如何使用 Amazon Directory Service 通过 VPN 解析 Route 53 私有托管区?
2 分钟阅读
0
我想使用 Amazon Directory Service,通过 VPN 访问我的 Amazon Route 53 私有托管区。
简短描述
Route 53 私有托管区名称服务器仅响应 Amazon DNS 服务器发送的查询。要直接从本地基础设施解析私有区域,请使用 Simple Active Directory (Simple AD)。使用 Simple AD 目录,将 VPC 发送的 DNS 请求转发到 Amazon DNS 服务器的 IP 地址。
这些 DNS 服务器可以解析 Amazon Route 53 私有托管区中配置的名称。通过将请求从本地基础设施指向 Simple AD,来解析对您所选私有托管区的 DNS 请求。
**注意:**以下亚马逊云科技区域支持 Simple AD:
- 美国东部(弗吉尼亚北部)
- 美国西部(俄勒冈)
- 亚太地区(新加坡)
- 亚太地区(悉尼)
- 亚太地区(东京)
- 欧盟(爱尔兰)
如果 Simple AD 在您所在的区域不可用,则可以使用 Amazon Managed Microsoft AD 提供相同的 DNS 解析。有关更多信息,请参阅如何使用 Amazon Directory Service 和 Microsoft Active Directory 在本地网络和亚马逊云科技之间设置 DNS 解析。
解决方法
新建 Simple AD
- 登录 Amazon Directory Service 控制台,然后选择设置目录。
- 选择 Simple AD,然后选择下一步。
- 对于目录大小信息,选择小或大。
- 对于目录 DNS 名称,输入域名。
**注意:**确认该域名不同于您私有托管区和 Route 53 的域名。如果 Route 53 和 Simple AD 的域名相同,则 Simple AD 无法将请求转发到私有托管区。此外,如果 Route 53 域是 Simple AD 域的子域,则 Simple AD 无法转发请求。 - 对于管理员****密码和确认密码,输入密码,然后选择下一步。
- 对于 VPC,添加与私有托管区关联的 VPC,然后选择下一步。选择创建目录。
- 新 AD 状态为有效时,选择目录 ID。然后记下目录****详细信息下的 DNS 地址。使用此 IP 地址,配置您的本地 DNS 解析程序。
Directory Service 代表您为 Simple AD 控制器创建安全组。
确认安全组允许流量
要确认正确的安全组允许从您本地 IP 传出的流量,请完成以下步骤:
- 登录 Amazon EC2 控制台,然后选择安全组。
- 找到名为 directoryID_controllers 的安全组,其中 directoryID 是您 Simple AD 的目录 ID。
- 打开安全组,然后编辑入站流量规则,允许端口 53 从本地 CIDR 传出的 TCP/UDP 流量。
确认 VPC 上的路由表包含本地虚拟网关的正确条目。
配置完成后,您可以编辑 DHCP 选项集,连接到 Simple AD。在 DHCP 中,设置 Simple AD 的 IP 地址,使其与 DNS 服务器相同。您还可以在本地 DNS 服务器上,设置转发服务器或条件转发服务器。
相关信息
AWS 官方已更新 1 年前
没有评论
相关内容
- AWS 官方已更新 9 个月前
- AWS 官方已更新 1 年前
