本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
添加复制的区域
当您使用 多区域复制 功能添加区域时, 会在所选AWS Managed Microsoft AD区域中AWS创建两个域控制器 Amazon Virtual Private Cloud (VPC) 和子网。 AWS Managed Microsoft AD 还会创建相关的安全组,使 Windows 工作负载能够连接到新区域中的目录。它还使用已在其中部署目录的同一AWS账户创建这些资源。您可以通过选择区域、指定 VPC 并为新区域提供配置来执行此操作。
仅 企业版支持多区域复制AWS Managed Microsoft AD。
Prerequisites
在继续执行添加新复制区域的步骤之前,我们建议您先查看以下先决条件任务。
-
确认您在要将目录复制到的新区域中具有必要的 AWS Identity and Access Management (IAM) 权限Amazon VPC、设置和子网设置。
-
如果要使用现有本地 Active Directory 凭证访问和管理 中 AD 感知工作负载AWS,则必须在 AWS Managed Microsoft AD 和本地 AD 基础设施之间创建 AD 信任。有关信任的更多信息,请参阅连接到您的现有 AD 基础设施。
添加区域
使用以下过程为您的 AWS Managed Microsoft AD 目录添加复制的区域。
添加复制的区域
-
在 AWS Directory Service console
导航窗格中,选择 Directories (目录). -
在 Directories (目录) 页面上,选择您的目录 ID。
-
在 Directory details (目录详细信息) 页面上的 Multi-Region replication (多区域复制) 下,从列表中选择 Primary Region (主区域),然后选择 Add Region (添加区域)。
注意 您只能在选择 Primary Region (主区域) 时添加区域。有关更多信息,请参阅主区域.
-
在 Add Region (添加区域) 页面的 Region (区域) 下,从列表中选择要添加的区域。
-
在 VPC 下,选择要用于此区域的 VPC。
注意 此 VPC 不得具有与此目录在其他区域中使用的 VPC 重叠的无类域间路由 (CIDR)。
-
在 Subnets (子网) 下,选择要用于此区域的子网。
-
查看 Pricing (定价) 下的信息,然后选择 Add (添加)。
-
当 AWS Managed Microsoft AD 完成域控制器部署过程时,区域将显示 Active (活动) 状态。现在,您可以根据需要更新此区域。
后续步骤
在添加新区域后,您应考虑执行以下后续步骤:
-
根据需要向新区域部署额外的域控制器(最多 20 个)。默认情况下,添加新区域时域控制器的数量为 2,这是容错和高可用性所需的最小值。有关更多信息,请参阅添加或删除额外的域控制器.
-
与每个区域的更多AWS账户共享您的目录。目录共享配置不会自动从主区域复制。有关更多信息,请参阅共享您的目录.
-
启用日志转发以使用 Amazon CloudWatch Logs 从新区域检索目录的安全日志。启用日志转发时,您必须在复制目录的每个区域中提供日志组名称。有关更多信息,请参阅启用日志转发.
-
为新区域启用 Amazon Simple Notification Service (Amazon SNS) 监控,以跟踪每个区域的目录运行状况。有关更多信息,请参阅配置目录状态通知.