AWS re:Postを使用することにより、以下に同意したことになります AWS re:Post 利用規約
AWS re:Postre:Post

AWS Directory Service を使用して VPN 経由で Route 53 プライベートホストゾーンを解決する方法を教えてください。

所要時間2分
0

Amazon Route 53 のプライベートホストゾーンがあり、AWS Directory Service を使用して VPN 経由でアクセスしたいと考えています。

簡単な説明

Route 53 のプライベートホストゾーンネームサーバーは、AWS DNS サーバーからのクエリにのみ応答します。オンプレミスインフラストラクチャからプライベートゾーンを直接解決するには、Simple Active Directory (Simple AD) を使用します。Simple AD Directory を使用することで、VPC からの DNS リクエストを AWS DNS サーバーの IP アドレスに転送できます。

DNS サーバーは、Amazon Route 53 のプライベートホストゾーンに設定されている名前を解決します。オンプレミスのインフラストラクチャから Simple AD を指定して、選択したプライベートホストゾーンへの DNS リクエストを解決します。

注: Simple AD は次の AWS リージョンでサポートされています。

  • 米国東部 (バージニア北部)
  • 米国西部 (オレゴン)
  • アジアパシフィック (シンガポール)
  • アジアパシフィック (シドニー)
  • アジアパシフィック (東京)
  • 欧州 (アイルランド)

お客様のリージョンで Simple AD がご利用いただけない場合は、AWS Managed Microsoft AD を使用することで同じ DNS 解決を行うことができます。詳細については、「AWS Directory Service と Microsoft Active Directory を使用してオンプレミスネットワークと AWS 間の DNS 解決を設定する方法」を参照してください。

解決策

Simple AD を新規作成する

  1. AWS Directory Service コンソールにサインインし、[ディレクトリのセットアップ] を選択します。
  2. [Simple AD] を選択し、[次へ] を選択します。
  3. [ディレクトリサイズに関する情報] で、[スモール] または [ラージ] を選択します。
  4. [ディレクトリの DNS 名] にドメイン名を入力します。
    注: 必ずプライベートホストゾーンおよび Route 53 ドメイン名と異なるドメイン名を入力します。Route 53 と Simple AD のドメイン名が同じ場合、Simple AD はリクエストをプライベートホストゾーンに転送できません。また、Route 53 ドメインが Simple AD ドメインのサブドメインである場合も、Simple AD はリクエストを転送できません。
  5. [管理者****パスワード][パスワードの確認] にパスワードを入力し、[次へ] を選択します。
  6. [VPC] で、プライベートホストゾーンに関連付けられた VPC を追加し、[次へ] を選択します。次に、[ディレクトリの作成] を選択します。
  7. 新しい AD の [ステータス][アクティブ] になったら、[ディレクトリ ID] を選択します。次に、[ディレクトリの****詳細] に表示されている DNS アドレスを書き留めます。この IP アドレスを使用して、ローカル DNS リゾルバーを設定します。

Directory Service は、ユーザーに代わって Simple AD コントローラーのセキュリティグループを作成します。

セキュリティグループでトラフィックを許可していることを確認する

正しいセキュリティグループがオンプレミス IP からのトラフィックを許可していることを確認するには、次の手順を実行します。

  1. Amazon EC2 コンソールにサインインし、[セキュリティグループ] を選択します。
  2. directoryID_controllers という名前のセキュリティグループを見つけます。ここで、directoryID はご使用の Simple AD のディレクトリ ID です。
  3. 見つけたセキュリティグループを開き、インバウンドトラフィックルールを編集して、オンプレミスの CIDR からの TCP/UDP トラフィックをポート 53 で許可します。

VPC のルートテーブルに、オンプレミス仮想ゲートウェイの適切なエントリがあることを確認します。

設定が完了したら、[DHCP オプションセット] を編集することで、Simple AD に接続できます。[DHCP] で、Simple AD の IP アドレスを DNS サーバーの IP アドレスと同じになるように設定します。また、ローカル DNS サーバーにフォワーダーまたは条件付きフォワーダーを設定することもできます。

関連情報

AWS Directory Service とは?

AWS Managed Microsoft AD

AWS Managed Microsoft AD の開始

トピック
セキュリティ、アイデンティティ、コンプライアンス
タグ
AWS Directory Service
言語
日本語
AWS公式
AWS公式更新しました 1年前
コメントはありません

関連するコンテンツ