本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 为你的 AWS 托管 Microsoft AD 部署额外的域控制器
<a name="ms_ad_deploy_additional_dcs"></a>

为 AWS 托管 Microsoft AD 部署额外的域控制器可增加冗余，从而实现更高的弹性和更高的可用性。这种做法还可以通过支持更多的 Active Directory 请求，改善目录的性能。例如，您现在可以使用 AWS 托管 Microsoft AD 来支持部署在大型亚马逊 EC2 和 Amazon RDS for SQL Server 实例上的多个.NET 应用程序。

首次创建目录时，Microsoft AD AWS 托管会在多个可用区部署两个域控制器，这是实现高可用性目的所必需的。稍后，您只需指定所需的域控制器总数，即可通过控制 Directory Service 台轻松部署其他域控制器。 AWS 托管 Microsoft AD 会将额外的域控制器分发到运行您的目录的可用区和亚马逊 VPC 子网。

例如，在下图中，DC-1 和 DC-2 代表最初随您的目录一起创建的两个域控制器。 Directory Service 控制台将这些默认域控制器称为 “**必需**”。 AWS 在目录创建过程中，托管 Microsoft AD 会故意将每个域控制器放置在不同的可用区中。之后，您可能决定添加另两个域控制器，以帮助分布峰值登录时间的身份验证负载。DC-3 和 DC-4 均表示新的域控制器，在控制台中，现在将它们表示为**额外**控制器。与以前一样，Microsoft AD AWS 托管再次自动将新的域控制器放置在不同的可用区中，以确保您的域的高可用性。

![四个域控制器分布在两个可用区中。](http://docs.aws.amazon.com/zh_cn/directoryservice/latest/admin-guide/images/ms_ad_additionaldcs.png)


通过此过程，您将不再需要手动配置目录数据复制、自动化每日快照或对额外域控制器进行监控。此外，您可以更轻松地在 AWS Cloud 中迁移和运行任务关键型 Active Directory 集成工作负载，而不必部署和维护您自己的 Active Directory 基础设施。

您可以使用以下任一工具为 AWS 托管 Microsoft AD 部署或移除其他域控制器：
+ [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ds/update-number-of-domain-controllers.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ds/update-number-of-domain-controllers.html) AWS CLI 命令
+ [UpdateNumberOfDomainControllers](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_UpdateNumberOfDomainControllers.html) API
+ [使用添加或移除其他域控制器 AWS 管理控制台](#addremovedcs)

**注意**  
其他域控制器是 AWS 托管 Microsoft AD 的一项区域功能。如果您使用的是[多区域复制](ms_ad_configure_multi_region_replication.md)，则必须分别在每个区域中应用以下过程。有关更多信息，请参阅 [全局与区域特色](multi-region-global-region-features.md)。

## 使用添加或移除其他域控制器 AWS 管理控制台
<a name="addremovedcs"></a>

您可以使用 AWS 管理控制台 向您的 AWS 托管 Microsoft AD 添加或删除其他域控制器。

### 先决条件
<a name="addremovedcs_prerequisite"></a>

在向 AWS 托管 Microsoft AD 添加或移除其他域控制器之前，以下是有关域控制器要求的更多信息：
+ 在部署额外的域控制器后，您可以将域控制器的数量减少为两个，这是实现容错和高可用性目的所需的最小数量。
+  已删除的域控制器将从额外域控制器列表中删除。主域控制器和辅助域控制器是必需的，无法删除。
+ 如果您已将 AWS 托管 Microsoft AD 配置为启用 LDAPS，那么您添加的任何其他域控制器也将自动启用 LDAPS。有关更多信息，请参阅 [启用安全 LDAP 或 LDAPS](ms_ad_ldap.md)。

### 过程
<a name="addremovedcs_steps"></a>

使用以下步骤在 AWS 托管 Microsoft AD 中部署或移除其他域控制器，并使用 AWS 管理控制台 AWS CLI、或PowerShell。

------
#### [ AWS 管理控制台 ]

**使用添加或移除其他域控制器 AWS 管理控制台**

1. 在 [AWS Directory Service 控制台](https://console.aws.amazon.com/directoryservicev2/)导航窗格中，选择**目录**。

1. 在**目录**页面上，选择您的目录 ID。

1. 在**报告详细信息**页面上，执行以下操作之一：
   + 如果**多区域复制**下显示多个区域，选择要添加或移除域控制器的区域，然后选择**扩展和共享**选项卡。有关更多信息，请参阅 [主区域与其他区域](multi-region-global-primary-additional.md)。
   + 如果**多区域复制**下未显示任何区域，选择**扩展和共享**选项卡。

1. 在 **Domain controllers (域控制器)** 部分中，选择**编辑**。

1. 指定要在您的目录中添加或删除的域控制器数量，然后选择 **Modify (修改)**。

1.  AWS 托管 Microsoft AD 完成部署过程后，所有域控制器都将显示**活动**状态，并且会显示分配的可用区和亚马逊 VPC 子网。新的域控制器会均等地分布在已部署您的目录的可用区和子网中。

------
#### [ AWS CLI ]

**使用添加或删除其他域控制器 AWS CLI**

1.  打开 AWS CLI. 要查看当前的域控制器数量，请运行以下命令，将目录 ID 替换为您的 AWS 托管 Microsoft AD 目录 ID：

   ```
   aws ds describe-directories --directory-id {{d-1234567890}} | grep DesiredNumberOfDomainControllers
   ```

1. 要添加或移除域控制器，可使用 [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ds/update-number-of-domain-controllers.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ds/update-number-of-domain-controllers.html) 命令。例如，可使用以下命令将域控制器的总数设置为 4。确保将目录 ID 替换为 AWS 托管 Microsoft AD 目录 ID，将`desired-number`参数替换为要部署的域控制器数量。

   ```
   aws ds update-number-of-domain-controllers --directory-id {{d-1234567890}} --desired-number {{4}}
   ```

------
#### [ PowerShell ]

**使用 PowerShell 添加或删除额外的域控制器**

1.  打开 PowerShell。要查看当前的域控制器数量，请运行以下命令，将目录 ID 替换为您的 AWS Managed Microsoft AD Directory ID：

   ```
   Get-DSDirectory -DirectoryId {{d-1234567890}} | Select-Object DesiredNumberOfDomainControllers
   ```

1. 要添加或移除域控制器，可使用 [https://docs.aws.amazon.com//powershell/latest/reference/items/Set-DSDomainControllerCount.html](https://docs.aws.amazon.com//powershell/latest/reference/items/Set-DSDomainControllerCount.html) 命令。例如，可使用以下命令将域控制器的总数设置为 4。确保将目录 ID 替换为 AWS 托管 Microsoft AD 目录 ID，将`DesiredNumber`参数替换为要部署的域控制器数量。

   ```
   Set-DSDomainControllerCount -DirectoryId {{d-1234567890}} -DesiredNumber {{4}}
   ```

------

**相关 AWS 安全博客文章**
+ [如何通过添加域控制器来提高 AWS 托管 Microsoft AD 的冗余和性能 Directory Service](https://aws.amazon.com/blogs/security/how-to-increase-the-redundancy-and-performance-of-your-aws-directory-service-for-microsoft-ad-directory-by-adding-domain-controllers/)