

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Centralizza la risoluzione DNS utilizzando AWS Managed Microsoft AD e localmente Microsoft Active Directory
<a name="centralize-dns-resolution-by-using-aws-managed-microsoft-ad-and-on-premises-microsoft-active-directory"></a>

*Brian Westmoreland, Amazon Web Services*

## Riepilogo
<a name="centralize-dns-resolution-by-using-aws-managed-microsoft-ad-and-on-premises-microsoft-active-directory-summary"></a>

Questo modello fornisce indicazioni per centralizzare la risoluzione DNS all'interno di un ambiente AWS multi-account utilizzando sia AWS Directory Service for Microsoft Active Directory () che Amazon Route AWS Managed Microsoft AD 53. In questo modello, lo spazio dei nomi AWS DNS è un sottodominio dello spazio dei nomi DNS locale. Questo modello fornisce anche indicazioni su come configurare i server DNS locali per inoltrare le query a AWS quando la soluzione DNS locale utilizza Microsoft Active Directory.  

## Prerequisiti e limitazioni
<a name="centralize-dns-resolution-by-using-aws-managed-microsoft-ad-and-on-premises-microsoft-active-directory-prereqs"></a>

**Prerequisiti**
+ Un ambiente AWS multi-account configurato utilizzando. AWS Organizations
+ Connettività di rete stabilita tra Account AWS.
+ Connettività di rete stabilita tra AWS e l'ambiente locale (utilizzando AWS Direct Connect o qualsiasi tipo di connessione VPN).
+ AWS Command Line Interface (AWS CLI) configurato su una workstation locale.
+ AWS Resource Access Manager (AWS RAM) utilizzato per condividere le regole della Route 53 tra account. Pertanto, la condivisione deve essere abilitata all'interno AWS Organizations dell'ambiente, come descritto nella sezione [Epics](#centralize-dns-resolution-by-using-aws-managed-microsoft-ad-and-on-premises-microsoft-active-directory-epics).

**Limitazioni**
+ AWS Managed Microsoft AD La Standard Edition ha un limite di 5 condivisioni.
+ AWS Managed Microsoft AD Enterprise Edition ha un limite di 125 condivisioni.
+ La soluzione in questo modello si limita alla Regioni AWS condivisione del supporto AWS RAM.

**Versioni del prodotto**
+ Microsoft Active Directory in esecuzione su Windows Server 2008, 2012, 2012 R2 o 2016.

## Architecture
<a name="centralize-dns-resolution-by-using-aws-managed-microsoft-ad-and-on-premises-microsoft-active-directory-architecture"></a>

**Architettura Target**

![\[Architettura per la risoluzione DNS centralizzata su AWS.\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/images/pattern-img/91430e2a-f7f6-4dbe-9fe7-8abed1f764a7/images/9b5fc51d-590b-468f-80f7-1949f3b3b258.png)


In questo design, AWS Managed Microsoft AD viene installato nei servizi condivisi. Account AWS Sebbene non sia un requisito, questo modello presuppone questa configurazione. Se configuri AWS Managed Microsoft AD in modo diverso Account AWS, potresti dover modificare di conseguenza i passaggi nella sezione [Epics](#centralize-dns-resolution-by-using-aws-managed-microsoft-ad-and-on-premises-microsoft-active-directory-epics).

Questo design utilizza i Resolver Route 53 per supportare la risoluzione dei nomi tramite l'uso delle regole Route 53. Se la soluzione DNS locale utilizza Microsoft DNS, la creazione di una regola di inoltro condizionale per il namespace AWS `aws.company.com` (), che è un sottodominio dello spazio dei nomi DNS dell'azienda (), non è semplice. `company.com` Se si tenta di creare un server d'inoltro condizionale tradizionale, si verificherà un errore. Questo perché Microsoft Active Directory è già considerato autorevole per qualsiasi sottodominio di. `company.com` Per aggirare questo errore, devi prima creare una `aws.company.com` delega per delegare l'autorità di quel namespace. È quindi possibile creare il server d'inoltro condizionale.

