本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
新增複寫區域
使用此多區域複製功能新增區域時, AWS 受管 Microsoft AD 會在選取的 AWS 區域、Amazon Virtual Private Cloud (VPC) 和子網路中建立兩個網域控制站。 AWS 受管理的 Microsoft AD 也會建立相關的安全性群組,讓 Windows 工作負載連線至新區域中的目錄。它也會使用已部署目錄的相同 AWS 帳戶來建立這些資源。您可以選擇「區域」,指定新「VPC區域」並提供組態來執行此操作。
只有 AWS 受管理 Microsoft AD 的企業版才支援多區域複寫。
必要條件
在繼續執行新增複寫區域的步驟之前,我們建議您先檢視下列事前準備事項。
確認您在要將目錄複寫到的新區域中具有必要的 AWS Identity and Access Management (IAM) 許可、Amazon VPC 設定和子網路設定。
如果您想要使用現有的內部部署 Active Directory 認證來存取和管理中的使用中目錄感知工作負載 AWS,您必須在 AWS 受管理的 Microsoft AD 和您的內部部署 AD 基礎結構之間建立 Active Directory 信任。如需信任的詳細資訊,請參閱 Connect 到您現有的活動目錄基礎結構。
如果現場部署 Active Directory 之間有現有的信任關係,而且想要新增複寫區域,則需要確認您在要複寫目錄的新區域中具有必要的 Amazon VPC 和子網路設定。
新增區域
請使用下列程序,為您的 AWS 受管理 Microsoft AD 目錄新增複寫的區域。
新增複寫區域
-
在 AWS Directory Service 主控台
導覽窗格中,選擇 Directories (目錄)。 -
在 Directories (目錄) 頁面中,選擇目錄 ID。
-
在目錄詳細資訊頁面上的多區域複寫下,從清單中選擇主要區域,然後選擇新增區域。
注意
您只能在選取主要區域時新增區域。如需詳細資訊,請參閱 主要區域。
-
在新增區域頁面上的區域下,從清單中選擇要新增的區域。
-
在下 VPC,選擇VPC要用於此區域的。
注意
這VPC不能有與另一個區域中此目錄所VPC使用的無類別網域間路由 (CIDR) 重疊。
-
在子網路 下,選擇要用於該區域的子網路。
-
檢視定價下的資訊,然後選擇新增。
-
當 AWS 受管理的 Microsoft AD 完成網域控制站部署程序時,區域會顯示作用中狀態。現在您可以根據需要對此區域進行更新。
後續步驟
新增區域之後,您應該考慮進行以下後續步驟:
-
根據需要將其他的域控制站 (最多 20 個) 部署到新區域。新增區域時的域控制站數量預設為 2 個,這是實現容錯和高可用性目的所需的最小數目。如需詳細資訊,請參閱 新增或移除其他域控制站。
-
每個區域與更多 AWS 帳戶共用您的目錄。目錄共用組態不會自動從主要區域複寫。如需詳細資訊,請參閱 共享您的目錄。
-
啟用日誌轉送功能,使用 Amazon 日誌從新區域擷取目錄的安全 CloudWatch 日誌。啟用日誌轉發時,您必須在複寫目錄的每個區域中提供日誌群組名稱。如需詳細資訊,請參閱 為 AWS 受管 Microsoft AD 啟用 Amazon CloudWatch 日誌日誌轉發。
-
為新區域啟用 Amazon 簡單通知服務 (AmazonSNS) 監控,以追蹤每個區域的目錄運作狀態。如需詳細資訊,請參閱 使用 Amazon SNS 設定目錄狀態通知。
