Übersicht Voraussetzungen und Einschränkungen Architektur Tools Epen Zugehörige Ressourcen

Zentralisieren Sie die DNS-Auflösung mithilfe von AWS Managed Microsoft AD und lokalem Microsoft Active Directory

Erstellt von Brian Westmoreland (AWS)

Umgebung: Produktion	Technologien: Infrastruktur; Netzwerke DevOps; Sicherheit, Identität, Compliance; Betriebssysteme	Arbeitslast: Microsoft
AWS-Services: AWS Managed Microsoft AD; Amazon Route 53; AWS RAM; AWS Directory Service; AWS Organizations; AWS Direct Connect; AWS CLI

Übersicht

Dieses Muster bietet Anleitungen zur Zentralisierung der DNS-Auflösung (Domain Name System) in einer AWS-Umgebung mit mehreren Konten mithilfe von AWS Directory Service for Microsoft Active Directory (AWS Managed Microsoft AD). In diesem Muster ist der AWS-DNS-Namespace eine Unterdomäne des lokalen DNS-Namespace. Dieses Muster bietet auch Anleitungen zur Konfiguration der lokalen DNS-Server für die Weiterleitung von Abfragen an AWS, wenn die lokale DNS-Lösung Microsoft Active Directory verwendet.

Voraussetzungen und Einschränkungen

Voraussetzungen

Eine AWS-Umgebung mit mehreren Konten, die mithilfe von AWS Organizations eingerichtet wurde.
Netzwerkkonnektivität zwischen AWS-Konten hergestellt.
Netzwerkkonnektivität zwischen AWS und der lokalen Umgebung hergestellt (mithilfe von AWS Direct Connect oder einer beliebigen VPN-Verbindung).
AWS-Befehlszeilenschnittstelle (AWS CLI), die auf einer lokalen Workstation konfiguriert ist.
AWS Resource Access Manager (AWS RAM) wurde verwendet, um Amazon Route 53 53-Regeln zwischen Konten gemeinsam zu nutzen. Daher muss das Teilen in der Umgebung von AWS Organizations aktiviert sein, wie im Abschnitt Epics beschrieben.

Einschränkungen

Die AWS Managed Microsoft AD Standard Edition hat ein Limit von 5 Aktien.
Die AWS Managed Microsoft AD Enterprise Edition hat ein Limit von 125 Aktien.
Diese Lösung in diesem Muster ist auf AWS-Regionen beschränkt, die die gemeinsame Nutzung über AWS-RAM unterstützen.

Produktversionen

Microsoft Active Directory wird auf Windows Server 2008, 2012, 2012 R2 oder 2016 ausgeführt

Architektur

Zielarchitektur

In diesem Design ist AWS Managed Microsoft AD im AWS-Konto für gemeinsame Dienste installiert. Obwohl dies keine Anforderung ist, geht dieses Muster von dieser Konfiguration aus. Wenn Sie AWS Managed Microsoft AD in einem anderen AWS-Konto konfigurieren, müssen Sie möglicherweise die Schritte im Abschnitt Epics entsprechend ändern.

Dieses Design verwendet Route 53 53-Resolver, um die Namensauflösung mithilfe von Route 53 53-Regeln zu unterstützen. Wenn die lokale DNS-Lösung Microsoft DNS verwendet, ist die Erstellung einer bedingten Weiterleitungsregel für den AWS-Namespace (aws.company.com), der eine Unterdomäne des Unternehmens-DNS-Namespace (company.com) ist, nicht einfach. Wenn Sie versuchen, eine herkömmliche bedingte Weiterleitung zu erstellen, führt dies zu einem Fehler. Dies liegt daran, dass Microsoft Active Directory bereits für jede Subdomain von als maßgeblich angesehen wird. company.com Um diesen Fehler zu umgehen, müssen Sie zunächst eine Delegierung erstellen, um die Autorität für diesen aws.company.com Namespace zu delegieren. Anschließend können Sie die bedingte Weiterleitung erstellen.

