Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Memusatkan resolusi DNS dengan menggunakan Microsoft Active AWS Managed Microsoft AD Directory dan lokal
*Brian Westmoreland, Amazon Web Services*
## Ringkasan
Pola ini memberikan panduan untuk memusatkan resolusi DNS dalam lingkungan AWS multi-akun dengan menggunakan AWS Directory Service for Microsoft Active Directory ()AWS Managed Microsoft AD dan Amazon Route 53. Dalam pola ini namespace AWS DNS adalah subdomain dari namespace DNS lokal. Pola ini juga memberikan panduan tentang cara mengonfigurasi server DNS lokal untuk meneruskan kueri AWS saat solusi DNS lokal menggunakan Microsoft Active Directory.
## Prasyarat dan batasan
**Prasyarat**
+ Lingkungan AWS multi-akun yang disiapkan dengan menggunakan AWS Organizations.
+ Konektivitas jaringan dibangun antara Akun AWS.
+ Konektivitas jaringan yang dibangun antara AWS dan lingkungan lokal (dengan menggunakan AWS Direct Connect atau jenis koneksi VPN apa pun).
+ AWS Command Line Interface (AWS CLI) dikonfigurasi pada workstation lokal.
+ AWS Resource Access Manager (AWS RAM) digunakan untuk membagikan aturan Route 53 antar akun. Oleh karena itu, berbagi harus diaktifkan di dalam AWS Organizations lingkungan, seperti yang dijelaskan di bagian [Epik](#centralize-dns-resolution-by-using-aws-managed-microsoft-ad-and-on-premises-microsoft-active-directory-epics).
**Batasan**
+ AWS Managed Microsoft AD Standard Edition memiliki batas 5 saham.
+ AWS Managed Microsoft AD Enterprise Edition memiliki batas 125 saham.
+ Solusi dalam pola ini terbatas pada berbagi dukungan Wilayah AWS itu AWS RAM.
**Versi produk**
+ Microsoft Active Directory berjalan pada Windows Server 2008, 2012, 2012 R2, atau 2016.
## Arsitektur
**Arsitektur target**
![\[Arsitektur untuk resolusi DNS terpusat di AWS.\]](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/images/pattern-img/91430e2a-f7f6-4dbe-9fe7-8abed1f764a7/images/9b5fc51d-590b-468f-80f7-1949f3b3b258.png)
Dalam desain ini, AWS Managed Microsoft AD dipasang di layanan bersama Akun AWS. Meskipun ini bukan persyaratan, pola ini mengasumsikan konfigurasi ini. Jika Anda mengonfigurasi AWS Managed Microsoft AD yang berbeda Akun AWS, Anda mungkin harus memodifikasi langkah-langkah di bagian [Epik](#centralize-dns-resolution-by-using-aws-managed-microsoft-ad-and-on-premises-microsoft-active-directory-epics) yang sesuai.
Desain ini menggunakan Resolver Route 53 untuk mendukung resolusi nama melalui penggunaan aturan Route 53. Jika solusi DNS lokal menggunakan Microsoft DNS, membuat aturan penerusan bersyarat untuk AWS namespace (), yang merupakan subdomain dari namespace DNS perusahaan `aws.company.com` (), tidaklah mudah. `company.com` Jika Anda mencoba membuat forwarder bersyarat tradisional, itu akan menghasilkan kesalahan. Ini karena Microsoft Active Directory sudah dianggap otoritatif untuk setiap subdomain. `company.com` Untuk mengatasi kesalahan ini, Anda harus terlebih dahulu membuat delegasi untuk `aws.company.com` mendelegasikan otoritas namespace itu. Anda kemudian dapat membuat forwarder bersyarat.
Virtual private cloud (VPC) untuk setiap akun spoke dapat memiliki namespace DNS uniknya sendiri berdasarkan namespace root. AWS Dalam desain ini, setiap akun spoke menambahkan singkatan dari nama akun ke namespace AWS dasar. Setelah zona host pribadi di akun spoke telah dibuat, zona dikaitkan dengan VPC lokal di akun spoke serta dengan VPC di akun jaringan pusat. AWS Ini memungkinkan akun AWS jaringan pusat untuk menjawab pertanyaan DNS yang terkait dengan akun spoke. Dengan cara ini, baik Route 53 dan AWS Managed Microsoft AD bekerja sama untuk berbagi tanggung jawab mengelola AWS namespace ()`aws.company.com`.
