我们在 AWS 上运行基础设施,并选择使用其托管 Active Directory(我开始认为这是一个坏主意)。首先,他们阻止了 PowerShell 远程访问。
AD 服务器运行的 VPC 内部是具有本地私有 IP 的 VPC 端点。
一旦我们将服务器加入到 Active Directory(通过更改加入服务器的 DNS 服务器以指向 AD 服务器,然后发出 PowerShell AddComputer 命令来实现),VPC 端点将不再可访问,因为 AD 服务器上的 DNS 服务器只有一个 DNS 转发器到 169.254.169.253,它指向 AWS 的公共 DNS 服务器。
为了解决这个问题,我们必须向 AD 成员服务器添加远程 DNS 管理,远程连接到每个 AD 服务器,删除 169 地址并添加本地 DNS 地址,例如 10.0.0.2 - 该地址已将查询转发到公共 DNS,因此 AWS 选择设置 169 的原因似乎是一个设计缺陷。
由于我们拥有整个基础设施即代码 (terraform),我们现在必须拆分或暂停某些部署,以便手动更改转发器。有没有办法编写一些代码来神奇地完成更改,毕竟,远程 DNS 管理工具可以做到这一点
答案1
您可能想要探索 Route53 Resolver 服务。
该服务的一些细节解释如下:
它有一定的成本,您需要为入站/出站接口付费,但允许您本地使用 Route53 并将内部 AD 区域的请求拆分并转发到您的 AD 控制器。以及提供上游互联网解决方案。
它还允许解析内部 AWS 名称:
更多详情请点击这里: