会均等地分布在已部署您的目录的可用区和子网中。

注意

在部署额外的域控制器后,您可以将域控制器的数量减少为两个,这是实现容错和高可用性目的所需的最小数量。

相关的 AWS 安全博客文章