**Otomatisasi dan skala**
Desain ini menggunakan titik akhir Route 53 Resolver untuk menskalakan kueri DNS antara AWS dan lingkungan lokal Anda. Setiap titik akhir Route 53 Resolver terdiri dari beberapa antarmuka jaringan elastis (tersebar di beberapa Availability Zone), dan setiap antarmuka jaringan dapat menangani hingga 10.000 kueri per detik. Route 53 Resolver mendukung hingga 6 alamat IP per titik akhir, jadi secara keseluruhan desain ini mendukung hingga 60.000 kueri DNS per detik yang tersebar di beberapa Availability Zone untuk ketersediaan tinggi.
Selain itu, pola ini secara otomatis memperhitungkan pertumbuhan masa depan di dalamnya AWS. Aturan penerusan DNS yang dikonfigurasi di tempat tidak harus dimodifikasi untuk mendukung zona host pribadi baru VPCs dan terkait yang ditambahkan. AWS
## Alat
**Layanan AWS**
+ [AWS Directory Service for Microsoft Active Directory](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/directory_microsoft_ad.html)memungkinkan beban kerja dan sumber daya yang sadar direktori Anda AWS untuk menggunakan Microsoft Active Directory di file. AWS Cloud
+ [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)adalah layanan manajemen akun yang membantu Anda mengkonsolidasikan beberapa Akun AWS ke dalam organisasi yang Anda buat dan kelola secara terpusat.
+ [AWS Resource Access Manager (AWS RAM)](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html) membantu Anda berbagi sumber daya dengan aman Akun AWS untuk mengurangi overhead operasional dan memberikan visibilitas dan auditabilitas.
+ [Amazon Route 53](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/Welcome.html) adalah layanan web DNS yang sangat tersedia dan dapat diskalakan.
**Alat**
+ [AWS Command Line Interface (AWS CLI)](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html) adalah alat sumber terbuka yang membantu Anda berinteraksi Layanan AWS melalui perintah di shell baris perintah Anda. Dalam pola ini, AWS CLI digunakan untuk mengkonfigurasi otorisasi Route 53.
## Epik
### Membuat dan berbagi AWS Managed Microsoft AD direktori
| Tugas | Deskripsi | Keterampilan yang dibutuhkan |
| --- | --- | --- |
| Menyebarkan AWS Managed Microsoft AD. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/centralize-dns-resolution-by-using-aws-managed-microsoft-ad-and-on-premises-microsoft-active-directory.html) | Administrator AWS |
| Bagikan direktori. | Setelah direktori dibangun, bagikan dengan yang lain Akun AWS di AWS organisasi. Untuk petunjuk, lihat [Bagikan direktori Anda](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/step2_share_directory.html) di *Panduan AWS Directory Service Administrasi*. AWS Managed Microsoft AD Standard Edition memiliki batas 5 saham. Enterprise Edition memiliki batas 125 saham. | Administrator AWS |
### Konfigurasikan Rute 53
| Tugas | Deskripsi | Keterampilan yang dibutuhkan |
| --- | --- | --- |
| Buat Resolver Rute 53. | Resolver Route 53 memfasilitasi resolusi kueri DNS antara AWS dan pusat data lokal. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/centralize-dns-resolution-by-using-aws-managed-microsoft-ad-and-on-premises-microsoft-active-directory.html)Meskipun menggunakan VPC akun AWS jaringan pusat bukanlah persyaratan, langkah-langkah yang tersisa mengasumsikan konfigurasi ini. | Administrator AWS |
| Buat aturan Route 53. | Kasus penggunaan spesifik Anda mungkin memerlukan sejumlah besar aturan Route 53, tetapi Anda harus mengonfigurasi aturan berikut sebagai dasar:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/centralize-dns-resolution-by-using-aws-managed-microsoft-ad-and-on-premises-microsoft-active-directory.html)Untuk informasi selengkapnya, lihat [Mengelola aturan penerusan di Panduan](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-rules-managing.html) *Pengembang Route 53*. | Administrator AWS |
