本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
为 Amazon 托管的 Microsoft AD 添加复制区域
当您使用该为 Amazon 托管的 Microsoft AD 配置多区域复制功能添加区域时,Microsoft AD Amazon 托管会在选定的 Amazon 区域中创建两个域控制器,即亚马逊虚拟私有云 (VPC) 和子网。 Amazon 托管 Microsoft AD 还会创建相关的安全组,使 Windows 工作负载能够连接到你在新区域中的目录。它还使用已部署目录的相同 Amazon 账户创建这些资源。为此,您可以选择区域VPC,指定并提供新区域的配置。
只有 Amazon 托管 Microsoft AD 的企业版支持多区域复制。
先决条件
在继续执行添加新复制区域的步骤之前,建议先查看以下先决条件任务。
-
验证您是否具有必要的 Amazon Identity and Access Management (IAM) 权限、Amazon VPC 设置以及您要将目录复制到的新区域中的子网设置。
-
如果您想使用现有的本地 Active Directory 凭据来访问和管理中支持 Active Directory 的工作负载 Amazon,则必须在托管 Amazon Microsoft AD 和您的本地 AD 基础设施之间创建活动目录信任。有关信任的更多信息,请参阅 Connect Amazon 托管 Microsoft AD 连接到你现有的活动目录基础架构。
-
如果您的本地 Active Directory 之间存在信任关系,并且想要添加复制区域,则需要确认在要将目录复制到的新区域中是否设置了必要的 Amazon VPC 和子网。
您还可以在 Amazon 托管的 Microsoft AD 和内部部署 AD 基础设施之间建立信任,这样您就可以使用现有的本地 Active Directory 凭据来管理广告感知型工作负载。有关更多信息,请参阅 Connect Amazon 托管 Microsoft AD 连接到你现有的活动目录基础架构。
添加区域
使用以下步骤为您的 Amazon 托管 Microsoft AD 目录添加复制区域。
添加复制区域
-
在 Amazon Directory Service 控制台
导航窗格中,选择目录。 -
在目录页面上,选择您的目录 ID。
-
在目录详细信息页面的多区域复制下,从列表中选择主区域,然后选择添加区域。
注意
您只能在选择主区域时添加区域。有关更多信息,请参阅 主 区域。
-
在添加区域页面的区域下,从列表中选择要添加的区域。
-
在下方 VPC,选择VPC要用于此区域的。
注意
这VPC不得有与该目录在另一个区域中VPC使用的无类域间路由 (CIDR) 重叠。
-
在子网下,选择要用于该区域的子网。
-
查看定价下的信息,然后选择添加。
-
当 Amazon 托管 Microsoft AD 完成域控制器部署过程后,该区域将显示活动状态。现在,您可以根据需要对该区域进行更新。
后续步骤
在添加新区域后,您应考虑执行以下后续步骤:
-
根据需要将额外的域控制器(最多 20 个)部署到新区域。默认情况下,添加新区域时的域控制器数量为 2 个,这是实现容错和高可用性所需的最小数量。有关更多信息,请参阅 使用添加或移除其他域控制器 Amazon Web Services Management Console。
注意
将副本 Amazon Web Services 区域 添加到 Amazon 托管 Microsoft AD 时,默认情况下会创建两个域控制器,这是容错和高可用性所需的最少域控制器数量。
-
与每个地区的更多 Amazon 账户共享您的目录。目录共享配置不会自动从主区域复制。有关更多信息,请参阅 分享你的 Microsoft Amazon 托管广告。
注意
目录共享配置不会在主服务器中自动复制 Amazon Web Services 区域。
-
启用日志转发功能,使用来自新区域的 Amazon Logs 检索您目录的安全 CloudWatch 日志。启用日志转发时,您必须在复制目录的每个区域中提供一个日志组名称。有关更多信息,请参阅 为 Amazon 托管 Microsoft AD 启用亚马逊 CloudWatch 日志日志转发。
注意
启用日志转发时,必须为复制目录的每个 Amazon Web Services 区域 日志组提供一个名称。
-
为新区域启用亚马逊简单通知服务 (AmazonSNS) 监控,以跟踪每个区域的目录运行状况。有关更多信息,请参阅 使用亚马逊简单通知服务启用 Amazon 托管 Microsoft AD 目录状态通知。