Il cloud privato virtuale (VPC) per ogni account spoke può avere il proprio spazio dei nomi DNS univoco basato sullo spazio dei nomi root. AWS In questo design, ogni account spoke aggiunge un'abbreviazione del nome dell'account allo spazio dei nomi AWS di base. Dopo aver creato le zone ospitate private nell'account spoke, le zone vengono associate al VPC locale nell'account spoke e al VPC nell'account di rete centrale. AWS Ciò consente all'account di AWS rete centrale di rispondere alle domande DNS relative agli account spoke. In questo modo, sia Route 53 che Route 53 AWS Managed Microsoft AD collaboriamo per condividere la responsabilità della gestione del AWS namespace (). `aws.company.com`

**Automazione e scalabilità**

Questo design utilizza gli endpoint Route 53 Resolver per scalare le query DNS tra AWS l'ambiente locale e l'ambiente locale. Ogni endpoint Route 53 Resolver comprende più interfacce di rete elastiche (distribuite su più zone di disponibilità) e ogni interfaccia di rete può gestire fino a 10.000 query al secondo. Route 53 Resolver supporta fino a 6 indirizzi IP per endpoint, quindi complessivamente questo design supporta fino a 60.000 query DNS al secondo distribuite su più zone di disponibilità per un'elevata disponibilità.  

Inoltre, questo modello tiene automaticamente conto delle crescite future interne AWS. Le regole di inoltro DNS configurate in locale non devono essere modificate per supportare le nuove zone ospitate private VPCs e le relative zone ospitate private associate che vengono aggiunte. AWS 

## Tools (Strumenti)
<a name="centralize-dns-resolution-by-using-aws-managed-microsoft-ad-and-on-premises-microsoft-active-directory-tools"></a>

**Servizi AWS**
+ [AWS Directory Service for Microsoft Active Directory](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/directory_microsoft_ad.html)consente ai carichi di lavoro e alle risorse compatibili con le directory di AWS utilizzare Microsoft Active Directory in. Cloud AWS
+ [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)è un servizio di gestione degli account che consente di consolidare più account Account AWS in un'organizzazione creata e gestita centralmente.
+ [AWS Resource Access Manager (AWS RAM)](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html) ti aiuta a condividere in modo sicuro le tue risorse Account AWS per ridurre il sovraccarico operativo e fornire visibilità e verificabilità.
+ [Amazon Route 53](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/Welcome.html) è un servizio Web DNS altamente scalabile e disponibile.

**Strumenti**
+ [AWS Command Line Interface (AWS CLI)](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html) è uno strumento open source che consente di interagire Servizi AWS tramite comandi nella shell della riga di comando. In questo modello, AWS CLI viene utilizzato per configurare le autorizzazioni di Route 53.

## Epiche
<a name="centralize-dns-resolution-by-using-aws-managed-microsoft-ad-and-on-premises-microsoft-active-directory-epics"></a>

### Crea e condividi una directory AWS Managed Microsoft AD
<a name="create-and-share-an-managed-ad-directory"></a>


| Operazione | Description | Competenze richieste | 
| --- | --- | --- | 
| Implementazione. AWS Managed Microsoft AD | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/centralize-dns-resolution-by-using-aws-managed-microsoft-ad-and-on-premises-microsoft-active-directory.html) | Amministratore AWS | 
| Condividi la directory. | Dopo aver creato la directory, condividila con altri Account AWS membri dell' AWS organizzazione. Per istruzioni, consulta [Condividere la directory](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/step2_share_directory.html) nella *Guida all'AWS Directory Service amministrazione*.  AWS Managed Microsoft AD La Standard Edition ha un limite di 5 condivisioni. Enterprise Edition ha un limite di 125 condivisioni. | Amministratore AWS | 

### Configura Route 53
<a name="configure-r53"></a>


| Operazione | Description | Competenze richieste | 
| --- | --- | --- | 
| Crea risolutori Route 53. | I resolver Route 53 facilitano la risoluzione delle query DNS tra e il data center locale. AWS  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/centralize-dns-resolution-by-using-aws-managed-microsoft-ad-and-on-premises-microsoft-active-directory.html)Sebbene l'utilizzo dell'account di AWS rete centrale VPC non sia un requisito, i passaggi rimanenti presuppongono questa configurazione. | Amministratore AWS | 
| Crea regole Route 53. | Il tuo caso d'uso specifico potrebbe richiedere un gran numero di regole Route 53, ma dovrai configurare le seguenti regole come base:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/centralize-dns-resolution-by-using-aws-managed-microsoft-ad-and-on-premises-microsoft-active-directory.html)Per ulteriori informazioni, consulta [Managing forwarding rules](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-rules-managing.html) nella *Route 53 Developer Guide*. | Amministratore AWS | 
| Configura un profilo Route 53. | Un profilo Route 53 viene utilizzato per condividere le regole con gli account Spoke.[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/centralize-dns-resolution-by-using-aws-managed-microsoft-ad-and-on-premises-microsoft-active-directory.html) | Amministratore AWS | 