| Konfigurasikan Profil Route 53. | Profil Route 53 digunakan untuk membagikan aturan dengan akun spoke.[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/centralize-dns-resolution-by-using-aws-managed-microsoft-ad-and-on-premises-microsoft-active-directory.html) | Administrator AWS |
### Konfigurasikan DNS Direktori Aktif lokal
| Tugas | Deskripsi | Keterampilan yang dibutuhkan |
| --- | --- | --- |
| Buat delegasi. | Gunakan snap-in (`dnsmgmt.msc`) Microsoft DNS untuk membuat delegasi baru untuk `company.com` namespace dalam Active Directory. Nama domain yang didelegasikan harus`aws`. Ini membuat nama domain yang sepenuhnya memenuhi syarat (FQDN) dari delegasi. `aws.company.com` Gunakan alamat IP pengontrol AWS Managed Microsoft AD domain untuk nilai IP server nama, dan gunakan `server.aws.company.com` untuk nama tersebut. (Delegasi ini hanya untuk redundansi, karena forwarder bersyarat akan dibuat untuk namespace ini yang lebih diutamakan daripada delegasi.) | Active Directory |
| Buat forwarder bersyarat. | Gunakan snap-in (`dnsmgmt.msc`) Microsoft DNS untuk membuat forwarder bersyarat baru untuk. `aws.company.com` Gunakan alamat IP dari AWS Inbound Route 53 Resolvers di DNS pusat Akun AWS untuk target forwarder bersyarat. | Active Directory |
### Buat Route 53 zona host pribadi untuk spoke Akun AWS
| Tugas | Deskripsi | Keterampilan yang dibutuhkan |
| --- | --- | --- |
| Buat zona host pribadi Route 53. | Buat zona host pribadi Route 53 di setiap akun spoke. Kaitkan zona host pribadi ini dengan VPC akun spoke. Untuk langkah-langkah mendetail, lihat [Membuat zona yang dihosting pribadi](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/hosted-zone-private-creating.html) di *Panduan Pengembang Route 53*. | Administrator AWS |
| Buat otorisasi. | Gunakan AWS CLI untuk membuat otorisasi untuk akun AWS jaringan pusat VPC. Jalankan perintah ini dari konteks setiap pembicaraan Akun AWS:aws route53 create-vpc-association-authorization --hosted-zone-id \
--vpc VPCRegion=,VPCId=
di mana:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/centralize-dns-resolution-by-using-aws-managed-microsoft-ad-and-on-premises-microsoft-active-directory.html) | Administrator AWS |
| Buat asosiasi. | Buat asosiasi zona host pribadi Route 53 untuk VPC akun AWS jaringan pusat dengan menggunakan. AWS CLI Jalankan perintah ini dari konteks akun AWS jaringan pusat:aws route53 associate-vpc-with-hosted-zone --hosted-zone-id \
--vpc VPCRegion=,VPCId=
di mana:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/centralize-dns-resolution-by-using-aws-managed-microsoft-ad-and-on-premises-microsoft-active-directory.html) | Administrator AWS |
## Sumber daya terkait
+ [Sederhanakan manajemen DNS di lingkungan multi-akun dengan Route 53 Resolver](https://aws.amazon.com/blogs/security/simplify-dns-management-in-a-multiaccount-environment-with-route-53-resolver/) (posting blog)AWS
+ [Membuat AWS Managed Microsoft AD](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_getting_started_create_directory.html) (AWS Directory Service dokumentasi) Anda
+ [Berbagi AWS Managed Microsoft AD direktori](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/step2_share_directory.html) (AWS Directory Service dokumentasi)
+ [Apa itu Amazon Route 53 Resolver?](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver.html) (Dokumentasi Amazon Route 53)
+ [Membuat zona host pribadi](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/hosted-zone-private-creating.html) (dokumentasi Amazon Route 53)
+ [Apa itu Profil Amazon Route 53?](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/profiles.html) (Dokumentasi Amazon Route 53)