« 2月は「AWS上でのDDoS対策 / AWSとのネットワーク接続」 AWS初心者向けWebinar | メイン | Amazon Redshift UDF repository on AWSLabs »

オンプレミスネットワークとAWS間のDNS名前解決をAWS Directory ServiceとMicrosoft Active Directoryを使用してセットアップする方法

前回の記事(日本語訳:オンプレミスネットワークとAWS間のDNS名前解決をAWS Directory ServiceとAmazon Route 53を使用してセットアップする方法)で、私はSimple ADを使用してオンプレミスネットワークから生成されたDNSリクエストをAmazon Route 53プライベートホステッドゾーンにフォワードする方法について紹介しました。本日は、Microsoft Active Directory(AWS Directory Serviceによってプロビジョンされた)を使用していくつかの追加のフォワード機能とともに同様のDNS名前解決を提供する方法について紹介します。

Microsoft Active Directory-provided DNSはVPC-provided DNSに自動的にリクエストをフォワードはしません。そのかわりに、DNSフォワーダーをRoute 53プライベートホステッドゾーンへのリクエストがVPC-provided DNSに送られるように構成する必要があります。DNSフォワーダーを構成するには、以下の段落で記述しているようにWindows DNS Server Tools機能をインストールする必要があります。

AWS Directory ServiceにおけるMicrosot Active Directoryタイプは2台のドメインコントローラー(それぞれ独立したAWSアベイラビリティゾーン)とほとんどの一般的な管理アクティビティへの権限を持つ管理者アカウントを提供します。それにはユーザーとグループの管理、リソースの管理、権限の委譲、グループポリシー管理、そしてDNS構成の管理が含まれます。Microsoft AD上のDNSサービスにアクセスするには、別のWindowsホストにWindows DNS Server Toolsをインストールします。以下のスクリーンショットにあるように、Add Roles and Features Wizardから、Remote Administration Tools以下のDNS Server Toolsを選択します。

Image of installing DNS Server Tools

DNS Server ToolsをインストールしてActive Directoryドメインで認証した後、DNS Manager(dnsmgmt.msc)を動かすと以下のイメージのようにサーバーへの接続を求められます。以前に既存のインストールされたDNS ManagerからDNSサーバーに接続している場合は、左上のコーナーでDNSノードを右クリックしてConnect to DNS Serverを選択することでDNSサーバーへの接続を手動で追加することができます。

Image of DNS Manager

The following computerの後のボックスで、プロビジョンされた2つのAWS Directory Service for Microsoft ADのドメインコントローラーのうち1つのIPアドレスを入力します。AWS Directory ServiceコンソールのMicrosoft ADディレクトリを選択することでどちらのIPアドレスも取得することができます。

DNS ManagerでMicrosoft AD DNSサービスに接続した後、サーバーと条件付きフォワーダーの設定をおこなうことができます。たとえば、DNSサーバーでRoute 53プライベートホステッドゾーンへのリクエストをRoute 53にフォワードするようにしたい場合は、Conditional Forwardersを右クリックしてNew Conditional Forwarderを選択します。そして、プライベートホステッドゾーンとVPC-provided DNSのIPアドレスを指定することができます。VPC-provided DNSのIPアドレスはつねにVPC CIDRブロック"プラス2"になることに注意してください。たとえば、VPCで10.10.0.0/16を使用している場合、以下の図にあるようにVPC-provided DNSは10.10.0.2になります。AWS Directory Servicre for Microsoft ADに条件付きフォワーダーを設定している場合、ほかのドメインコントローラーに対してのレプリケーションがあつかわれます。

Image of new conditional forwarder
これらの構成ステップの後、オンプレミスネットワークから発生したRoute 53へのDNSリクエストをAWSマネージドのMicrosoft ADサービス経由で名前解決することができるようになるはずです。以下の図はこのプロセスをしめしたものです。

 Diagram of resolving DNS requests originating from on-premises networks

AWSから発生したオンプレミスリソースへのDNS名前解決

前回のブログ記事で述べたとおり、VPC内にデプロイされたリソースからデータセンターやオンプレミスネットワークに存在するリソースへの名前解決もできるようにしたいのではないかと思います。言い換えると、この記事でここまでカバーしていたステップは既存の企業もしくはプライベートネットワークからVPCリソースへの名前解決についてのものです。逆方向の名前解決についてはどうでしょうか?

AWSマネージドのMicrosoft ADサービスでは、この記事で以前述べたようにオンプレミスDNSドメインとネームサーバーに対して別の条件付きフォワーダを作成するだけすみます。このサービスでのDNS構成へのアクセスは本当にうまくいきます!マネージドMicrosoft AD-provided DNSサーバーのひとつに対してDNS Managerを起動し、オンプレミスのドメイン名とDNSサーバーのIPアドレスへの条件付きフォワーダーを作成するだけです。もしくはDNS Managerを利用してオンプレミスにホストされるセカンダリDNSゾーンを作成することもできます。多くのワークロードでは、ほかにもとりえるオプションがありえますが、それはこのブログ記事のスコープ外となります。

以下の図はMicrosoft ADでVPC内部から発生したDNSリクエストのフローを描いたものです。

Diagram of the flow of DNS requests originating from inside the VPC

まとめ

この記事と前回の記事(日本語訳:オンプレミスネットワークとAWS間のDNS名前解決をAWS Directory ServiceとAmazon Route 53を使用してセットアップする方法)では、ハイブリッドアーキテクチャでSimple ADとMicrosoft ADをつかってDNSリクエストをRoute 53にフォワードする方法について解説しました。Microsoft ADでは、プロビジョンされたDNSサーバーへの管理アクセスによって柔軟に追加の構成が可能です。DNSフォワーダーはMicrosoft AD-provided DNSでリクエストをRoute 53またはオンプレミスのDNSサーバーにルートするために構成が可能です。

AWSワークロードでMicrosoft Active Directoryを必要とするのであれば、AWS Directory Serviceによって提供されるディレクトリタイプのうちひとつを利用することをおすすめします。これらのディレクトリタイプについての詳細は、 AWS Directory Service Product Detailsを参照してください。Simple ADとMicrosoft ADをオンプレミスネットワークとAWSとの間を結合するDNSストラテジーのために使用することによって、ハイブリッドなAWSの展開のための追加の統合オプションを提供します。

ご質問やご意見があれば、以下もしくはDirectory Service forumにご記入ください。

コメント

Twitter, Facebook

このブログの最新情報はTwitterFacebookでもお知らせしています。お気軽にフォローください。

2018年4 月

1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30