在使用 AWS Managed Microsoft AD 目录时，如何解析 Route 53 私有托管区？

简短描述

默认情况下，私有托管区的 DNS 查询只能由 AmazonProvidedDNS 服务器解析。但是，您可以将 DNS 转发服务器设置配置为将发往 Route 53 私有托管区的请求改为发送到 AmazonProvidedDNS。

**注意：**在以下情况下，AWS Managed Microsoft AD 服务器不会联系 AmazonProvidDNS 服务器获取私有托管区的域：

• AWS Managed Microsoft AD 服务器托管一个具有相同 Route 53 私有托管名称的区。例如，在 AWS Managed Microsoft AD 和 Route 53 上手动创建的名为 example1.com 的 DNS 区有两个私有托管区：example1.com 和 example2.com。AWS Managed Microsoft AD 将权威地响应 example1.com 的所有 DNS 查询，不会将 example1.com 查询转发给 Route 53。针对域 example2.com 的 DNS 查询将成功转发到 Route 53。
• AWS Managed Microsoft AD 域与 Route 53 私有托管区的名称相同。例如，AWS Managed Microsoft AD 在发布时被命名为 example1.com。在 AWS Managed Microsoft AD 上自动创建名为 example1.com 的 DNS 区。如果 Route 53 有一个名为 example1.com 的私有托管区，那么 AWS Managed Microsoft AD 会权威地响应 example1.com 的所有 DNS 查询。它不会将 example1.com 查询转发到 Route 53。针对其他域（例如 example2.com）的 DNS 查询已成功转发到 Route 53。
• AWS Managed Microsoft AD 有一个名为“.”（根）的 DNS 区。例如，AWS Managed Microsoft AD 在发布时被命名为 myexample.com，因此 DNS 区 myexample.com 是在 AWS Managed Microsoft AD 上自动创建的。Route 53 托管两个私有托管区 example1.com 和 example2.com。在这种情况下，AWS Managed Microsoft AD 不会将任何请求转发到 Route 53。DNS 区 example1.com 和 example2.com 以及 www.amazon.com 等互联网名称的名称解析失败。

有关更多信息，请参阅 IETF 网站上的 DNS 术语。

解决方法

首先，在加入了 Amazon Elastic Compute Cloud（Amazon EC2）实例的域上，安装 Active Directory 域服务和 Active Directory 轻型目录服务工具。

注意：在 Features（功能）树中，务必选择 AD DS、AD LDS Tools（AD LDS 工具）和 DNS Server Tools（DNS 服务器工具）。

然后，请按照以下步骤执行操作：

1. 使用管理员账户登录远程服务器管理工具 (RSAT) 实例。
2. 从 Windows 管理工具中打开 DNS 管理工具。
3. 使用其中一个托管式 AD 域控制器的 IP 地址连接到 DNS 服务器。
4. 展开 DNS，打开域名的上下文（右键单击）菜单，然后选择 Properties（属性）。
5. 从 Forwarders（转发服务器）选项卡中，编辑转发服务器的 IP 地址以指向 AmazonProvidedDNS。
   **注意：**AmazonProvidedDNS 是 VPC 的第二个地址。例如，如果 VPC CIDR 为 10.0.0.0/16，则 AmazonProvidedDNS 为 10.0.0.2。有关更多信息，请参阅 Amazon DNS 服务器。
6. 重复步骤 3 到 5，输入 Managed AD 域中每个其他域控制器的 IP 地址。

---

相关信息

Microsoft 网站上适用于 Windows 的远程服务器管理工具（RSAT）