Die Virtual Private Cloud (VPC) für jedes Spoke-Konto kann einen eigenen eindeutigen DNS-Namespace haben, der auf dem AWS-Stammnamespace basiert. In diesem Design hängt jedes Spoke-Konto eine Abkürzung des Kontonamens an den AWS-Basisnamespace an. Nachdem die privaten gehosteten Zonen im Spoke-Konto erstellt wurden, werden die Zonen mit der VPC im Spoke-Konto sowie mit der VPC im zentralen AWS-Netzwerkkonto verknüpft. Dadurch kann das zentrale AWS-Netzwerkkonto DNS-Anfragen beantworten, die sich auf die Spoke-Konten beziehen.

Automatisierung und Skalierung

Dieses Design verwendet Route 53 Resolver-Endpunkte, um DNS-Abfragen zwischen AWS und Ihrer lokalen Umgebung zu skalieren. Jeder Route 53 Resolver-Endpunkt umfasst mehrere elastische Netzwerkschnittstellen (verteilt auf mehrere Availability Zones), und jede Netzwerkschnittstelle kann bis zu 10.000 Abfragen pro Sekunde verarbeiten. Route 53 Resolver unterstützt bis zu 6 IP-Adressen pro Endpunkt, sodass dieses Design insgesamt bis zu 60.000 DNS-Abfragen pro Sekunde unterstützt, die über mehrere Availability Zones verteilt sind, um eine hohe Verfügbarkeit zu gewährleisten.

Darüber hinaus berücksichtigt dieses Muster automatisch das future Wachstum innerhalb von AWS. Die vor Ort konfigurierten DNS-Weiterleitungsregeln müssen nicht geändert werden, um neue VPCs und die zugehörigen privaten Hosting-Zonen zu unterstützen, die zu AWS hinzugefügt werden.

Tools

AWS-Services

AWS Directory Service für Microsoft Active Directory ermöglicht Ihren verzeichnissensitiven Workloads und AWS-Ressourcen die Nutzung von Microsoft Active Directory in der AWS-Cloud.
AWS Organizations ist ein Kontoverwaltungsservice, mit dem Sie mehrere AWS-Konten in einer Organisation konsolidieren können, die Sie erstellen und zentral verwalten.
Mit AWS Resource Access Manager (AWS RAM) können Sie Ihre Ressourcen sicher für mehrere AWS-Konten gemeinsam nutzen, um den betrieblichen Aufwand zu reduzieren und für Transparenz und Überprüfbarkeit zu sorgen.
Amazon Route 53 ist ein hochverfügbarer und skalierbarer DNS-Web-Service.

Tools

AWS Command Line Interface (AWS CLI) ist ein Open-Source-Tool, mit dem Sie über Befehle in Ihrer Befehlszeilen-Shell mit AWS-Services interagieren können. In diesem Muster wird die AWS-CLI verwendet, um Route 53 53-Autorisierungen zu konfigurieren.

Epen

Aufgabe	Beschreibung	Erforderliche Fähigkeiten
Stellen Sie AWS Managed Microsoft AD bereit.	Erstellen und konfigurieren Sie ein neues Verzeichnis. Ausführliche Schritte finden Sie unter Erstellen Ihres AWS Managed Microsoft AD-Verzeichnisses im AWS Directory Service Administration Guide. Notieren Sie die IP-Adressen der AWS Managed Microsoft AD-Domänencontroller. Auf diese wird in einem späteren Schritt verwiesen.	AWS-Administrator
Teilen Sie das Verzeichnis.	Nachdem das Verzeichnis erstellt wurde, teilen Sie es mit anderen AWS-Konten in der AWS-Organisation. Anweisungen finden Sie unter Ihr Verzeichnis teilen im AWS Directory Service Administration Guide. Hinweis: Die AWS Managed Microsoft AD Standard Edition hat ein Limit von 5 Aktien. Die Enterprise Edition hat ein Limit von 125 Aktien.	AWS-Administrator

Aufgabe

Beschreibung

Erforderliche Fähigkeiten

Stellen Sie AWS Managed Microsoft AD bereit.

