远程管理DNS

Question

我们在AWS上运行我们的基础设施，并选择使用他们的托管Active (我开始认为这是个坏主意)。他们一开始就阻止了PowerShell远程访问。

在AD服务器运行的VPC内部是具有本地私有IP的VPC端点。

一旦我们将服务器连接到Active Directory (方法是将连接服务器的DNS服务器更改为指向AD服务器，然后发出PowerShell AddComputer命令)，则无法再访问VPC端点，因为AD服务器上的DNS服务器只有一个DNS转发器，指向AWS的公共DNS服务器。

为了解决这个问题，我们必须将远程DNS管理添加到AD成员服务器，远程连接到每个AD服务器，删除169地址并添加本地DNS地址，例如10.0.0.2 --这已经将查询转发给公共DNS，因此AWS为什么选择设置169似乎是一个设计缺陷。

由于我们的整个基础设施都是代码(terraform)，我们现在不得不拆分或暂停一些展示，这样我们就可以手动更改转发器了。是否有一种方法可以编写一些代码来神奇地完成更改，毕竟远程dns管理工具可以实现‍♂️。

-在你说以下内容之前，我知道我可以在每个连接服务器中再添加一个dns条目，以指向本地网络默认的dns端点，但是这会导致我们试图避免的第一次查找出现延迟。我们甚至尝试在每个连接服务器上安装一个dns服务器，并且有条件转发器，但是连接服务器随后不向广告服务器注册它的修补程序。

Answer 1

您可能需要探索Route53 Resolver服务。

此服务的一些详细信息在这里解释：

解决VPC与网络之间的DNS查询

这是有代价的，您需要支付入站/出站接口的费用，但允许您本机使用Route53，并将内部AD区域的请求拆分，然后转发给AD控制器。以及提供上游互联网解决方案。

它还允许解析内部AWS名称：

Resolver为其创建自动定义规则的域名

这里有更多细节：

将入站DNS查询转发到VPCs