Übersicht Voraussetzungen und Einschränkungen Architektur Tools Epen Zugehörige Ressourcen

Zentralisieren Sie die DNS Problemlösung mithilfe von AWS Managed Microsoft AD und lokalem Microsoft Active Directory

Erstellt von Brian Westmoreland () AWS

Umwelt: Produktion	Technologien: Infrastruktur; Netzwerke DevOps; Sicherheit, Identität, Compliance; Betriebssysteme	Arbeitslast: Microsoft
AWSDienste: AWS Verwaltetes Microsoft AD; Amazon Route 53 AWSRAM; AWS Directory Service; AWS Organizations; AWS Direct Connect; AWS CLI

Übersicht

Dieses Muster bietet Anleitungen zur Zentralisierung der Auflösung von Domain Name System (DNS) in einer Umgebung mit AWS mehreren Konten mithilfe des AWS Directory Service für Microsoft Active Directory (AWSManaged Microsoft AD). In diesem Muster ist der AWS DNS Namespace eine Unterdomäne des lokalen Namespaces. DNS Dieses Muster enthält auch Anleitungen zur Konfiguration der lokalen DNS Server, um Abfragen weiterzuleiten, AWS wenn die lokale DNS Lösung Microsoft Active Directory verwendet.

Voraussetzungen und Einschränkungen

Voraussetzungen

Eine Umgebung AWS mit mehreren Konten, die mithilfe von AWS Organizations eingerichtet wurde.
Netzwerkkonnektivität zwischen AWS Konten hergestellt.
Netzwerkkonnektivität zwischen AWS und der lokalen Umgebung (mithilfe von AWS Direct Connect oder einer anderen Art von VPN Verbindung).
AWSAuf einer lokalen Arbeitsstation konfigurierte Befehlszeilenschnittstelle (AWSCLI).
AWSResource Access Manager (AWSRAM) wurde verwendet, um Amazon Route 53 53-Regeln zwischen Konten gemeinsam zu nutzen. Daher muss das Teilen in der AWS Organisationsumgebung aktiviert sein, wie im Abschnitt Epics beschrieben.

Einschränkungen

AWSDie verwaltete Microsoft AD Standard Edition hat ein Limit von 5 Aktien.
AWSDie verwaltete Microsoft AD Enterprise Edition hat ein Limit von 125 Aktien.
Diese Lösung in diesem Muster ist auf AWS Regionen beschränkt, in denen die gemeinsame Nutzung unterstützt wird AWSRAM.

Produktversionen

Microsoft Active Directory wird auf Windows Server 2008, 2012, 2012 R2 oder 2016 ausgeführt

Architektur

Zielarchitektur

In diesem Design ist AWS Managed Microsoft AD im Shared AWS Services-Konto installiert. Dies ist zwar keine Voraussetzung, dieses Muster geht jedoch von dieser Konfiguration aus. Wenn Sie AWS Managed Microsoft AD in einem anderen AWS Konto konfigurieren, müssen Sie möglicherweise die Schritte im Abschnitt Epics entsprechend ändern.

Dieses Design verwendet Route 53 53-Resolver, um die Namensauflösung mithilfe von Route 53 53-Regeln zu unterstützen. Wenn die lokale DNS Lösung Microsoft verwendetDNS, ist die Erstellung einer bedingten Weiterleitungsregel für den AWS Namespace (aws.company.com), der eine Unterdomäne des DNS Firmen-Namespace (company.com) ist, nicht einfach. Wenn Sie versuchen, eine herkömmliche bedingte Weiterleitung zu erstellen, führt dies zu einem Fehler. Dies liegt daran, dass Microsoft Active Directory bereits für jede Subdomain von als maßgeblich angesehen wird. company.com Um diesen Fehler zu umgehen, müssen Sie zunächst eine Delegierung erstellen, um die Autorität für diesen aws.company.com Namespace zu delegieren. Anschließend können Sie die bedingte Weiterleitung erstellen.