Erstellen und konfigurieren Sie ein neues Verzeichnis. Ausführliche Schritte finden Sie unter Erstellen Ihres AWS Managed Microsoft AD-Verzeichnisses im AWS Directory Service Administration Guide.
Notieren Sie die IP-Adressen der AWS Managed Microsoft AD-Domänencontroller. Auf diese wird in einem späteren Schritt verwiesen.

AWS-Administrator

Teilen Sie das Verzeichnis.

Nachdem das Verzeichnis erstellt wurde, teilen Sie es mit anderen AWS-Konten in der AWS-Organisation. Anweisungen finden Sie unter Ihr Verzeichnis teilen im AWS Directory Service Administration Guide.

Hinweis: Die AWS Managed Microsoft AD Standard Edition hat ein Limit von 5 Aktien. Die Enterprise Edition hat ein Limit von 125 Aktien.

AWS-Administrator

Aufgabe Beschreibung Erforderliche Fähigkeiten

Aufgabe	Beschreibung	Erforderliche Fähigkeiten
Erstellen Sie Route 53 53-Resolver.	Route 53 53-Resolver erleichtern die Auflösung von DNS-Abfragen zwischen AWS und dem lokalen Rechenzentrum. Installieren Sie Route 53 Resolver, indem Sie den Anweisungen im Route 53 Developer Guide folgen. Konfigurieren Sie Route 53 53-Resolver in privaten Subnetzen in mindestens zwei Availability Zones innerhalb der zentralen AWS-Netzwerkkonto-VPC für hohe Verfügbarkeit. Hinweis: Die Verwendung der zentralen AWS-Netzwerkkonto-VPC ist zwar nicht erforderlich, die verbleibenden Schritte gehen jedoch von dieser Konfiguration aus.	AWS-Administrator
Erstellen Sie Route 53 53-Regeln.	Ihr spezieller Anwendungsfall erfordert möglicherweise eine große Anzahl von Route 53 53-Regeln, aber Sie müssen die folgenden Regeln als Grundlage konfigurieren: Eine ausgehende Regel für den lokalen Namespace (`company.com`) mithilfe der ausgehenden Route 53 53-Resolver. Teilen Sie diese Regel mit Spoke-AWS-Konten. Ordnen Sie diese Regel Spoke-Account-VPCs zu. Eine ausgehende Regel für den AWS-Namespace (`aws.company.com`), die auf das zentrale Netzwerkkonto Route 53 Inbound Resolvers verweist. Teilen Sie diese Regel mit Spoke-AWS-Konten. Ordnen Sie die Regel den Spoke-Account-VPCs zu. Ordnen Sie diese Regel nicht der zentralen AWS-Netzwerkkonto-VPC zu (in der sich die Route 53 53-Resolver befinden). Eine zweite ausgehende Regel für den AWS-Namespace (`aws.company.com`), die auf die AWS Managed Microsoft AD-Domain-Controller verweist (verwenden Sie die IPs aus dem vorherigen Epic). Ordnen Sie diese Regel der zentralen AWS-Netzwerkkonto-VPC zu (in der sich die Route 53 53-Resolver befinden). Teilen Sie diese Regel nicht mit anderen AWS-Konten und verknüpfen Sie sie nicht mit ihnen. Weitere Informationen finden Sie unter Managing Forwarding Rules im Route 53 Developer Guide.	AWS-Administrator

Erstellen Sie Route 53 53-Resolver.

Route 53 53-Resolver erleichtern die Auflösung von DNS-Abfragen zwischen AWS und dem lokalen Rechenzentrum.

