AWS re:Postを使用することにより、以下に同意したことになります AWS re:Post 利用規約

AWS Directory Service を使用して VPN 経由で Route 53 プライベートホストゾーンを解決する方法を教えてください。

所要時間2分
0

Amazon Route 53 のプライベートホストゾーンがあり、AWS Directory Service を使用して VPN 経由でアクセスしたいと考えています。

簡単な説明

Route 53 のプライベートホストゾーンネームサーバーは、AWS DNS サーバーからのクエリにのみ応答します。オンプレミスインフラストラクチャからプライベートゾーンを直接解決するには、Simple Active Directory (Simple AD) を使用します。Simple AD Directory を使用することで、VPC からの DNS リクエストを AWS DNS サーバーの IP アドレスに転送できます。

DNS サーバーは、Amazon Route 53 のプライベートホストゾーンに設定されている名前を解決します。オンプレミスのインフラストラクチャから Simple AD を指定して、選択したプライベートホストゾーンへの DNS リクエストを解決します。

注: Simple AD は次の AWS リージョンでサポートされています。

  • 米国東部 (バージニア北部)
  • 米国西部 (オレゴン)
  • アジアパシフィック (シンガポール)
  • アジアパシフィック (シドニー)
  • アジアパシフィック (東京)
  • 欧州 (アイルランド)

お客様のリージョンで Simple AD がご利用いただけない場合は、AWS Managed Microsoft AD を使用することで同じ DNS 解決を行うことができます。詳細については、「AWS Directory Service と Microsoft Active Directory を使用してオンプレミスネットワークと AWS 間の DNS 解決を設定する方法」を参照してください。

解決策

Simple AD を新規作成する

  1. AWS Directory Service コンソールにサインインし、[ディレクトリのセットアップ] を選択します。
  2. [Simple AD] を選択し、[次へ] を選択します。
  3. [ディレクトリサイズに関する情報] で、[スモール] または [ラージ] を選択します。
  4. [ディレクトリの DNS 名] にドメイン名を入力します。
    注: 必ずプライベートホストゾーンおよび Route 53 ドメイン名と異なるドメイン名を入力します。Route 53 と Simple AD のドメイン名が同じ場合、Simple AD はリクエストをプライベートホストゾーンに転送できません。また、Route 53 ドメインが Simple AD ドメインのサブドメインである場合も、Simple AD はリクエストを転送できません。
  5. [管理者****パスワード][パスワードの確認] にパスワードを入力し、[次へ] を選択します。
  6. [VPC] で、プライベートホストゾーンに関連付けられた VPC を追加し、[次へ] を選択します。次に、[ディレクトリの作成] を選択します。
  7. 新しい AD の [ステータス][アクティブ] になったら、[ディレクトリ ID] を選択します。次に、[ディレクトリの****詳細] に表示されている DNS アドレスを書き留めます。この IP アドレスを使用して、ローカル DNS リゾルバーを設定します。

Directory Service は、ユーザーに代わって Simple AD コントローラーのセキュリティグループを作成します。

セキュリティグループでトラフィックを許可していることを確認する

正しいセキュリティグループがオンプレミス IP からのトラフィックを許可していることを確認するには、次の手順を実行します。

  1. Amazon EC2 コンソールにサインインし、[セキュリティグループ] を選択します。
  2. directoryID_controllers という名前のセキュリティグループを見つけます。ここで、directoryID はご使用の Simple AD のディレクトリ ID です。
  3. 見つけたセキュリティグループを開き、インバウンドトラフィックルールを編集して、オンプレミスの CIDR からの TCP/UDP トラフィックをポート 53 で許可します。

VPC のルートテーブルに、オンプレミス仮想ゲートウェイの適切なエントリがあることを確認します。

設定が完了したら、[DHCP オプションセット] を編集することで、Simple AD に接続できます。[DHCP] で、Simple AD の IP アドレスを DNS サーバーの IP アドレスと同じになるように設定します。また、ローカル DNS サーバーにフォワーダーまたは条件付きフォワーダーを設定することもできます。

関連情報

AWS Directory Service とは?

AWS Managed Microsoft AD

AWS Managed Microsoft AD の開始

AWS公式
AWS公式更新しました 2年前
コメントはありません

関連するコンテンツ