AWS Directory Service を使用して VPN 経由で Route 53 プライベートホストゾーンを解決する方法を教えてください。

Route 53 プライベートホストゾーンネームサーバーは、AWS DNS サーバーからのクエリのみに応答します。オンプレミスインフラストラクチャから直接プライベートゾーンを解決するには、Simple Active Directory (Simple AD) の使用を検討します。Simple AD ディレクトリを使用して、DNS リクエストを VPC から AWS DNS サーバーの IP アドレスに転送できます。

これらの DNS サーバーは、Amazon Route 53 プライベートホストゾーンで構成された名前を解決します。オンプレミスのインフラストラクチャを Simple AD に指定することで、選択したプライベートホストゾーンへ DNS リクエストを解決できます。

注: Simple AD は以下のリージョンでサポートされています。

• 米国東部 (バージニア北部)
• 米国西部 (オレゴン)
• アジアパシフィック (シンガポール)
• アジアパシフィック (シドニー)
• アジアパシフィック (東京)
• 欧州 (アイルランド)

Simple AD がお客様のリージョンではご利用いただけない場合、AWS Managed Microsoft AD を使用して、同じ DNS 解決が利用できます。詳細については、「How to Set Up DNS Resolution Between On-Premises Networks and AWS Using AWS Directory Service and Microsoft Active Directory」をご参照ください。 

新しい Simple AD を作成する

1. AWS Directory Service コンソールにサインインして、[Set up directory] を選択します。
   
2. [Simple AD] をクリックし、[Next] を選択します。
3. [Directory size info] で [Small] または [Large] を選択します。
4. [Directory DNS name] でドメイン名を入力します。
   注: ドメイン名がプライベートホストゾーンと Route 53 ドメイン名と異なることを確認してください。Route 53 と Simple AD のドメイン名が同じ場合、または Route 53 ドメインが Simple AD ドメインのサブドメインである場合、Simple AD はプライベートホストゾーンにリクエストを転送できません。
5. [Administrator password] と [Confirm password] にパスワードを入力し、[Next] を選択します。
6. [VPC] でプライベートホストゾーンに関連付けられた VPC を追加し、[Next] 、[Create directory] の順にクリックします。
7. 新しい AD のステータス が [Active] である場合、[Directory ID] をクリックし、DNS アドレス ([Directory Details] の下にある) を書き留めます。この IP アドレスはローカル DNS リソルバーを構成する際に使用します。

Directory Service が Simple AD コントローラー用にセキュリティグループを作成します。

このセキュリティグループがオンプレミス IP からのトラフィックを許可していることを確認します。

1. Amazon EC2 コンソールにサインインし、[Security Groups] を選択します。
2. directoryID_controllers という名前のセキュリティグループを見つけます。ここで directoryID は、Simple AD のディレクトリ ID です。
3. セキュリティグループを開き、インバウンドトラフィックルールを編集して、オンプレミス CIDR からポート 53 への TCP/UDP トラフィックを許可します。

VPC のルートテーブルに、オンプレミスの仮想ゲートウェイのための適切なエントリがあることを確認します。

構成が完了すると、DHCP オプションセットを編集して、Simple AD に接続できます。DHCP で、DNS サーバーと同じになるように Simple AD の IP アドレスを設定します。ローカル DNS サーバーでフォワーダーまたは条件付きフォワーダーを設定することもできます。