Installieren Sie Route 53 Resolver, indem Sie den Anweisungen im Route 53 Developer Guide folgen.
Konfigurieren Sie Route 53 53-Resolver in privaten Subnetzen in mindestens zwei Availability Zones innerhalb der zentralen AWS-Netzwerkkonto-VPC für hohe Verfügbarkeit.

Hinweis: Die Verwendung der zentralen AWS-Netzwerkkonto-VPC ist zwar nicht erforderlich, die verbleibenden Schritte gehen jedoch von dieser Konfiguration aus.

AWS-Administrator

Erstellen Sie Route 53 53-Regeln.

Ihr spezieller Anwendungsfall erfordert möglicherweise eine große Anzahl von Route 53 53-Regeln, aber Sie müssen die folgenden Regeln als Grundlage konfigurieren:

Eine ausgehende Regel für den lokalen Namespace (company.com) mithilfe der ausgehenden Route 53 53-Resolver.
- Teilen Sie diese Regel mit Spoke-AWS-Konten.
- Ordnen Sie diese Regel Spoke-Account-VPCs zu.
Eine ausgehende Regel für den AWS-Namespace (aws.company.com), die auf das zentrale Netzwerkkonto Route 53 Inbound Resolvers verweist.
- Teilen Sie diese Regel mit Spoke-AWS-Konten.
- Ordnen Sie die Regel den Spoke-Account-VPCs zu.
- Ordnen Sie diese Regel nicht der zentralen AWS-Netzwerkkonto-VPC zu (in der sich die Route 53 53-Resolver befinden).
Eine zweite ausgehende Regel für den AWS-Namespace (aws.company.com), die auf die AWS Managed Microsoft AD-Domain-Controller verweist (verwenden Sie die IPs aus dem vorherigen Epic).
- Ordnen Sie diese Regel der zentralen AWS-Netzwerkkonto-VPC zu (in der sich die Route 53 53-Resolver befinden).
- Teilen Sie diese Regel nicht mit anderen AWS-Konten und verknüpfen Sie sie nicht mit ihnen.

Weitere Informationen finden Sie unter Managing Forwarding Rules im Route 53 Developer Guide.

AWS-Administrator

Aufgabe	Beschreibung	Erforderliche Fähigkeiten
Erstellen Sie die Delegation.	Verwenden Sie das Microsoft DNS-Snap-In (`dnsmgmt.msc`), um eine neue Delegierung für den `company.com` Namespace in Active Directory zu erstellen. Der Name der delegierten Domäne sollte lauten. `aws` Dies ist der vollqualifizierte Domänenname (FQDN) der Delegation. `aws.company.com` Verwenden Sie für die Nameserver die IP-Adressen der eingehenden Route 53 53-Resolver von AWS im zentralen DNS-AWS-Konto für die IP-Werte und verwenden Sie sie `server.aws.company.com` für den Namen.	Active Directory
Erstellen Sie den bedingten Forwarder.	Verwenden Sie das Microsoft DNS-Snap-In (`dnsmgmt.msc`), um eine neue bedingte Weiterleitung für zu erstellen. `aws.company.com` Verwenden Sie die IP-Adressen der AWS Managed Microsoft AD-Domänencontroller für das Ziel der bedingten Weiterleitung.	Active Directory

