Почему мой условный пересылка работает?
Итак, у меня есть две среды на основе AWS, которые в значительной степени разделены, но связаны через промежуточный VPC, на котором размещен VPN-сервер, и имеет маршрутизацию в каждую из отдельных сред. Назовем эти VPC «A», «B» и «Management».
Каждый из «A» и «B» имеет Active Directory (Microsoft Directory в AWS Directory Services), а VPN настроен на использование «A» "разрешить DNS. Теперь я хочу включить "B" в область DNS, чтобы подключающимся пользователям не нужно было использовать IP-адреса для подключения к серверам "B".
Для этого я настроил маршруты в своих VPC, чтобы разрешить DC говорить друг с другом, и подтвердил на сетевом уровне, что все открыто. Затем я настроил сервер условной пересылки в «A» для пересылки запросов на «B» для его суффикса.
(Примечание: я, очевидно, отредактировал все фактические имена. Не для конфиденциальности, а во избежание путаницы, поскольку они очень похожи)
Однако, когда я пытаюсь запросить "B" с сервера "A", это не сработает. Однако, если я вручную укажу DNS «B», он будет работать. Я упустил здесь что-то важное?
Мне удалось заставить это работать, хотя это была настоящая проба.
Прежде всего, важно помнить, что контроллеры AWS Directory Services находятся в отдельной группе безопасности, которая, по по умолчанию ограничивает весь исходящий доступ, кроме других контроллеров домена. Чтобы моя ситуация работала, мне нужно было явно добавить исходящий доступ к другим контроллерам домена.
Однако, даже когда я это сделал, он все равно не работал. Мне пришлось удалить сервер пересылки и воссоздать его после исправления группы безопасности, чтобы он работал.