AWS Managed Microsoft AD と条件付きフォワーダーのクセ

条件付きフォワーダーはクライアントからのドメイン名の問い合わせに対して、対象ドメインが含まれる場合、フォワーダー先に転送する DNS の機能です

Active Directory は認証、認可を受持ち、ドメイン内のメンバーサーバーなどの名前解解決に DNS を必要としています

冗長構成を取ることが多いでしょう
ひとりにしておいて、死なれたら大変ですから

DNS サーバーも冗長構成となるでしょう (天気予報か)
冗長構成となる場合、条件付きフォワーダーはすべての DNS サーバーに設定してやります

そんな条件付きフォワーダーは Active Directory では ドメイン内あるいはフォレスト内でレプリケートすることができるんです!
レプリケーションしてあげると、条件付きフォワーダーは Active Directory に保存され、DNS サーバーいっこいっこで設定してやらずとも、レプリケートされます

では、条件付きフォワーダーのレプリケーション設定をやって行きます!
ディレクトリ は AWS Managed Microsoft AD のディレクトリです

条件付きフォワーダーは DNS マネージャーで設定します
まんま Conditional Forwarder というのがありますね
(日本語化するのがメンド―だった…)

ココを右クリックして New Conditional Forwarder と行きます

こんなダイアログが出て来ます

DNS Domain には転送先 DNS サーバーのドメイン名を設定します
それから IP addresses of the master servers に転送先 DNS サーバーの IP アドレスを設定します
(重ねて日本語ローカライズがメンド―だった…)

Store this conditional forwarder in Active Directory, and replicate it as follows: で

フォレストでレプリケートするのか?
ドメインでレプリケートするのか?
昔の名前で出ている人でレプリケートするのか?

を選択します

AWS Managed Microsoft AD ではドメインでのレプリケートになります
このヒト シングルフォレスト シングルドメイン構成なので

しばらく待つと 2 号さんにレプリケートされます!

ところで AWS Managed Microsoft AD ではたまにメンテナンスなどでドメインコントローラーの入れ替えがあります
たまにドメインコントローラーの名前が変わってるのだ…

レプリケートしておかないとメンテナンスの後 条件付きフォワーダーが消えちゃうことがありますので気を付けてくださいね!

AWS Managed Microsoft AD では AWS CLI コマンドでも設定できます

$ aws ds create-conditional-forwarder --directory-id d-********** --remote-domain-name EC2AMAZ-******.os2019.net --dns-ip-addrs 10.0.*.**

コマンドではレプリケーション設定もされます

確認はこのコマンドで!

$ aws ds describe-conditional-forwarders --directory-id d-**********
{
  "ConditionalForwarders": [
    {
      "RemoteDomainName": "EC2AMAZ--******..os2019.net",
      "DnsIpAddrs": [
           "10.0.*.**"
      ],
      "ReplicationScope": "Domain"
    }
  ]
}