Aufgabe Beschreibung Erforderliche Fähigkeiten

Aufgabe	Beschreibung	Erforderliche Fähigkeiten
Erstellen Sie die privaten gehosteten Zonen von Route 53	Erstellen Sie in jedem Spoke-Konto eine private gehostete Route 53 53-Zone. Ordnen Sie diese privat gehostete Zone der Spoke-Konto-VPC zu. Eine ausführliche Anleitung finden Sie unter Creating a private hosted zone im Route 53 Developer Guide.	AWS-Administrator
Autorisierungen erstellen.	Verwenden Sie die AWS-CLI, um eine Autorisierung für die zentrale AWS-Netzwerkkonto-VPC zu erstellen. Führen Sie diesen Befehl im Kontext jedes Spoke-AWS-Kontos aus: `aws route53 create-vpc-association-authorization --hosted-zone-id <hosted-zone-id> \ --vpc VPCRegion=<region>,VPCId=<vpc-id>` Wobei: `<hosted-zone-id>`ist die privat gehostete Route 53 53-Zone im Spoke-Konto. `<region>`und `<vpc-id>` sind die AWS-Region und VPC-ID des zentralen AWS-Netzwerkkontos VPC.	AWS-Administrator
Erstellen Sie Assoziationen.	Erstellen Sie mithilfe der AWS-CLI die Route 53 53-Zuordnung für die private gehostete Zone für die zentrale AWS-Netzwerkkonto-VPC. Führen Sie diesen Befehl im Kontext des zentralen AWS-Netzwerkkontos aus: `aws route53 associate-vpc-with-hosted-zone --hosted-zone-id <hosted-zone-id> \ --vpc VPCRegion=<region>,VPCId=<vpc-id>` Wobei: `<hosted-zone-id>`ist die privat gehostete Route 53 53-Zone im Spoke-Konto. `<region>`und `<vpc-id>` sind die AWS-Region und VPC-ID des zentralen AWS-Netzwerkkontos.	AWS-Administrator

Erstellen Sie die privaten gehosteten Zonen von Route 53

Erstellen Sie in jedem Spoke-Konto eine private gehostete Route 53 53-Zone. Ordnen Sie diese privat gehostete Zone der Spoke-Konto-VPC zu. Eine ausführliche Anleitung finden Sie unter Creating a private hosted zone im Route 53 Developer Guide.

AWS-Administrator

Autorisierungen erstellen.

Verwenden Sie die AWS-CLI, um eine Autorisierung für die zentrale AWS-Netzwerkkonto-VPC zu erstellen. Führen Sie diesen Befehl im Kontext jedes Spoke-AWS-Kontos aus:


aws route53 create-vpc-association-authorization --hosted-zone-id <hosted-zone-id> \
   --vpc VPCRegion=<region>,VPCId=<vpc-id>

Wobei:

<hosted-zone-id>ist die privat gehostete Route 53 53-Zone im Spoke-Konto.
<region>und <vpc-id> sind die AWS-Region und VPC-ID des zentralen AWS-Netzwerkkontos VPC.

AWS-Administrator

Erstellen Sie Assoziationen.

Erstellen Sie mithilfe der AWS-CLI die Route 53 53-Zuordnung für die private gehostete Zone für die zentrale AWS-Netzwerkkonto-VPC. Führen Sie diesen Befehl im Kontext des zentralen AWS-Netzwerkkontos aus:


aws route53 associate-vpc-with-hosted-zone --hosted-zone-id <hosted-zone-id> \
   --vpc VPCRegion=<region>,VPCId=<vpc-id>

Wobei:

<hosted-zone-id>ist die privat gehostete Route 53 53-Zone im Spoke-Konto.
<region>und <vpc-id> sind die AWS-Region und VPC-ID des zentralen AWS-Netzwerkkontos.

AWS-Administrator

Zugehörige Ressourcen

Vereinfachen Sie das DNS-Management in einer Umgebung mit mehreren Konten mit Route 53 Resolver (AWS-Blogbeitrag von Mahmoud Matouk)
Erstellen eines Verzeichnisses mit AWS Managed Microsoft AD (Dokumentation zu AWS Directory Service)
Teilen eines von AWS verwalteten Microsoft AD-Verzeichnisses (AWS Directory Service Service-Dokumentation)
Installation eines Route 53 53-Resolvers (Amazon Route 53 53-Dokumentation)
Erstellen einer privaten, gehosteten Route 53 53-Zone (Amazon Route 53 53-Dokumentation)

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Zugreifen auf einen Bastion-Host mit Session Manager und Amazon EC2 Instance Connect

Zentralisieren der Überwachung mithilfe von Observability Access Manager