Wie löse ich eine private gehostete Route-53-Zone über ein VPN mithilfe von AWS Directory Service auf?

Lesedauer: 3 Minute
0

Ich verfüge über eine private gehostete Amazon-Route-53-Zone und möchte mit AWS Directory Service über ein VPN auf diese zugreifen.

Kurzbeschreibung

Route-53-Nameserver für private gehostete Zonen antworten nur auf Anfragen von AWS-DNS-Servern. Verwenden Sie Simple Active Directory (Simple AD), um private Zonen direkt von Ihrer On-Premises-Infrastruktur aus aufzulösen. Verwenden Sie ein einfaches AD-Verzeichnis, um die DNS-Anfragen von Ihrer VPC an die IP-Adresse der AWS-DNS-Server weiterzuleiten.

Diese DNS-Server lösen Namen auf, die in Ihren privaten gehosteten Zonen von Amazon Route 53 konfiguriert wurden. Lösen Sie DNS-Anfragen an die private gehostete Zone Ihrer Wahl auf, indem Sie von Ihrer On-Premises-Infrastruktur auf Ihr Simple AD verweisen.

Hinweis: Simple AD wird in den folgenden AWS-Regionen unterstützt:

  • USA Ost (Nord-Virginia)
  • USA West (Oregon)
  • Asien-Pazifik (Singapur)
  • Asien-Pazifik (Sydney)
  • Asien-Pazifik (Tokio)
  • EU (Irland)

Wenn Simple AD in Ihrer Region nicht verfügbar ist, können Sie AWS Managed Microsoft AD verwenden, um dieselbe DNS-Auflösung bereitzustellen. Weitere Informationen finden Sie unter So richten Sie die DNS-Auflösung zwischen lokalen Netzwerken und AWS mithilfe von AWS Directory Service und Microsoft Active Directory ein.

Lösung

Erstellen eines neuen Simple AD

  1. Melden Sie sich bei der AWS-Directory-Service-Konsole an und wählen Sie dann Verzeichnis einrichten aus.
  2. Wählen Sie Simple AD und anschließend Weiter aus.
  3. Wählen Sie für Informationen zur Verzeichnisgröße Klein oder Groß aus.
  4. Geben Sie für den Verzeichnis-DNS-Namen einen Domainnamen ein.
    Hinweis: Vergewissern Sie sich, dass sich der Domainname von Ihrer privaten gehosteten Zone und dem Route-53-Domainnamen unterscheidet. Wenn die Route-53- und Simple-AD-Domainnamen identisch sind, kann Simple AD die Anfrage nicht an die private gehostete Zone weiterleiten. In diesem Fall kann Simple AD die Anfrage auch nicht weiterleiten, wenn die Route-53-Domain eine Subdomain der Simple AD-Domain ist.
  5. Geben Sie für Administrator-Passwort und Passwort bestätigen ein Passwort ein und wählen Sie dann Weiter aus.
  6. Fügen Sie für VPC die VPC hinzu, die der privaten gehosteten Zone zugeordnet ist, und wählen Sie Weiter aus. Wählen Sie dann Verzeichnis erstellen aus.
  7. Wenn der Status Ihres neuen AD Aktiv lautet, wählen Sie Verzeichnis-ID aus. Notieren Sie sich dann die DNS-Adresse unter Verzeichnis-Details. Verwenden Sie diese IP-Adresse, um Ihren lokalen DNS-Resolver zu konfigurieren.

Directory Service erstellt in Ihrem Namen eine Sicherheitsgruppe für die Simple-AD-Controller.

Sicherstellen, dass Sicherheitsgruppen Datenverkehr zulassen

Gehen Sie wie folgt vor, um zu überprüfen, ob die richtige Sicherheitsgruppe den Datenverkehr von Ihren lokalen IPs zulässt:

  1. Melden Sie sich bei der Amazon-EC2-Konsole an und wählen Sie dann Sicherheitsgruppen aus.
  2. Suchen Sie die Sicherheitsgruppe mit dem Namen directoryID_controllers, wobei directoryID die Verzeichnis-ID für Ihr Simple AD ist.
  3. Öffnen Sie die Sicherheitsgruppe und bearbeiten Sie dann die Regeln für eingehenden Datenverkehr, um TCP/UDP-Verkehr auf Port 53 von Ihrem lokalen CIDR aus zuzulassen.

Vergewissern Sie sich, dass die Routing-Tabelle auf der VPC die richtigen Einträge für Ihr lokales virtuelles Gateway enthält.

Wenn die Konfiguration abgeschlossen ist, können Sie eine Verbindung zum Simple AD herstellen, indem Sie den DHCP-Optionssatz bearbeiten. Stellen Sie in DHCP die IP-Adressen des Simple AD so ein, dass sie mit denen der DNS-Server übereinstimmen. Sie können auch eine Weiterleitung oder eine bedingte Weiterleitung auf Ihrem lokalen DNS-Server einrichten.

Ähnliche Informationen

Was ist AWS Directory Service?

AWS Managed Microsoft AD

Erste Schritte mit AWS Managed Microsoft AD

AWS OFFICIAL
AWS OFFICIALAktualisiert vor 10 Monaten