我已经在 VPC 中的 2 个私有子网中在 AWS 中设置了 Active Directory 服务。
我在同一个账户中还有另一个 VPC,我希望能够从中访问 AD。但是出于某种原因,它无法从其自己的 VPC 之外的任何地方访问。
我已经在 VPC 之间设置了对等连接,并确认 VPC 中的 EC2 实例可以通信。
Active Directory 是否有某些特殊之处阻止从其自己的 VPC 外部访问它?我找不到任何其他可以解决此问题的配置。我已确认路由表、ACL 等均正确无误。
任何帮助将不胜感激。
答案1
我发现了这个问题。它非常不直观。
创建 Active Directory 时,AWS 会自动创建关联的安全组。
该 SG 名为“d-9462#####_controllers”,描述为“AWS 为 d-9462##### 目录控制器创建了安全组”。(d-9462##### 是目录的 ID)
违反直觉的是,据我所知,该 SG 未显示在目录服务控制台的任何地方。您必须知道它存在,并且知道在 VPC 安全组中搜索它。
默认情况下,此 SG 仅授予目录所在的 VPC 的访问权限。
要解决此问题,您需要明确授予对所需的其他 VPC 的访问权限。
答案2
根据您的回答,我能够从另一个 VPC 的实例建立到 AD 的 ping。
使用以下 AWS 文档: 一个 VPC 与两个 VPC 中的特定子网对等
但是,我仍然有一个问题,那就是我无法使用 ping 通 AD,directory name但是当我使用其中一个 IP 地址时可以。
我想知道您是否也必须处理这个问题?