Die virtuelle private Cloud (VPC) für jedes Spoke-Konto kann einen eigenen eindeutigen DNS Namespace haben, der auf dem AWS Root-Namespace basiert. In diesem Design hängt jedes Spoke-Konto eine Abkürzung des Kontonamens an den Basis-Namespace an. AWS Nachdem die privaten gehosteten Zonen im Spoke-Konto erstellt wurden, werden die Zonen sowohl dem VPC Spoke-Konto als auch dem Konto VPC im zentralen AWS Netzwerk zugeordnet. Auf diese Weise kann das zentrale AWS Netzwerkkonto DNS Anfragen im Zusammenhang mit den Spoke-Konten beantworten.

Automatisierung und Skalierung

Dieses Design verwendet Route 53 Resolver-Endpunkte, um DNS Abfragen zwischen AWS und Ihrer lokalen Umgebung zu skalieren. Jeder Route 53 Resolver-Endpunkt umfasst mehrere elastische Netzwerkschnittstellen (verteilt auf mehrere Availability Zones), und jede Netzwerkschnittstelle kann bis zu 10.000 Abfragen pro Sekunde verarbeiten. Route 53 Resolver unterstützt bis zu 6 IP-Adressen pro Endpunkt, sodass dieses Design insgesamt bis zu 60.000 DNS Abfragen pro Sekunde unterstützt, die über mehrere Availability Zones verteilt sind, um eine hohe Verfügbarkeit zu gewährleisten.

Darüber hinaus berücksichtigt dieses Muster automatisch das future Wachstum innerhalbAWS. Die vor Ort konfigurierten DNS Weiterleitungsregeln müssen nicht geändert werden, um neue VPCs und die zugehörigen privaten gehosteten Zonen zu unterstützen, die hinzugefügt werdenAWS.

Tools

AWSDienste

AWSDer Directory Service für Microsoft Active Directory ermöglicht es Ihren verzeichnissensitiven Workloads und AWS Ressourcen, Microsoft Active Directory in der Cloud zu verwenden. AWS
AWSOrganizations ist ein Kontoverwaltungsdienst, mit dem Sie mehrere AWS Konten zu einer Organisation zusammenfassen können, die Sie erstellen und zentral verwalten.
AWSResource Access Manager (AWSRAM) hilft Ihnen dabei, Ihre Ressourcen sicher für mehrere AWS Konten gemeinsam zu nutzen, um den betrieblichen Aufwand zu reduzieren und für Transparenz und Überprüfbarkeit zu sorgen.
Amazon Route 53 ist ein hochverfügbarer und skalierbarer DNS Webservice.

Tools

AWSCommand Line Interface (AWSCLI) ist ein Open-Source-Tool, mit dem Sie über Befehle in Ihrer Befehlszeilen-Shell mit AWS Diensten interagieren können. In diesem Muster AWS CLI wird der verwendet, um Route 53 53-Autorisierungen zu konfigurieren.

Epen

Aufgabe	Beschreibung	Erforderliche Fähigkeiten
Stellen Sie AWS Managed Microsoft AD bereit.	Erstellen und konfigurieren Sie ein neues Verzeichnis. Ausführliche Schritte finden Sie unter Erstellen Ihres AWS verwalteten Microsoft AWS AD-Verzeichnisses im Directory Service Administration Guide. Notieren Sie die IP-Adressen der AWS verwalteten Microsoft AD-Domänencontroller. Auf diese wird in einem späteren Schritt verwiesen.	AWSAdministrator
Teilen Sie das Verzeichnis.	Nachdem das Verzeichnis erstellt wurde, können Sie es für andere AWS Konten in der AWS Organisation freigeben. Anweisungen finden Sie unter Verzeichnis teilen im AWSDirectory Service Administration Guide. Hinweis: Die AWS Managed Microsoft AD Standard Edition hat ein Limit von 5 Aktien. Die Enterprise Edition hat ein Limit von 125 Aktien.	AWSAdministrator

Aufgabe

Beschreibung

Erforderliche Fähigkeiten

Stellen Sie AWS Managed Microsoft AD bereit.

