As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Centralize a resolução de DNS usando o Microsoft AWS Managed Microsoft AD Active Directory local
*Brian Westmoreland, Amazon Web Services*
## Resumo
Esse padrão fornece orientação para centralizar a resolução de DNS em um ambiente de AWS várias contas usando AWS Directory Service for Microsoft Active Directory ()AWS Managed Microsoft AD e o Amazon Route 53. Nesse padrão, o namespace AWS DNS é um subdomínio do namespace DNS local. Esse padrão também fornece orientação sobre como configurar os servidores DNS locais para encaminhar consultas para AWS quando a solução de DNS local usa o Microsoft Active Directory.
## Pré-requisitos e limitações
**Pré-requisitos **
+ Um ambiente de AWS várias contas configurado usando AWS Organizations.
+ Conectividade de rede estabelecida entre Contas da AWS.
+ Conectividade de rede estabelecida entre AWS e o ambiente local (usando AWS Direct Connect ou qualquer tipo de conexão VPN).
+ AWS Command Line Interface (AWS CLI) configurado em uma estação de trabalho local.
+ AWS Resource Access Manager (AWS RAM) usado para compartilhar regras do Route 53 entre contas. Portanto, o compartilhamento deve ser ativado dentro do AWS Organizations ambiente, conforme descrito na seção [Epics](#centralize-dns-resolution-by-using-aws-managed-microsoft-ad-and-on-premises-microsoft-active-directory-epics).
**Limitações**
+ AWS Managed Microsoft AD A Edição Standard tem um limite de 5 compartilhamentos.
+ AWS Managed Microsoft AD A Enterprise Edition tem um limite de 125 ações.
+ A solução nesse padrão é limitada ao compartilhamento Regiões da AWS desse suporte AWS RAM.
**Versões do produto**
+ Microsoft Active Directory em execução no Windows Server 2008, 2012, 2012 R2 ou 2016.
## Arquitetura
**Arquitetura de destino**
Neste design, AWS Managed Microsoft AD é instalado nos serviços compartilhados Conta da AWS. Embora não seja obrigatório, este padrão considera essa configuração. Se você configurar de AWS Managed Microsoft AD forma diferente Conta da AWS, talvez seja necessário modificar as etapas na seção [Epics](#centralize-dns-resolution-by-using-aws-managed-microsoft-ad-and-on-premises-microsoft-active-directory-epics) adequadamente.
Esse design usa resolvedores do Route 53 para oferecer suporte à resolução de nomes por meio do uso das regras do Route 53. Se a solução de DNS on-premises usa o Microsoft DNS, criar uma regra de encaminhamento condicional para o namespace da AWS (`aws.company.com`), que é um subdomínio do namespace do DNS da empresa (`company.com`), não é simples. Se você tentar criar um encaminhador condicional tradicional, isso resultará em um erro. Isso ocorre porque o Microsoft Active Directory já é considerado autoritário para qualquer subdomínio do `company.com`. Para contornar esse erro, primeiro você deve criar uma delegação para que `aws.company.com` delegue a autoridade desse namespace. Em seguida, você pode criar o encaminhador condicional.
A nuvem privada virtual (VPC) de cada conta spoke pode ter seu próprio namespace DNS exclusivo com base no namespace raiz. AWS Nesse design, cada conta spoke acrescenta uma abreviatura do nome da conta ao namespace base da AWS. Depois que as zonas hospedadas privadas na conta spoke forem criadas, elas serão associadas à VPC local na conta spoke, bem como à VPC na conta da rede central. AWS Isso permite que a conta da AWS rede central responda às consultas de DNS relacionadas às contas spoke. Dessa forma, tanto o Route 53 quanto o Route 53 AWS Managed Microsoft AD trabalham juntos para compartilhar a responsabilidade de gerenciar o AWS namespace ()`aws.company.com`.
**Automação e escala**
Esse design usa endpoints do Route 53 Resolver para escalar consultas de DNS entre AWS e seu ambiente local. Cada endpoint do Route 53 Resolver compreende várias interfaces de rede elástica (espalhadas por várias zonas de disponibilidade), e cada interface de rede pode lidar com até 10.000 consultas por segundo. O Route 53 Resolver suporta até 6 endereços IP por endpoint, então, no total, esse design suporta até 60.000 consultas ao DNS por segundo espalhadas por várias zonas de disponibilidade para alta disponibilidade.
Além disso, este padrão considera automaticamente o crescimento futuro na AWS. As regras de encaminhamento de DNS configuradas no local não precisam ser modificadas para oferecer suporte às zonas hospedadas privadas novas VPCs e associadas que são adicionadas. AWS
## Ferramentas
**Serviços da AWS**
+ [AWS Directory Service for Microsoft Active Directory](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/directory_microsoft_ad.html)permite que suas cargas de trabalho e AWS recursos com reconhecimento de diretório usem o Microsoft Active Directory no. Nuvem AWS
+ [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)é um serviço de gerenciamento de contas que ajuda você a consolidar várias Contas da AWS em uma organização que você cria e gerencia centralmente.
+ [AWS Resource Access Manager (AWS RAM)](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html) ajuda você a compartilhar seus recursos com segurança Contas da AWS para reduzir a sobrecarga operacional e fornecer visibilidade e auditabilidade.
+ O [Amazon Route 53](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/Welcome.html) é um serviço web de DNS altamente disponível e escalável.
**Ferramentas**
+ [AWS Command Line Interface (AWS CLI)](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html) é uma ferramenta de código aberto que ajuda você a interagir Serviços da AWS por meio de comandos em seu shell de linha de comando. Nesse padrão, o AWS CLI é usado para configurar as autorizações do Route 53.