### Configura il DNS di Active Directory locale
<a name="configure-on-premises-active-directory-dns"></a>


| Operazione | Description | Competenze richieste | 
| --- | --- | --- | 
| Crea la delega. | Utilizza lo snap-in Microsoft DNS (`dnsmgmt.msc`) per creare una nuova delega per lo spazio dei `company.com` nomi all'interno di Active Directory. Il nome del dominio delegato deve essere. `aws` Ciò costituisce il nome di dominio completo (FQDN) della delegazione. `aws.company.com` Utilizza gli indirizzi IP dei controller di AWS Managed Microsoft AD dominio per i valori IP del name server e usali `server.aws.company.com` per il nome. (Questa delega serve solo per la ridondanza, poiché per questo spazio dei nomi verrà creato un server d'inoltro condizionale che ha la precedenza sulla delega.) | Active Directory | 
| Crea lo spedizioniere condizionale. | Usa lo snap-in Microsoft DNS (`dnsmgmt.msc`) per creare un nuovo server d'inoltro condizionale per. `aws.company.com`  Utilizza gli indirizzi IP dei Resolver Route 53 AWS in ingresso nel DNS centrale per la destinazione del server d'inoltro condizionale. Account AWS    | Active Directory | 

### Crea zone private ospitate su Route 53 per spoke Account AWS
<a name="create-r53-private-hosted-zones-for-spoke-aws-accounts"></a>


| Operazione | Description | Competenze richieste | 
| --- | --- | --- | 
| Crea le zone ospitate private di Route 53. | Crea una zona ospitata privata sulla Route 53 in ogni account spoke. Associa questa zona ospitata privata al VPC dell'account spoke. Per i passaggi dettagliati, consulta [Creazione di una zona ospitata privata](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/hosted-zone-private-creating.html) nella *Route 53 Developer Guide*. | Amministratore AWS | 
| Crea autorizzazioni. | Utilizza AWS CLI per creare un'autorizzazione per l'account di AWS rete centrale VPC. Esegui questo comando dal contesto di ogni spoke Account AWS:<pre>aws route53 create-vpc-association-authorization --hosted-zone-id <hosted-zone-id> \<br />   --vpc VPCRegion=<region>,VPCId=<vpc-id></pre>dove:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/centralize-dns-resolution-by-using-aws-managed-microsoft-ad-and-on-premises-microsoft-active-directory.html) | Amministratore AWS | 
| Creare associazioni. | Crea l'associazione di zona ospitata privata Route 53 per l'account di AWS rete centrale VPC utilizzando. AWS CLI Esegui questo comando dal contesto dell'account di AWS rete centrale:<pre>aws route53 associate-vpc-with-hosted-zone --hosted-zone-id <hosted-zone-id> \<br />   --vpc VPCRegion=<region>,VPCId=<vpc-id></pre>dove:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/centralize-dns-resolution-by-using-aws-managed-microsoft-ad-and-on-premises-microsoft-active-directory.html) | Amministratore AWS | 

## Risorse correlate
<a name="centralize-dns-resolution-by-using-aws-managed-microsoft-ad-and-on-premises-microsoft-active-directory-resources"></a>
+ [Semplifica la gestione DNS in un ambiente multi-account con Route 53 Resolver](https://aws.amazon.com/blogs/security/simplify-dns-management-in-a-multiaccount-environment-with-route-53-resolver/) (post sul blog)AWS 
+ [Creando la tua](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_getting_started_create_directory.html) (documentazione) AWS Managed Microsoft ADAWS Directory Service 
+ [Condivisione di una AWS Managed Microsoft AD directory](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/step2_share_directory.html) (AWS Directory Service documentazione)
+ [Che cos'è Amazon Route 53 Resolver?](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver.html) (documentazione Amazon Route 53)
+ [Creazione di una zona ospitata privata](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/hosted-zone-private-creating.html) (documentazione Amazon Route 53)
+ [Cosa sono i profili Amazon Route 53?](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/profiles.html) (documentazione Amazon Route 53)