Erstellen und konfigurieren Sie ein neues Verzeichnis. Ausführliche Schritte finden Sie unter Erstellen Ihres AWS verwalteten Microsoft AWS AD-Verzeichnisses im Directory Service Administration Guide.
Notieren Sie die IP-Adressen der AWS verwalteten Microsoft AD-Domänencontroller. Auf diese wird in einem späteren Schritt verwiesen.

AWSAdministrator

Teilen Sie das Verzeichnis.

Nachdem das Verzeichnis erstellt wurde, können Sie es für andere AWS Konten in der AWS Organisation freigeben. Anweisungen finden Sie unter Verzeichnis teilen im AWSDirectory Service Administration Guide.

Hinweis: Die AWS Managed Microsoft AD Standard Edition hat ein Limit von 5 Aktien. Die Enterprise Edition hat ein Limit von 125 Aktien.

AWSAdministrator

Aufgabe Beschreibung Erforderliche Fähigkeiten

Aufgabe	Beschreibung	Erforderliche Fähigkeiten
Erstellen Sie Route 53 53-Resolver.	Route 53 53-Resolver erleichtern die DNS Abfrageauflösung zwischen AWS und dem lokalen Rechenzentrum. Installieren Sie Route 53 Resolver, indem Sie den Anweisungen im Route 53 Developer Guide folgen. Konfigurieren Sie Route 53 53-Resolver in privaten Subnetzen in mindestens zwei Availability Zones innerhalb des zentralen AWS Netzwerkkontos VPC für hohe Verfügbarkeit. Hinweis: Die Verwendung des zentralen AWS Netzwerkkontos VPC ist zwar keine Voraussetzung, bei den verbleibenden Schritten wird jedoch von dieser Konfiguration ausgegangen.	AWSAdministrator
Erstellen Sie Route 53 53-Regeln.	Ihr spezieller Anwendungsfall erfordert möglicherweise eine große Anzahl von Route 53 53-Regeln, aber Sie müssen die folgenden Regeln als Grundlage konfigurieren: Eine ausgehende Regel für den lokalen Namespace (`company.com`) unter Verwendung der ausgehenden Route 53 53-Resolver. Teilen Sie diese Regel mit Spoke-Konten. AWS Ordnen Sie diese Regel einem Spoke-Konto zuVPCs. Eine ausgehende Regel für den AWS Namespace (`aws.company.com`), die auf das zentrale Netzwerkkonto Route 53 Inbound Resolvers verweist. Teilen Sie diese Regel mit Spoke-Konten. AWS Ordnen Sie die Regel dem Spoke-Konto zuVPCs. Ordnen Sie diese Regel nicht dem zentralen AWS Netzwerkkonto zu VPC (in dem sich die Route 53 53-Resolver befinden). Eine zweite ausgehende Regel für den AWS Namespace (`aws.company.com`), die auf die AWS verwalteten Microsoft AD-Domänencontroller verweist (verwenden Sie die IPs aus dem vorherigen Epic). Ordnen Sie diese Regel dem zentralen AWS Netzwerkkonto zu VPC (in dem sich die Route 53 53-Resolver befinden). Teilen Sie diese Regel nicht mit anderen Konten und verknüpfen Sie sie nicht mit anderen AWS Konten. Weitere Informationen finden Sie unter Managing Forwarding Rules im Route 53 Developer Guide.	AWSAdministrator

Erstellen Sie Route 53 53-Resolver.

Route 53 53-Resolver erleichtern die DNS Abfrageauflösung zwischen AWS und dem lokalen Rechenzentrum.

