Come posso risolvere una zona ospitata privata su Route 53 tramite una VPN utilizzando il Servizio di directory AWS?

Breve descrizione

I server dei nomi delle zone ospitate private su Route 53 rispondono alle richieste solo dai server DNS AWS. Per risolvere direttamente le zone private dall'infrastruttura on-premise, utilizza Simple Active Directory (Simple AD). Usa una directory Simple AD per inoltrare le richieste DNS dal tuo VPC all'indirizzo IP dei server DNS AWS.

Questi server DNS risolvono i nomi configurati nelle tue zone ospitate private su Amazon Route 53. Risolvi le richieste DNS verso la zona ospitata privata di tua scelta indirizzando dalla tua infrastruttura on-premise al tuo Simple AD.

Nota: Simple AD è supportato nelle seguenti regioni AWS:

• Stati Uniti orientali (Virginia settentrionale)
• Stati Uniti occidentali (Oregon)
• Asia Pacifico (Singapore)
• Asia Pacifico (Sydney)
• Asia Pacifico (Tokyo)
• UE (Irlanda)

Se Simple AD non è disponibile nella tua regione, puoi utilizzare AWS Managed Microsoft AD per fornire la stessa risoluzione DNS. Per ulteriori informazioni, consulta Come configurare la risoluzione DNS tra reti on-premise e AWS utilizzando il Servizio di directory AWS e Microsoft Active Directory.

Soluzione

Crea un nuovo Simple AD

1. Accedi alla console del Servizio di directory AWS, quindi scegli Set up directory (Configura directory).
2. Scegli Simple AD, seleziona Next (Avanti).
3. In Directory size info (Informazioni sulle dimensioni della directory), scegli Small (Piccola) o Large (Grande).
4. In Directory DNS name (Nome DNS della directory), inserisci un nome di dominio.
   Nota: Verifica che il nome di dominio sia diverso dalla tua zona ospitata privata e dal nome di dominio Route 53. Se i nomi di dominio Route 53 e Simple AD sono uguali, Simple AD non può inoltrare la richiesta alla zona ospitata privata. Inoltre, in questo caso, Simple AD non può inoltrare la richiesta se il dominio Route 53 è un sottodominio del dominio Simple AD.
5. In Administrator password (Password amministratore) e Confirm password (Conferma password), inserisci una password, quindi scegli Next (Avanti).
6. In VPC, aggiungi il VPC associato alla zona ospitata privata e scegli Next (Avanti). Quindi, scegli Create directory (Crea directory).
7. Quando lo Status (Stato) del tuo nuovo AD è Active (Attivo), scegli Directory ID (ID directory). Quindi, annota l'indirizzo DNS in Directory Details (Dettagli della directory). Usa questo indirizzo IP per configurare il tuo resolver DNS locale.

Il Servizio di directory crea un gruppo di sicurezza per tuo conto per i controller Simple AD.

Verifica che i gruppi di sicurezza consentano il traffico

Per confermare che il gruppo di sicurezza corretto consenta il traffico proveniente dai tuoi IP on-premise, completa i seguenti passaggi:

1. Accedi alla console Amazon EC2, quindi scegli Security Groups (Gruppi di sicurezza).
2. Trova il gruppo di sicurezza denominato DirectoryID_controllers, dove directoryID è l'ID di directory per il tuo Simple AD.
3. Apri il gruppo di sicurezza, quindi modifica le regole del traffico in entrata per consentire il traffico TCP/UDP sulla porta 53 dal tuo CIDR on-premise.

Verifica che la tabella di routing sul VPC contenga le voci corrette per il gateway virtuale on-premise.

Una volta completata la configurazione, puoi connetterti a Simple AD modificando il set di opzioni DHCP. In DHCP, imposta gli indirizzi IP di Simple AD in modo che siano gli stessi dei server DNS. Puoi anche configurare un server d'inoltro o uno d'inoltro condizionale sul tuo server DNS locale.

Informazioni correlate

Cos'è il Servizio di directory AWS?

AWS Managed Microsoft AD

Nozioni di base su AWS Managed Microsoft AD