Amazon Route 53 のプライベートホストゾーンがあり、AWS Directory Service を使用して VPN 経由でアクセスしたいと考えています。
簡単な説明
Route 53 のプライベートホストゾーンネームサーバーは、AWS DNS サーバーからのクエリにのみ応答します。オンプレミスインフラストラクチャからプライベートゾーンを直接解決するには、Simple Active Directory (Simple AD) を使用します。Simple AD Directory を使用することで、VPC からの DNS リクエストを AWS DNS サーバーの IP アドレスに転送できます。
DNS サーバーは、Amazon Route 53 のプライベートホストゾーンに設定されている名前を解決します。オンプレミスのインフラストラクチャから Simple AD を指定して、選択したプライベートホストゾーンへの DNS リクエストを解決します。
注: Simple AD は次の AWS リージョンでサポートされています。
- 米国東部 (バージニア北部)
- 米国西部 (オレゴン)
- アジアパシフィック (シンガポール)
- アジアパシフィック (シドニー)
- アジアパシフィック (東京)
- 欧州 (アイルランド)
お客様のリージョンで Simple AD がご利用いただけない場合は、AWS Managed Microsoft AD を使用することで同じ DNS 解決を行うことができます。詳細については、「AWS Directory Service と Microsoft Active Directory を使用してオンプレミスネットワークと AWS 間の DNS 解決を設定する方法」を参照してください。
解決策
Simple AD を新規作成する
- AWS Directory Service コンソールにサインインし、[ディレクトリのセットアップ] を選択します。
- [Simple AD] を選択し、[次へ] を選択します。
- [ディレクトリサイズに関する情報] で、[スモール] または [ラージ] を選択します。
- [ディレクトリの DNS 名] にドメイン名を入力します。
注: 必ずプライベートホストゾーンおよび Route 53 ドメイン名と異なるドメイン名を入力します。Route 53 と Simple AD のドメイン名が同じ場合、Simple AD はリクエストをプライベートホストゾーンに転送できません。また、Route 53 ドメインが Simple AD ドメインのサブドメインである場合も、Simple AD はリクエストを転送できません。
- [管理者****パスワード] と [パスワードの確認] にパスワードを入力し、[次へ] を選択します。
- [VPC] で、プライベートホストゾーンに関連付けられた VPC を追加し、[次へ] を選択します。次に、[ディレクトリの作成] を選択します。
- 新しい AD の [ステータス] が [アクティブ] になったら、[ディレクトリ ID] を選択します。次に、[ディレクトリの****詳細] に表示されている DNS アドレスを書き留めます。この IP アドレスを使用して、ローカル DNS リゾルバーを設定します。
Directory Service は、ユーザーに代わって Simple AD コントローラーのセキュリティグループを作成します。
セキュリティグループでトラフィックを許可していることを確認する
正しいセキュリティグループがオンプレミス IP からのトラフィックを許可していることを確認するには、次の手順を実行します。
- Amazon EC2 コンソールにサインインし、[セキュリティグループ] を選択します。
- directoryID_controllers という名前のセキュリティグループを見つけます。ここで、directoryID はご使用の Simple AD のディレクトリ ID です。
- 見つけたセキュリティグループを開き、インバウンドトラフィックルールを編集して、オンプレミスの CIDR からの TCP/UDP トラフィックをポート 53 で許可します。
VPC のルートテーブルに、オンプレミス仮想ゲートウェイの適切なエントリがあることを確認します。
設定が完了したら、[DHCP オプションセット] を編集することで、Simple AD に接続できます。[DHCP] で、Simple AD の IP アドレスを DNS サーバーの IP アドレスと同じになるように設定します。また、ローカル DNS サーバーにフォワーダーまたは条件付きフォワーダーを設定することもできます。
関連情報
AWS Directory Service とは?
AWS Managed Microsoft AD
AWS Managed Microsoft AD の開始