Installieren Sie Route 53 Resolver, indem Sie den Anweisungen im Route 53 Developer Guide folgen.
Konfigurieren Sie Route 53 53-Resolver in privaten Subnetzen in mindestens zwei Availability Zones innerhalb des zentralen AWS Netzwerkkontos VPC für hohe Verfügbarkeit.

Hinweis: Die Verwendung des zentralen AWS Netzwerkkontos VPC ist zwar keine Voraussetzung, bei den verbleibenden Schritten wird jedoch von dieser Konfiguration ausgegangen.

AWSAdministrator

Erstellen Sie Route 53 53-Regeln.

Ihr spezieller Anwendungsfall erfordert möglicherweise eine große Anzahl von Route 53 53-Regeln, aber Sie müssen die folgenden Regeln als Grundlage konfigurieren:

Eine ausgehende Regel für den lokalen Namespace (company.com) unter Verwendung der ausgehenden Route 53 53-Resolver.
- Teilen Sie diese Regel mit Spoke-Konten. AWS
- Ordnen Sie diese Regel einem Spoke-Konto zuVPCs.
Eine ausgehende Regel für den AWS Namespace (aws.company.com), die auf das zentrale Netzwerkkonto Route 53 Inbound Resolvers verweist.
- Teilen Sie diese Regel mit Spoke-Konten. AWS
- Ordnen Sie die Regel dem Spoke-Konto zuVPCs.
- Ordnen Sie diese Regel nicht dem zentralen AWS Netzwerkkonto zu VPC (in dem sich die Route 53 53-Resolver befinden).
Eine zweite ausgehende Regel für den AWS Namespace (aws.company.com), die auf die AWS verwalteten Microsoft AD-Domänencontroller verweist (verwenden Sie die IPs aus dem vorherigen Epic).
- Ordnen Sie diese Regel dem zentralen AWS Netzwerkkonto zu VPC (in dem sich die Route 53 53-Resolver befinden).
- Teilen Sie diese Regel nicht mit anderen Konten und verknüpfen Sie sie nicht mit anderen AWS Konten.

Weitere Informationen finden Sie unter Managing Forwarding Rules im Route 53 Developer Guide.

AWSAdministrator

Aufgabe	Beschreibung	Erforderliche Fähigkeiten
Erstellen Sie die Delegation.	Verwenden Sie das DNS Microsoft-Snap-In (`dnsmgmt.msc`), um eine neue Delegierung für den `company.com` Namespace in Active Directory zu erstellen. Der Name der delegierten Domäne sollte lauten. `aws` Dies ergibt den vollqualifizierten Domänennamen (FQDN) der Delegation`aws.company.com`. Verwenden Sie für die Nameserver die IP-Adressen der AWS eingehenden Route 53 53-Resolver im zentralen DNS AWS Konto für die IP-Werte und verwenden Sie sie `server.aws.company.com` für den Namen.	Active Directory
Erstellen Sie den bedingten Forwarder.	Verwenden Sie das DNS Microsoft-Snap-In (`dnsmgmt.msc`), um eine neue bedingte Weiterleitung für zu erstellen. `aws.company.com` Verwenden Sie die IP-Adressen der AWS verwalteten Microsoft AD-Domänencontroller für das Ziel der bedingten Weiterleitung.	Active Directory

