スキップしてコンテンツを表示
AWS re:Postを使用することにより、以下に同意したことになります AWS re:Post 利用規約
AWS re:Postre:Post
re:Postに関して

AWS マネージド Microsoft AD ディレクトリの使用時に、Route 53 プライベートホストゾーンを解決する方法を教えてください。

所要時間2分
0

Microsoft Active Directory ドメイン用 AWS ディレクトリサービスのリソースでは、Amazon Route 53 プライベートホストゾーン内の DNS レコードを解決できません。

解決策

デフォルトでは、AmazonProvidedDNS サーバーのみがプライベートホストゾーンの DNS クエリを解決します。ただし、DNS フォワーダー設定を構成すると、Route 53 プライベートホストゾーンに対するリクエストを AmazonProvidedDNS サーバーに転送できます。

AWS マネージド Microsoft AD サーバーは、次の状況において、プライベートホストゾーンのドメインに関しては AmazonProvidedDNS サーバーにアクセスしません。

DNS ゾーン名が同一である

AWS マネージド Microsoft AD サーバーが、Route 53 プライベートホストゾーンと同じ名前のゾーンをホストしている場合。たとえば、AWS マネージド Microsoft AD に example1.com という名前の DNS ゾーンを作成してあり、Route 53 には、example1.com および example2.com という 2 個のプライベートホストゾーンがある場合、

AWS マネージド Microsoft AD は example1.com へのすべての DNS クエリに権威回答を返し、example1.com のクエリを Route 53 に転送しません。AWS マネージド Microsoft AD は、example2.com に対する DNS クエリが行われた場合は Route 53 に転送します。AWS マネージド Microsoft AD および、その他すべての Active Directory 統合 DNS サーバーは、それ自体のドメインに対するクエリを他の DNS サーバーに転送できないことが原因で、この現象が発生します。

Route 53 プライベートホストゾーンと AWS マネージド Microsoft AD には、異なるドメイン名を使用することをおすすめします。AWS マネージド Microsoft AD ゾーンで example1.com を使用する場合は、Route 53 プライベートホストゾーンで example2.com を使用してください。

ドメイン名が同一である

AWS マネージド Microsoft AD ドメイン名が、Route 53 プライベートホストゾーンの名前と一致している場合。たとえば、起動時に AWS マネージド Microsoft AD が example1.com という名前の DNS ゾーンを作成し、Route 53 にも example1.com という名前のプライベートホストゾーンがある場合、AWS マネージド Microsoft AD が example1.com へのすべての DNS クエリに権威回答を返します。example1.com のクエリは Route 53 に転送されません。example2.com などの他のドメインに対する DNS クエリは、AWS マネージド Microsoft AD により Route 53 に転送されます。

DNS ゾーンに「.」(ルート) という名前が付いている

AWS マネージド Microsoft AD に**「.」(ルート)** という名前が付いた DNS ゾーンが含まれている場合。たとえば、起動時にドメインに myexample.com という名前を付けると、AWS マネージド Microsoft AD は myexample.com という名前の DNS ゾーンを自動的に作成します。Route 53 は、example1.comexample2.com という 2 つのプライベートホストゾーンをホストしています。

AWS マネージド Microsoft AD はリクエストを Route 53 に転送しないため、ゾーン example1.comexample2.com に対しても、www.amazon.com などのインターネット名に対しても、DNS 解決は失敗します。

DNS フォワーダー設定を構成する

前提条件: ドメインに参加済みの Amazon Elastic Compute Cloud (Amazon EC2) インスタンスに、Active Directory Domain Services および Active Directory Lightweight Directory Services Tools をインストールします。

注: [機能] ツリーでは、AD DSAD LDS ToolsDNS Server Tools を選択する必要があります。

次に、以下の操作を実行します。

  1. 管理者アカウントから Remote Server Administration Tools (RSAT) インスタンスにログインします。
  2. Windows 管理ツールから DNS 管理ツールを開きます。
  3. AWS マネージド Microsoft AD ドメインコントローラのいずれかの IP アドレスを使用して DNS サーバーに接続します。
  4. [DNS] を展開し、該当するドメイン名のコンテキストメニューを選択します。
  5. [プロパティ] を選択します。
  6. [フォワーダー] タブで、AmazonProvidedDNS サーバーを指すように転送側サーバーの IP アドレスを編集します。
    注: AmazonProvidedDNS サーバーは、仮想プライベートクラウド (VPC) の 2 番目のアドレスです。たとえば、VPC CIDR が 10.0.0.0/16 の場合、AmazonProvidedDNS サーバーは 10.0.0.2 になります。詳細については、「VPC の DNS 属性」を参照してください。
  7. 手順 3 ~ 5 を繰り返します。AWS マネージド Microsoft AD ドメイン内の、もう一方のドメインコントローラーの IP アドレスを入力します。

関連情報

Remote Server Administration Tools (RSAT) for Windows (Microsoft のウェブサイト)

DNS 用語 (IETF のウェブサイト)

トピック
Security, Identity, & Compliance
タグ
AWS Directory Service
言語
日本語
AWS公式更新しました 1年前
コメントはありません

関連するコンテンツ