私の知る限り、サーバーが DNS 経由で AD ドメインを解決できない限り、サーバーを AD に参加させる方法はありません。参加するには、SRV レコードを含む複数のレコードを DNS から取得できる必要があります。したがって、単純なホスト ファイル エントリは機能しないはずです。
それを念頭に置いて、私の質問は、AD レコードをホストする DNS サーバーにアクセスせずにサーバーを AD に参加させる他の方法はないということが正しいかどうかです。
私が尋ねる理由は次のとおりです。
AWS 内に、企業ネットワーク内の AD ドメインに参加する必要があるサーバーがいくつかあります。AWS から企業ネットワークに戻る VPN トンネルがあります。このドメインは、AWS からアクセスできるパブリック DNS サーバーではアドバタイズされていません。適切なレコードを持つ社内 DNS サーバーはあります。企業側でネットワークを変更すると、VPN トンネル経由でこの DNS にアクセスできます。ただし、AWS では、委任ゾーンを持つ AWS DNS サービスを使用して AWS 内のサーバー間通信を解決し、解決できないものについては企業のパブリック DNS サーバーにアクセスします。また、AWS DNS サーバーを使用して AWS のヘルス チェックを行い、リージョンのフェイルオーバーをトリガーします。
VPN トンネルを介して AWS サーバーを社内の DNS に向けると、AWS 内で内部的に解決できなくなります。
選択肢はいくつかしかありません。
DNS を使用せずにサーバーを AD に参加させる方法を見つけてください。これは、前に述べた理由により不可能だと思います。ただし、別の方法を知っている方がいらっしゃいましたら、教えてください。
AD DNS レコードを外部 (パブリック) DNS に公開します。
クラウドと企業環境の DNS 設計全体を再設計します。このオプションには時間がかかり、長期的な解決策になるかもしれません。しかし、その間に短期的な解決策も必要です。オプション 1 と 2 は私が考えられる唯一の短期的な解決策であり、オプション 1 が私の考えのように不可能であれば、オプション 2 しか残っていません。
それで、オプション 1 は不可能であることに同意しますか、または私がまだ挙げていない他のアイデアはありますか。
前もって感謝します
答え1
コンピュータが AD ドメインに参加するには、そのドメインの内部 DNS ゾーンにアクセスする必要があります。ドメイン参加ができたとしても、コンピュータが AD DNS レコードを適切に照会できない場合は、AD 関連の何も機能しません (ログオン、GPO など)。
AWSでは、委任ゾーンを備えたAWS DNSサービスを使用してAWS内のサーバー間通信を解決し、解決できないものについては企業のパブリックDNSサーバーにアクセスします。
適切な解決策は、AWS 内のサーバーが内部 DNS サーバーを使用するようにすることです。この DNS サーバーには、AWS サーバーの名前のレコードも含まれている必要があります (ドメインに参加している場合は自動的に作成され、参加していない場合は手動で作成されます)。これにより、サーバー間で互いの名前を解決できるようになります。もちろん、内部 DNS サーバーはインターネット名も解決できる必要があるため、AWS サーバーに対してもインターネット名を解決できます。
の本物解決策としては、AWS マシンにドメイン コントローラを作成し、AWS ネットワークの Active Directory サイトを定義して、すべての AWS サーバーがその DC を DNS サーバーとして使用するようにします。この設定により、DNS クエリとドメイン ログオンは毎回 VPN を通過する必要がなくなり、VPN 接続が切断されても動作し続けます。