AWS Directory Service for Microsoft Active Directory ドメイン内のリソースは、Amazon Route 53 プライベートホストゾーンの DNS レコードを解決できません。この問題を解決するにはどうすればよいですか?
簡単な説明
デフォルトでは、プライベートホストゾーンの DNS クエリは AmazonProvidedDNS サーバーによってのみ解決されます。ただし、代わりに、Route 53 プライベートホストゾーンを送信先とするリクエストを AmazonProvidedDNS に送信するように DNS フォワーダー設定を構成できます。
注: AWS Managed Microsoft AD サーバーは、次の状況ではプライベートホストゾーンドメインのために AmazonProvidedDNS サーバーと通信しません。
- AWS Managed Microsoft AD サーバーが、同じ Route 53 プライベートホスト名のゾーンをホストしている。例えば、AWS Managed Microsoft AD と Route 53 で手動で作成された example1.com という名前の DNS ゾーンには、example1.com と example2.com という 2 つのプライベートホストゾーンがあります。AWS Managed Microsoft AD は example1.com へのすべての DNS クエリに正式に応答し、example1.com クエリを Route 53 に転送しません。example2.com というドメインをターゲットとする DNS クエリは Route 53 に正常に転送されます。
- AWS Managed Microsoft AD ドメインの名前が、Route 53 プライベートホストゾーンの名前と同じである。例えば、AWS Managed Microsoft AD は、リリース時に example1.com という名前を付けられたとします。example1.com という名前の DNS ゾーンが AWS Managed Microsoft AD に自動的に作成されます。Route 53 に example1.com という名前のプライベートホストゾーンがある場合、AWS Managed Microsoft AD は example1.com に対するすべての DNS クエリに正式に応答します。example1.com のクエリは Route 53 に転送されません。example2.com などの他のドメインをターゲットとする DNS クエリは、Route 53 に正常に転送されます。
- AWS Managed Microsoft AD には、「.」(ルート) という名前の DNS ゾーンがある。例えば、AWS Managed Microsoft AD は、リリース時に myexample.com という名前が付けられたとします。これにより、DNS ゾーン myexample.com が AWS Managed Microsoft AD に自動的に作成されます。Route 53 は example1.com と example2.com の 2 つのプライベートホストゾーンをホストしています。この場合、AWS Managed Microsoft AD は Route 53 にリクエストを転送しません。DNS ゾーン example1.com と example2.com、および www.amazon.com などのインターネット名では、名前解決が失敗します。
詳細については、IETF ウェブサイトの DNS の用語を参照してください。
解決方法
まず、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスに参加しているドメインに、Active Directory Domain Services および Active Directory Lightweight Directory Services Tools をインストールします。
注: 機能ツリーで、[AD DS]、[AD LDS Tools] (AD LDS ツール)、および [DNS Server Tools] (DNS サーバーツール) を選択します。
その後、次の手順を実行します。
- 管理者アカウントを使用して、リモートサーバー管理ツール (RSAT) インスタンスにログインします。
- Windows 管理ツールから DNS 管理ツールを開きます。
- Managed AD ドメインコントローラーの 1 つの IP アドレスを使用して DNS サーバーに接続します。
- [DNS] を展開し、ドメイン名のコンテキスト (右クリック) メニューを開き、[Properties] (プロパティ) を選択します。
- [Forwarders] (フォワーダー) タブで、AmazonProvidedDNS をポイントするようにフォワーディングサーバーの IP アドレスを編集します。
注: AmazonProvidedDNS は VPC の 2 番目のアドレスです。例えば、VPC CIDR が 10.0.0.0/16 の場合、AmazonProvidedDNS は 10.0.0.2 になります。詳細については、「Amazon DNS サーバー」を参照してください。
- ステップ 3~5 を繰り返して、Managed AD ドメインに追加する各ドメインコントローラの IP アドレスを入力します。
関連情報
Remote Server Administration Tools (RSAT) for Windows (Microsoft ウェブサイト)