在使用 AWS Managed Microsoft AD 目录时,如何解析 Route 53 私有托管区?

上次更新日期:2022 年 9 月 21 日

我的 AWS Directory Service for Microsoft Active Directory 域中的资源无法解析我的 Amazon Route 53 私有托管区中的 DNS 记录。如何解决此问题?

简短描述

默认情况下,私有托管区的 DNS 查询只能由 AmazonProvidedDNS 服务器解析。但是,您可以将 DNS 转发服务器设置配置为将发往 Route 53 私有托管区的请求改为发送到 AmazonProvidedDNS。

注意:在以下情况下,AWS Managed Microsoft AD 服务器不会联系 AmazonProvidDNS 服务器获取私有托管区的域:

  • AWS Managed Microsoft AD 服务器托管一个具有相同 Route 53 私有托管名称的区。例如,在 AWS Managed Microsoft AD 和 Route 53 上手动创建的名为 example1.com 的 DNS 区有两个私有托管区:example1.com 和 example2.com。AWS Managed Microsoft AD 将权威地响应 example1.com 的所有 DNS 查询,不会将 example1.com 查询转发给 Route 53。针对域 example2.com 的 DNS 查询将成功转发到 Route 53。
  • AWS Managed Microsoft AD 域与 Route 53 私有托管区的名称相同。例如,AWS Managed Microsoft AD 在发布时被命名为 example1.com。在 AWS Managed Microsoft AD 上自动创建名为 example1.com 的 DNS 区。如果 Route 53 有一个名为 example1.com 的私有托管区,那么 AWS Managed Microsoft AD 会权威地响应 example1.com 的所有 DNS 查询。它不会将 example1.com 查询转发到 Route 53。针对其他域(例如 example2.com)的 DNS 查询已成功转发到 Route 53。
  • AWS Managed Microsoft AD 有一个名为“.”(根)的 DNS 区。例如,AWS Managed Microsoft AD 在发布时被命名为 myexample.com,因此 DNS 区 myexample.com 是在 AWS Managed Microsoft AD 上自动创建的。Route 53 托管两个私有托管区 example1.com 和 example2.com。在这种情况下,AWS Managed Microsoft AD 不会将任何请求转发到 Route 53。DNS 区 example1.com 和 example2.com 以及 www.amazon.com 等互联网名称的名称解析失败。

有关更多信息,请参阅 IETF 网站上的 DNS 术语

解决方法

首先,在加入了 Amazon Elastic Compute Cloud(Amazon EC2)实例的域上,安装 Active Directory 域服务和 Active Directory 轻型目录服务工具

注意:在 Features(功能)树中,务必选择 AD DSAD LDS Tools(AD LDS 工具)和 DNS Server Tools(DNS 服务器工具)。

然后,请按照以下步骤执行操作:

  1. 使用管理员账户登录远程服务器管理工具 (RSAT) 实例。
  2. 从 Windows 管理工具中打开 DNS 管理工具。
  3. 使用其中一个托管式 AD 域控制器的 IP 地址连接到 DNS 服务器。
  4. 展开 DNS,打开域名的上下文(右键单击)菜单,然后选择 Properties(属性)。
  5. Forwarders(转发服务器)选项卡中,编辑转发服务器的 IP 地址以指向 AmazonProvidedDNS。
    注意:AmazonProvidedDNS 是 VPC 的第二个地址。例如,如果 VPC CIDR 为 10.0.0.0/16,则 AmazonProvidedDNS 为 10.0.0.2。有关更多信息,请参阅 Amazon DNS 服务器
  6. 重复步骤 3 到 5,输入 Managed AD 域中每个其他域控制器的 IP 地址。

这篇文章对您有帮助吗?


您是否需要账单或技术支持?