AWS Directory Service を使用して VPN 経由で Route 53 プライベートホストゾーンを解決する方法を教えてください。

最終更新日: 2019 年 5 月 30 日

Amazon Route 53 プライベートホストゾーンを使用していて、VPN 経由でアクセスしたいと思っています。AWS Directory Service をどのように使用すればよいですか?

簡単な説明

Route 53 プライベートホストゾーンネームサーバーは、AWS DNS サーバーからのクエリのみに応答します。オンプレミスインフラストラクチャから直接プライベートゾーンを解決するには、Simple Active Directory (Simple AD) の使用を検討します。Simple AD ディレクトリを使用して、DNS リクエストを VPC から AWS DNS サーバーの IP アドレスに転送できます。

これらの DNS サーバーは、Amazon Route 53 プライベートホストゾーンで構成された名前を解決します。オンプレミスのインフラストラクチャを Simple AD に指定することで、選択したプライベートホストゾーンへ DNS リクエストを解決できます。

: Simple AD は以下のリージョンでサポートされています。

  • 米国東部 (バージニア北部)
  • 米国西部 (オレゴン)
  • アジアパシフィック (シンガポール)
  • アジアパシフィック (シドニー)
  • アジアパシフィック (東京)
  • 欧州 (アイルランド)

Simple AD がお客様のリージョンではご利用いただけない場合、AWS Managed Microsoft AD を使用して、同じ DNS 解決が利用できます。詳細については、「How to Set Up DNS Resolution Between On-Premises Networks and AWS Using AWS Directory Service and Microsoft Active Directory」をご参照ください。 

解決方法

新しい Simple AD を作成する

  1. AWS Directory Service コンソールにサインインして、[Set up directory] を選択します。
  2. [Simple AD] をクリックし、[Next] を選択します。
  3. [Directory size info] で [Small] または [Large] を選択します。
  4. [Directory DNS name] でドメイン名を入力します。
    : ドメイン名がプライベートホストゾーンと Route 53 ドメイン名と異なることを確認してください。Route 53 と Simple AD のドメイン名が同じ場合、または Route 53 ドメインが Simple AD ドメインのサブドメインである場合、Simple AD はプライベートホストゾーンにリクエストを転送できません。
  5. [Administrator password] と [Confirm password] にパスワードを入力し、[Next] を選択します。
  6. [VPC] でプライベートホストゾーンに関連付けられた VPC を追加し、[Next] 、[Create directory] の順にクリックします。
  7. 新しい AD のステータス が [Active] である場合、[Directory ID] をクリックし、DNS アドレス ([Directory Details] の下にある) を書き留めます。この IP アドレスはローカル DNS リソルバーを構成する際に使用します。

Directory Service が Simple AD コントローラー用にセキュリティグループを作成します。

このセキュリティグループがオンプレミス IP からのトラフィックを許可していることを確認します。

  1. Amazon EC2 コンソールにサインインし、[Security Groups] を選択します。
  2. directoryID_controllers という名前のセキュリティグループを見つけます。ここで directoryID は、Simple AD のディレクトリ ID です。
  3. セキュリティグループを開き、インバウンドトラフィックルールを編集して、オンプレミス CIDR からポート 53 への TCP/UDP トラフィックを許可します。

VPC のルートテーブルに、オンプレミスの仮想ゲートウェイのための適切なエントリがあることを確認します。

構成が完了すると、DHCP オプションセットを編集して、Simple AD に接続できます。DHCP で、DNS サーバーと同じになるように Simple AD の IP アドレスを設定します。ローカル DNS サーバーでフォワーダーまたは条件付きフォワーダーを設定することもできます。