我有一个 VPC(VPC1),其中运行着我的主要实例,还有另一个 VPC(VPC2),专门用于目录服务(AD Connector)和 MS AD 服务器。我创建了一个 VPC 对等(处于活动状态),并且这些 VPC 的所有路由表都已更新,可以与其他 VPC 实例通信。但现在存在以下问题:
- 在 VPC 1 中创建并配置了域加入选项的实例已成功启动,但未加入域。我不确定是否可以找到任何日志,此实例的 IAM 角色也在启动时集成。
- 从 AD 服务器(位于 VPC2),我尝试通过其私有 IP 地址 ping 此 VPC1 服务器,但失败了。
还需要配置什么吗?根据我的理解,处于活动状态且具有路由表的 VPC 对等应该可以正确路由请求。如能得到任何帮助,我们将不胜感激
答案1
显然,在解决 AD 加入问题之前,我们需要确保 PING 正常工作,因此我只对此发表评论。
添加 Windows 防火墙规则或禁用它(也可以通过从同一子网内的另一台主机 ping 来测试)
主机是否有多个网络适配器(例如公共 IP 和私有 IP)?如果是这样,ICMP 响应流量可能会将默认网关路由到 Internet,而该网关永远不会找到其他主机的私有 IP
确保您有一个允许 ICMP 响应的网络 ACL (NACL) 规则
确保两个安全组(每个实例的私有 IP)上都有一条规则,允许 ICMP 入站和出站
从其中一个服务器,tracert(tracert)可能会告诉你路由是否错误
尝试向 Windows 添加路由来测试路由理论
使用 Wireshark 和/或 VPC 流日志确定 PING 目标是否接收数据包
如果您有多个子网和路由表,请确保您的实例的子网与您要更改的路由表相关联
检查路由表中的子网掩码和正在使用的子网组输入/输出规则(例如,使用 /24,但应为 /16,反之亦然)