Aufgabe Beschreibung Erforderliche Fähigkeiten

Aufgabe	Beschreibung	Erforderliche Fähigkeiten
Erstellen Sie die privaten gehosteten Zonen von Route 53	Erstellen Sie in jedem Spoke-Konto eine private gehostete Route 53 53-Zone. Ordnen Sie diese private gehostete Zone dem Spoke-Konto zuVPC. Eine ausführliche Anleitung finden Sie unter Creating a private hosted zone im Route 53 Developer Guide.	AWSAdministrator
Autorisierungen erstellen.	Verwenden Sie die AWSCLI, um eine Autorisierung für das zentrale AWS Netzwerkkonto VPC zu erstellen. Führen Sie diesen Befehl im Kontext jedes AWS Spoke-Kontos aus: `aws route53 create-vpc-association-authorization --hosted-zone-id <hosted-zone-id> \ --vpc VPCRegion=<region>,VPCId=<vpc-id>` Wobei: `<hosted-zone-id>`ist die privat gehostete Route 53 53-Zone im Spoke-Konto. `<region>`und `<vpc-id>` sind die AWS Region und die VPC ID des zentralen AWS NetzwerkkontosVPC.	AWSAdministrator
Verknüpfungen erstellen.	Erstellen Sie die Route 53 53-Zuordnung für die private gehostete Zone für das zentrale AWS Netzwerkkonto mithilfe VPC von AWSCLI. Führen Sie diesen Befehl im Kontext des zentralen AWS Netzwerkkontos aus: `aws route53 associate-vpc-with-hosted-zone --hosted-zone-id <hosted-zone-id> \ --vpc VPCRegion=<region>,VPCId=<vpc-id>` Wobei: `<hosted-zone-id>`ist die privat gehostete Route 53 53-Zone im Spoke-Konto. `<region>`und `<vpc-id>` sind die AWS Region und die VPC ID des zentralen AWS Netzwerkkontos.	AWSAdministrator

Erstellen Sie die privaten gehosteten Zonen von Route 53

Erstellen Sie in jedem Spoke-Konto eine private gehostete Route 53 53-Zone. Ordnen Sie diese private gehostete Zone dem Spoke-Konto zuVPC. Eine ausführliche Anleitung finden Sie unter Creating a private hosted zone im Route 53 Developer Guide.

AWSAdministrator

Autorisierungen erstellen.

Verwenden Sie die AWSCLI, um eine Autorisierung für das zentrale AWS Netzwerkkonto VPC zu erstellen. Führen Sie diesen Befehl im Kontext jedes AWS Spoke-Kontos aus:


aws route53 create-vpc-association-authorization --hosted-zone-id <hosted-zone-id> \
   --vpc VPCRegion=<region>,VPCId=<vpc-id>

Wobei:

<hosted-zone-id>ist die privat gehostete Route 53 53-Zone im Spoke-Konto.
<region>und <vpc-id> sind die AWS Region und die VPC ID des zentralen AWS NetzwerkkontosVPC.

AWSAdministrator

Verknüpfungen erstellen.

Erstellen Sie die Route 53 53-Zuordnung für die private gehostete Zone für das zentrale AWS Netzwerkkonto mithilfe VPC von AWSCLI. Führen Sie diesen Befehl im Kontext des zentralen AWS Netzwerkkontos aus:


aws route53 associate-vpc-with-hosted-zone --hosted-zone-id <hosted-zone-id> \
   --vpc VPCRegion=<region>,VPCId=<vpc-id>

Wobei:

<hosted-zone-id>ist die privat gehostete Route 53 53-Zone im Spoke-Konto.
<region>und <vpc-id> sind die AWS Region und die VPC ID des zentralen AWS Netzwerkkontos.

AWSAdministrator

Zugehörige Ressourcen

Vereinfachen Sie die DNS Verwaltung in einer Umgebung mit mehreren Konten mit Route 53 Resolver (AWSBlogbeitrag von Mahmoud Matouk)
Erstellen eines Verzeichnisses mit AWS Managed Microsoft AD (AWSDirectory Service Service-Dokumentation)
Gemeinsames Verwenden eines AWS verwalteten Microsoft AD-Verzeichnisses (Dokumentation zum AWS Directory Service)
Installation eines Route 53 53-Resolvers (Amazon Route 53 53-Dokumentation)
Erstellen einer privaten, gehosteten Route 53 53-Zone (Amazon Route 53 53-Dokumentation)

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Greifen Sie mit Session Manager und Amazon EC2 Instance Connect auf einen Bastion-Host zu

Zentralisieren Sie die Überwachung mithilfe von Observability Access Manager