## Épicos
### Crie e compartilhe um AWS Managed Microsoft AD diretório
| Tarefa | Description | Habilidades necessárias |
| --- | --- | --- |
| Implantar AWS Managed Microsoft AD. | [See the AWS documentation website for more details](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/centralize-dns-resolution-by-using-aws-managed-microsoft-ad-and-on-premises-microsoft-active-directory.html) | Administrador da AWS |
| Compartilhar o diretório. | Depois que o diretório for criado, compartilhe-o com outras Contas da AWS pessoas na AWS organização. Para obter instruções, consulte [Compartilhar seu diretório](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/step2_share_directory.html) no *Guia de administração do AWS Directory Service *. AWS Managed Microsoft AD A Edição Standard tem um limite de 5 compartilhamentos. A Enterprise Edition tem um limite de 125 ações. | Administrador da AWS |
### Configure o Route 53
| Tarefa | Description | Habilidades necessárias |
| --- | --- | --- |
| Crie resolvedores do Route 53. | Os resolvedores do Route 53 facilitam a resolução de consultas de DNS entre AWS e o data center local. [See the AWS documentation website for more details](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/centralize-dns-resolution-by-using-aws-managed-microsoft-ad-and-on-premises-microsoft-active-directory.html)Embora o uso da conta AWS de rede central VPC não seja obrigatório, as etapas restantes pressupõem essa configuração. | Administrador da AWS |
| Crie regras do Route 53. | Seu caso de uso específico pode exigir um grande número de regras do Route 53, mas você precisará configurar as seguintes regras como linha de base:[See the AWS documentation website for more details](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/centralize-dns-resolution-by-using-aws-managed-microsoft-ad-and-on-premises-microsoft-active-directory.html)
Para obter mais informações, consulte [Gerenciar regras de encaminhamento](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-rules-managing.html) no *Guia do desenvolvedor do Route 53*. | Administrador da AWS |
| Configure um perfil do Route 53. | Um perfil do Route 53 é usado para compartilhar as regras com as contas de spoke.[See the AWS documentation website for more details](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/centralize-dns-resolution-by-using-aws-managed-microsoft-ad-and-on-premises-microsoft-active-directory.html) | Administrador da AWS |
### Configurar o DNS do Active Directory on-premises
| Tarefa | Description | Habilidades necessárias |
| --- | --- | --- |
| Crie a delegação. | Use o snap-in do Microsoft DNS (`dnsmgmt.msc`) para criar uma nova delegação para o namespace `company.com` no Active Directory. O nome do domínio delegado deve ser `aws`. Isso torna o nome de domínio totalmente qualificado (FQDN) da delegação `aws.company.com`. Use os endereços IP dos controladores de AWS Managed Microsoft AD domínio para os valores IP do servidor de nomes e use `server.aws.company.com` para o nome. (Esta delegação é apenas para redundância, pois um encaminhador condicional será criado para esse namespace, o qual terá precedência sobre a delegação.) | Active Directory |
| Crie o encaminhador condicional. | Use o snap-in do Microsoft DNS (`dnsmgmt.msc`) para criar um novo encaminhador condicional para `aws.company.com`. Use os endereços IP dos resolvedores de AWS entrada do Route 53 no DNS central Conta da AWS para o destino do encaminhador condicional. | Active Directory |
### Crie zonas hospedadas privadas do Route 53 para spoke Contas da AWS
| Tarefa | Description | Habilidades necessárias |
| --- | --- | --- |
| Crie as zonas hospedadas privadas do Route 53. | Crie uma zona hospedada privada do Route 53 em cada conta spoke. Associe essa zona hospedada privada à conta spoke VPC. Para obter etapas detalhadas, consulte [Criação de uma zona hospedada privada](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/hosted-zone-private-creating.html) no *Guia do desenvolvedor do Route 53*. | Administrador da AWS |
| Crie autorizações. | Use o AWS CLI para criar uma autorização para a conta de AWS rede central VPC. Execute este comando no contexto de cada Conta da AWS de spoke:aws route53 create-vpc-association-authorization --hosted-zone-id \
--vpc VPCRegion=,VPCId=
em que:[See the AWS documentation website for more details](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/centralize-dns-resolution-by-using-aws-managed-microsoft-ad-and-on-premises-microsoft-active-directory.html) | Administrador da AWS |
| Criar associações. | Crie a associação de zona hospedada privada do Route 53 para a conta de AWS rede central VPC usando o. AWS CLI Execute este comando a partir do contexto da conta de AWS rede central:aws route53 associate-vpc-with-hosted-zone --hosted-zone-id \
--vpc VPCRegion=,VPCId=
em que:[See the AWS documentation website for more details](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/centralize-dns-resolution-by-using-aws-managed-microsoft-ad-and-on-premises-microsoft-active-directory.html) | Administrador da AWS |
## Recursos relacionados
+ [Simplifique o gerenciamento de DNS em um ambiente de várias contas com o Route 53 Resolver](https://aws.amazon.com/blogs/security/simplify-dns-management-in-a-multiaccount-environment-with-route-53-resolver/) (AWS postagem no blog)
+ [Criando sua AWS Managed Microsoft AD](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_getting_started_create_directory.html) (AWS Directory Service documentação)
+ [Compartilhamento de um AWS Managed Microsoft AD diretório](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/step2_share_directory.html) (AWS Directory Service documentação)
+ [O que é Amazon Route 53 Resolver?](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver.html) (Documentação do Amazon Route 53)
+ [Criar uma zona hospedada privada](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/hosted-zone-private-creating.html) (documentação do Amazon Route 53)
+ [O que são perfis do Amazon Route 53?](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/profiles.html) (Documentação do Amazon Route 53)