本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 設定 AWS Managed Microsoft AD 的多區域複寫
多區域複寫可用於自動跨多個 複寫 AWS Managed Microsoft AD 目錄資料 AWS 區域。此複寫可以改善分散地理位置中使用者和應用程式的效能。 AWS 受管 Microsoft AD 使用原生 Active Directory 複寫,將目錄的資料安全地複寫到新區域。
只有 AWS Managed Microsoft AD **企業版**支援多區域複寫。
您可以在可使用 AWS Managed Microsoft AD 的大多數區域中使用自動多區域複寫。
**注意**
下列選擇加入區域無法使用多區域複寫:
中東 (巴林) me-south-1
中東 (阿拉伯聯合大公國) me-central-1
如需有關選擇加入區域以及如何啟用的詳細資訊,請參閱《AWS 帳戶管理 指南》**中的[指定您的帳戶可使用的 AWS 區域](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html) 一節。
**重要**
如果您的主要區域是 AWS 預設區域,您只能將多區域複寫擴展到其他區域。如果您的主要區域是選擇加入區域,則無法將其他區域新增至多區域複寫。在嘗試擴展複寫之前,請確定您的目錄最初是在 AWS 預設區域中建立的。
## 多區域複寫的運作方式
使用多區域複寫功能, AWS 受管 Microsoft AD 可免除管理全域 Active Directory 基礎設施的繁重工作。設定後, AWS 會跨多個 複寫所有客戶目錄資料,包括使用者、群組、群組政策和結構描述 AWS 區域。
新增區域後,將自動發生以下操作,如圖所示:
+ AWS Managed Microsoft AD 會在選取的 VPC 中建立兩個網域控制站,並將其部署到相同 AWS 帳戶中的新區域。目錄識別符 (`directory_id`) 在所有區域中保持不變。如果需要,您可以稍後新增更多域控制站。
+ AWS Managed Microsoft AD 會設定主要區域與新區域之間的網路連線。
+ AWS Managed Microsoft AD 會建立新的 Active Directory 網站,並提供與該區域相同的名稱,例如 us-east-1。您也可以稍後使用 Active Directory 站台及服務工具對其進行重新命名。
+ AWS Managed Microsoft AD 會將所有 Active Directory 物件和組態複寫到新區域,包括使用者、群組、群組政策、Active Directory 信任、組織單位和 Active Directory 結構描述。設定 Active Directory 站台連結以使用[變更通知](https://learn.microsoft.com/en-us/troubleshoot/windows-server/identity/modify-default-intra-site-dc-replication-interval)。啟用站台之間的變更通知後,變更將以與在來源站台內傳播的頻率傳播到遠端站台,包括需要進行緊急複寫的變更。
+ 如果這是您新增的第一個區域, AWS Managed Microsoft AD 會讓所有功能多區域都知道。如需詳細資訊,請參閱[全域與區域功能](multi-region-global-region-features.md)。
![\[主要區域和其他區域之間 AWS Managed Microsoft AD Active Directory 的多區域複寫。\]](http://docs.aws.amazon.com/zh_tw/directoryservice/latest/admin-guide/images/multiregion.png)
### Active Directory 站台
多區域複寫支援多個 Active Directory 網站 (每個區域一個 Active Directory 網站)。新增區域時,會為其指定與相應區域相同的名稱,例如 us–east–1。您也可以稍後使用 Active Directory 站台及服務工具對其進行重新命名。
### AWS 服務
AWS Amazon RDS for SQL Server 和 Amazon FSx 等 服務會連線至 全域目錄的本機執行個體。這可讓您的使用者登入一次在 中執行的 Active Directory 感知應用程式 AWS ,以及任何 AWS 區域中的 Amazon RDS for SQL Server 等 AWS 服務。若要這樣做,當您信任 AWS Managed Microsoft AD 時,使用者需要 AWS 來自 Managed Microsoft AD 或內部部署 Active Directory 的登入資料。
您可以使用下列 AWS 服務搭配多區域複寫功能。
+ Amazon EC2
+ Amazon FSx for Windows File Server
+ Amazon Relational Database Service for SQL Server
+ Amazon RDS for Oracle
+ Amazon RDS for MySQL
+ Amazon RDS for PostgreSQL
+ Amazon RDS for MariaDB
+ Amazon Aurora for MySQL
+ Amazon Aurora for PostgreSQL
### 容錯移轉
如果一個區域中的所有網域控制站都故障, AWS 受管 Microsoft AD 會復原網域控制站,並自動複寫目錄資料。同時,其他區域的域控制站保持正常運作。
## 多區域複寫的優點
透過 AWS Managed Microsoft AD 中的多區域複寫,Active Directory 感知應用程式會在本機使用 目錄以獲得高效能,並使用多區域功能來提供彈性。您可以使用多區域複寫搭配 Active Directory 感知應用程式,例如 SharePoint 和 SQL Server Always On,以及 Amazon RDS for SQL Server 和 FSx for Windows File Server 等 AWS 服務。以下是多區域複寫的其他優勢。
+ 它可讓您快速地全域部署單一 AWS Managed Microsoft AD 執行個體,並消除自我管理全球 Active Directory 基礎設施的繁重工作。
+ 這可讓您在多個 AWS 區域中更輕鬆且更具成本效益地部署和管理 Windows 和 Linux 工作負載。自動化多區域複寫可讓您的全域 Active Directory 感知應用程式中獲得最佳效能。在 Windows 或 Linux 執行個體中部署的所有應用程式都會在 區域本機使用 AWS Managed Microsoft AD,以便盡可能回應來自最接近區域的使用者請求。
+ 它提供多區域彈性。 AWS 受管 Microsoft AD 部署在高可用性的 AWS 受管基礎設施中,可跨所有區域處理基礎 Active Directory 基礎設施的自動化軟體更新、監控、復原和安全性。這使您可以專注於建立應用程式。
**Topics**
+ [多區域複寫的運作方式](#multi-region-how-it-works)
+ [多區域複寫的優點](#multi-region-benefits)
+ [全域與區域功能](multi-region-global-region-features.md)
+ [主要區域與其他區域](multi-region-global-primary-additional.md)
+ [新增 AWS Managed Microsoft AD 的複寫區域](multi-region-add-region.md)
+ [刪除 AWS Managed Microsoft AD 的複寫區域](multi-region-delete-region.md)
# 全域與區域功能
當您使用多區域複寫將 AWS 區域新增至目錄時, Directory Service 會增強所有功能的範圍,使其成為區域感知。當您在 Directory Service 主控台中選擇目錄的 ID 時,顯示的詳細資訊頁面會在各個索引標籤上列出這些功能。這表示所有功能都是根據您在主控台的**多區域複寫**區段中選取的區域啟用、設定和管理。對每個區域中的功能所做的變更會全域套用或按區域套用。
多區域複寫僅支援 AWS Managed Microsoft AD **企業版**。
## 全域功能
選取 [主要區域](multi-region-global-primary-additional.md#multi-region-primary) 時對全域功能所做的任何變更都會套用至所有區域。
您可以在**目錄詳細資訊**頁面上識別全域使用的功能,因為這些功能旁邊會顯示**已套用至所有複寫的區域**字樣。如果您在清單中選取的是其他區域不是主要區域,全域使用的功能旁邊會顯示**已從主要區域繼承**字樣。
## 區域功能
您對 [其他區域](multi-region-global-primary-additional.md#multi-region-additional) 中的功能所做的任何變更將僅套用於相應區域。
您可以在**目錄詳細資訊**頁面上識別區域功能,因為這些功能旁邊***不會***顯示**已套用至所有複寫的區域**或**已從主要區域繼承**字樣。
# 主要區域與其他區域
使用多區域複寫時, AWS 受管 Microsoft AD 會使用下列兩種區域類型來區分全域或區域功能應如何套用至您的目錄。
## 主要區域
您首次建立目錄的初始區域稱為*主要*區域。您只能從主要區域執行全域目錄層級的操作,例如建立 Active Directory 信任和更新 AD 結構描述。
主要區域始終會顯示為**多區域複寫**區段中清單頂部的第一個區域,並以「**–主要**」結尾。例如,**美國東部 (維吉尼亞北部)– 主要**。
您在選取主要區域[全域功能](multi-region-global-region-features.md#multi-region-global)時所做的任何變更都會套用至所有區域。
您只能在選取主要區域時新增區域。如需詳細資訊,請參閱[新增 AWS Managed Microsoft AD 的複寫區域](multi-region-add-region.md)。
## 其他區域
您新增至目錄的任何區域稱為*其他*區域。
儘管某些功能可以針對所有區域進行全域管理,但其他功能則按區域單獨管理。若要管理其他區域 (非主要區域) 的功能,您必須先從**目錄詳細資訊**頁面上的**多區域複寫**區段的清單中選取其他區域。然後方可以管理相關功能。
選取其他區域時對 [區域功能](multi-region-global-region-features.md#multi-region-regional) 所做的任何變更將僅套用於相應區域。
# 新增 AWS Managed Microsoft AD 的複寫區域
當您使用 [設定 AWS Managed Microsoft AD 的多區域複寫](ms_ad_configure_multi_region_replication.md)功能新增區域時, AWS 受管 Microsoft AD 會在所選 AWS 區域中建立兩個網域控制站:Amazon Virtual Private Cloud (VPC) 和子網路。 AWS 受管 Microsoft AD 也會建立相關的安全群組,讓 Windows 工作負載能夠連線到新區域中的目錄。它還使用已部署目錄的相同 AWS 帳戶來建立這些資源。您透過選擇區域、指定 VPC 並提供新區域的組態來完成此操作。
只有 AWS Managed Microsoft AD **企業版**支援多區域複寫。
## 先決條件
在繼續執行新增複寫區域的步驟之前,我們建議您先檢視下列事前準備事項。
