AWS Active Directory: невозможно получить доступ из другого VPC

Я установил службу Active Directory в AWS в 2 частных подсетях в VPC.

У меня есть другой VPC в той же учетной записи, с которой я хочу иметь доступ к AD. Однако по какой-то причине он просто недоступен из-за пределов своего собственного VPC.

Я настроил пиринг между VPC и подтвердил, что экземпляры EC2 в VPC могут связываться.

Есть ли что-то особенное в Active Directory, которое препятствует доступу к нему через собственный VPC? Я не вижу другой конфигурации, которую могу сделать, чтобы это исправить. Я подтвердил, что таблицы маршрутизации, ACL и т. Д. Верны.

Любая помощь будет принята с благодарностью.

2 ответа

Решение

Я нашел проблему. Это было совсем не интуитивно понятно.

Когда Active Directory создается, AWS автоматически создает связанную группу безопасности.

SG назывался "контроллеры d-9462#####_" и имел описание "AWS создал группу безопасности для контроллеров каталога d-9462 #####". (d-9462##### - идентификатор каталога)

Что делает его нелогичным, так это то, что этот SG нигде не отображается (насколько я могу судить) в консоли служб каталогов. Вы должны знать, что он существует, и знать, чтобы искать его в группах безопасности VPC.

По умолчанию этот SG предоставляет доступ только к VPC, в котором находится каталог.

Чтобы решить эту проблему, вам нужно явно предоставить доступ к любым другим VPC, которые вам нужны.

После вашего ответа я смог установить эхо-запрос на AD из экземпляра другого VPC.

Использование следующего документа AWS: один VPC, подключенный к конкретным подсетям в двух VPC

Тем не менее, у меня все еще есть одна проблема, и я не могу пропинговать AD с помощью directory name но может, когда я использую один из IP-адресов.

Интересно, вам приходилось иметь с этим дело?

Другие вопросы по тегам