为 Amazon Managed Microsoft AD 添加复制区域 - Amazon Directory Service
先决条件添加区域后续步骤
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

为 Amazon Managed Microsoft AD 添加复制区域

当您使用 为 Amazon Managed Microsoft AD 配置多区域复制 功能添加区域时,Amazon Managed Microsoft AD 会在选定的 Amazon 区域中创建两个域控制器,即 Amazon Virtual Private Cloud(VPC)和子网。AmazonManaged Microsoft AD 还会创建相关的安全组,使 Windows 工作负载能够连接到新区域中的目录。它还使用已部署目录的相同 Amazon 账户创建这些资源。选择区域、指定 VPC 并提供新区域的配置来完成此操作。

只有 Amazon Managed Microsoft AD 的企业版支持多区域复制。

先决条件

在继续执行添加新复制区域的步骤之前,建议先查看以下先决条件任务。

  • 确认在要将目录复制到的新区域中拥有必要的 Amazon Identity and Access Management(IAM)权限、Amazon VPC 设置和子网设置。

  • 如果要使用现有的本地 Active Directory 凭证来访问和管理 Amazon 中的 Active Directory 感知型工作负载,则必须在 Amazon Managed Microsoft AD 和您的本地 AD 基础设施之间创建 Active Directory 信任。有关信任的更多信息,请参阅 将 Amazon Managed Microsoft AD 连接到现有 Active Directory 基础设施

  • 如果在本地 Active Directory 之间已存在信任关系,并且要添加复制区域,则需要确认在要将目录复制到的新区域中拥有必要的 Amazon VPC 和子网设置。

您还可以在 Amazon Managed Microsoft AD 和本地 AD 基础设施之间创建信任,以便使用现有的本地 Active Directory 凭证管理 AD 感知型工作负载。有关更多信息,请参阅 将 Amazon Managed Microsoft AD 连接到现有 Active Directory 基础设施

添加区域

使用以下步骤为您的 Amazon Managed Microsoft AD 目录添加复制区域。

添加复制区域

  1. Amazon Directory Service 控制台导航窗格中,选择目录

  2. 目录页面上,选择您的目录 ID。

  3. 目录详细信息页面的多区域复制下,从列表中选择区域,然后选择添加区域

    注意

    您只能在选择区域时添加区域。有关更多信息,请参阅 主 区域

  4. 添加区域页面的区域下,从列表中选择要添加的区域。

  5. VPC下,选择要用于该区域的 VPC。

    注意

    此 VPC 的无类别域间路由(CIDR)不得与该目录在另一个区域中使用的 VPC 重叠。

  6. 子网下,选择要用于该区域的子网。

  7. 查看定价下的信息,然后选择添加

  8. 当 Amazon Managed Microsoft AD 完成域控制器部署过程后,该区域将显示为活动状态。现在,您可以根据需要对该区域进行更新。

后续步骤

在添加新区域后,您应考虑执行以下后续步骤:

  • 根据需要将额外的域控制器(最多 20 个)部署到新区域。默认情况下,添加新区域时的域控制器数量为 2 个,这是实现容错和高可用性所需的最小数量。有关更多信息,请参阅 使用 Amazon Web Services 管理控制台添加或移除额外的域控制器

    注意

    将复制 Amazon Web Services 区域添加到 Amazon Managed Microsoft AD 后,默认创建两个域控制器,这是实现容错和高可用性所需的最小域控制器数量。

  • 与每个地区的更多 Amazon 账户共享您的目录。目录共享配置不会自动从主区域复制。有关更多信息,请参阅 共享 Amazon Managed Microsoft AD

    注意

    目录共享配置不会自动从主 Amazon Web Services 区域复制。

  • 启用日志转发,使用新区域的 Amazon CloudWatch Logs 检索目录的安全日志。启用日志转发时,您必须在复制目录的每个区域中提供一个日志组名称。有关更多信息,请参阅 为 Amazon Managed Microsoft AD 启用 Amazon CloudWatch Logs 日志转发

    注意

    启用日志转发时,您必须在复制目录的每个已复制目录的 Amazon Web Services 区域中提供日志组名称。

  • 为新区域启用 Amazon Simple Notification Service(Amazon SNS),以跟踪每个区域的目录运行状况。有关更多信息,请参阅 使用 Amazon Simple Notification Service 启用 Amazon Managed Microsoft AD 目录状态通知