+ 確認您擁有必要的 AWS Identity and Access Management (IAM) 許可、Amazon VPC 設定,以及您要複寫目錄的新區域中的子網路設定。
+ 如果您想要使用現有的現場部署 Active Directory 登入資料來存取和管理 中的 Active Directory 感知工作負載 AWS,您必須在 AWS Managed Microsoft AD 和您的現場部署 AD 基礎設施之間建立 Active Directory 信任。如需信任的詳細資訊,請參閱 [將 AWS Managed Microsoft AD 連接至現有的 Active Directory 基礎設施](ms_ad_connect_existing_infrastructure.md)。
+ 如果您的現場部署 Active Directory 與您想要新增複寫區域之間有現有的信任關係,則需要驗證您在想要複寫目錄的新區域中具有必要的 Amazon VPC 和子網路設定。
您也可以在 AWS Managed Microsoft AD 和內部部署 AD 基礎設施之間建立信任,以便使用現有的內部部署 Active Directory 憑證來管理 AD 感知工作負載。如需詳細資訊,請參閱[將 AWS Managed Microsoft AD 連接至現有的 Active Directory 基礎設施](ms_ad_connect_existing_infrastructure.md)。
## 新增區域
使用下列程序為您的 AWS Managed Microsoft AD 目錄新增複寫區域。
**新增複寫區域**
1. 在 [AWS Directory Service 主控台](https://console.aws.amazon.com/directoryservicev2/)導覽窗格中,選擇 **Directories (目錄)**。
1. 在 **Directories** (目錄) 頁面中,選擇目錄 ID。
1. 在目**錄詳細資訊**頁面上的**多區域複寫**下,從清單中選擇**主要**區域,然後選擇**新增區域**。
**注意**
您只能在選取**主要**區域時新增區域。如需詳細資訊,請參閱[主要區域](multi-region-global-primary-additional.md#multi-region-primary)。
1. 在**新增區域**頁面上的**區域**下,從清單中選擇要新增的區域。
1. 在 **VPC** 下,選擇要用於該區域的 VPC。
**注意**
此 VPC 不得具有與此目錄在另一個區域中使用的 VPC 重疊的無類別域間路由 (CIDR)。
1. 在**子網路** 下,選擇要用於該區域的子網路。
1. 檢視**定價**下的資訊,然後選擇**新增**。
1. 當 AWS Managed Microsoft AD 完成網域控制站部署程序時,區域會顯示**作用中**狀態。現在您可以根據需要對此區域進行更新。
## 後續步驟
新增區域之後,您應該考慮進行以下後續步驟:
+ 根據需要將其他的域控制站 (最多 20 個) 部署到新區域。新增區域時的域控制站數量預設為 2 個,這是實現容錯和高可用性目的所需的最小數目。如需詳細資訊,請參閱[使用 新增或移除其他網域控制站 AWS 管理主控台](ms_ad_deploy_additional_dcs.md#addremovedcs)。
**注意**
當您將複寫的 AWS 區域 新增至 AWS Managed Microsoft AD 時,預設會建立兩個網域控制站,這是容錯能力和高可用性所需的網域控制站數目下限。
+ 與每個區域的更多 AWS 帳戶共用您的目錄。目錄共用組態不會自動從主要區域複寫。如需詳細資訊,請參閱[共用您的 AWS Managed Microsoft AD](ms_ad_directory_sharing.md)。
**注意**
目錄共用組態不會在主要 中自動複寫 AWS 區域。
+ 啟用日誌轉送,使用來自新區域的 Amazon CloudWatch Logs 擷取目錄的安全日誌。啟用日誌轉發時,您必須在複寫目錄的每個區域中提供日誌群組名稱。如需詳細資訊,請參閱[啟用 AWS Managed Microsoft AD 的 Amazon CloudWatch Logs 日誌轉送](ms_ad_enable_log_forwarding.md)。
**注意**
啟用日誌轉送時,您必須在複寫目錄的每個 AWS 區域 中提供日誌群組的名稱。
+ 為新區域啟用 Amazon Simple Notification Service (Amazon SNS) 監控,以追蹤每個區域的目錄運作狀況。如需詳細資訊,請參閱[使用 Amazon Simple Notification Service 啟用 AWS Managed Microsoft AD 目錄狀態通知](ms_ad_enable_notifications.md)。
# 刪除 AWS Managed Microsoft AD 的複寫區域
使用下列程序來刪除 AWS Managed Microsoft AD 目錄的區域。在刪除區域之前,請確認相關區域不存在以下任一情況:
+ 連接了授權的應用程式。
+ 具有與之關聯的共用目錄。
**刪除複寫區域**
1. 在 [AWS Directory Service 主控台](https://console.aws.amazon.com/directoryservicev2/)導覽窗格中,選擇 **Directories (目錄)**。
1. 從導覽列中,新增**區域**選取器,然後選擇存放目錄的區域。
1. 在 **Directories** (目錄) 頁面中,選擇目錄 ID。
1. 在**目錄詳細資訊**頁面上的**多區域複寫**下,選擇**刪除區域**。
1. 在**刪除區域**對話方塊中,檢視訊息,然後輸入區域名稱進行確認。然後選擇**刪除**。
**注意**
當區域正在被刪除時,您無法對其進行更新。