如何使用 AWS Directory Service 解析 VPN 上的 Route 53 私有托管区域？

Route 53 私有托管区域名称服务器只响应来自 AWS DNS 服务器的查询。要从本地基础设施直接解析私有区域，不妨考虑使用 Simple Active Directory (Simple AD)。您可以使用 Simple AD 目录将来自 VPC 的 DNS 请求转发至 AWS DNS 服务器的 IP 地址。

这些 DNS 服务器可以解析在 Amazon Route 53 私有托管区域中配置的名称。通过将本地基础设施指向 Simple AD，您可以将 DNS 请求解析到您选择的私有托管区域。

注意：Simple AD 支持在以下区域使用：

• 美国东部（弗吉尼亚北部）
• 美国西部（俄勒冈）
• 亚太地区（新加坡）
• 亚太地区（悉尼）
• 亚太地区（东京）
• 欧洲（爱尔兰）

如果 Simple AD 未在您所在区域推出，您可以使用 AWS Managed Microsoft AD 来提供相同的 DNS 解析功能。有关更多信息，请参阅 How to Set Up DNS Resolution Between On-Premises Networks and AWS Using AWS Directory Service and Microsoft Active Directory。 

创建新的 Simple AD：

1. 登录到 AWS Directory Service 控制台，然后选择设置目录。
   
2. 选择 Simple AD，选择下一步。
3. 对于目录大小信息，选择小型或大型。
4. 对于目录 DNS 名称，输入域名。
   注意：请确保域名不与您的私有托管区域和 Route 53 域名不同。如果 Route 53 名称和 Simple AD 域名相同，或者如果 Route 53 域是 Simple AD 域的一个子域，则 Simple AD 无法将请求转发至私有托管区域。
5. 对于管理员密码和确认密码，输入密码，然后选择下一步。
6. 对于 VPC，添加与私有托管区域关联的 VPC，选择下一步，然后选择创建目录。
7. 当新 AD 的状态为活动时，选择 目录 ID，然后记下目录详细信息下的DNS 地址。您可以使用此 IP 地址配置本地 DNS 解析程序。

Directory Service 代表您为 Simple AD 控制器创建安全组。

请确保此安全组允许来自本地 IP 的流量：

1. 登录 Amazon EC2 控制台，然后选择 安全组。
2. 找到名为 directoryID_controllers 的安全组，其中 directoryID 为 Simple AD 的目录 ID。
3. 打开安全组，然后编辑入站流量规则，以允许来自本地 CIDR 端口 53 上的 TCP/UDP 流量。

请确保 VPC 上的路由表具有适用于本地虚拟网关的正确条目。

配置完成后，您可以通过编辑 DHCP 选项集连接到 Simple AD。在 DHCP 中，设置 Simple AD 的 IP 地址，以便该地址与 DNS 服务器相同。您还可以在本地 DNS 服务器上设置转发服务器器或条件转发服务器。