我有一個 Amazon Route 53 私人託管區域,我想使用 AWS Directory Service 透過 VPN 存取。
簡短說明
Route 53 私人託管區域名稱伺服器僅回應來自 AWS DNS 伺服器的查詢。若要直接從內部部署基礎結構解析私人區域,請使用 Simple Active Directory (Simple AD)。使用 Simple AD 目錄將 DNS 請求從您的 VPC 轉送到 AWS DNS 伺服器的 IP 地址。
這些 DNS 伺服器會解析您在 Amazon Route 53 私人託管區域中設定的名稱。從內部部署基礎結構指向 Simple AD,解析您選擇的私人託管區域的 DNS 請求。
**注意:**下列 AWS 區域支援 Simple AD:
- 美國東部 (維吉尼亞北部)
- 美國西部 (奧勒岡)
- 亞太區域 (新加坡)
- 亞太區域 (雪梨)
- 亞太區域 (東京)
- 歐洲 (愛爾蘭)
如果您的區域無法使用 Simple AD,您可以使用 AWS Managed Microsoft AD 提供相同的 DNS 解析。如需詳細資訊,請參閱如何使用 AWS Directory Service 和 Microsoft 活動目錄在內部部署網路和 AWS 之間設定 DNS 解析。
解決方法
建立新的 Simple AD
- 登入 AWS Directory Service 主控台,然後選擇設定目錄。
- 選擇 Simple AD 後,選擇下一步。
- 針對目錄大小資訊,選擇小或大。
- 在目錄 DNS 名稱中輸入網域名稱。
**注意:**確認網域名稱與您的私人託管區域和 Route 53 網域名稱不同。如果路由 53 和 Simple AD 網域名稱相同,Simple AD 就無法將請求轉寄至私人託管區域。此外,在這種情況下,如果 Route 53 網域是 Simple AD 網域的子域,則 Simple AD 無法轉發請求。
- 在管理員****密碼和確認密碼中,輸入密碼,接著選擇下一步。
- 如果是 VPC,請新增與私人託管區域相關聯的 VPC,然後選擇下一步。然後,選擇建立目錄。
- 當新 AD 的狀態是啟用時,請選擇目錄 ID。然後,記下目錄****詳細資訊下方的 DNS 地址。使用此 IP 地址來設定本機 DNS 解析程式。
目錄服務可以代表您為 Simple AD 控制器建立安全群組。
確認安全群組能產生流量
若要確認正確的安全群組允許來自內部部署 IP 的流量,請完成下列步驟:
- 登入 Amazon EC2 主控台,然後選擇安全群組。
- 尋找名為 directoryID_controllers 的安全群組,其中 directoryID 是 Simple AD 的目錄識別碼。
- 開啟安全群組,然後編輯輸入流量規則,以允許來自內部部署 CIDR 的連接埠 53 上的 TCP/UDP 流量。
確認 VPC 上的路由表具有適用於內部部署虛擬閘道的條目。
設定完成後,您可以透過編輯 DHCP 選項組來連線至 Simple AD。在 DHCP 中,設定 Simple AD 的 IP 地址,使其與 DNS 伺服器相同。您也可以在本機 DNS 伺服器上設定轉寄站或條件式轉寄站。
相關資訊
什麼是 AWS Directory Service?
AWS Managed Microsoft AD
開始使用 AWS Managed Microsoft AD