Я установил службу Active Directory в AWS в 2 частных подсетях в VPC.
У меня есть еще один VPC в той же учетной записи, которую я хочу иметь для доступа к AD из. Однако по какой-то причине он просто недоступен из любого места, кроме собственного VPC.
Я установил пиринг между VPC и подтвердил, что экземпляры EC2 в VPC могут обмениваться данными.
Есть ли что-то особенное в Active Directory. что предотвращает доступ к нему извне собственного VPC? Я не вижу другой конфигурации, которую я могу сделать, чтобы исправить это. Я подтвердил, что все таблицы маршрутизации, списки контроля доступа и т. Д. Верны.
Любая помощь будет принята с благодарностью.
Я обнаружил проблему. Это было довольно неинтуитивно.
Когда создается Active Directory, AWS автоматически создает связанную группу безопасности.
SG назывался «d-9462 ##### _ контроллеры» и имел описание «AWS created» группа безопасности для контроллеров каталогов d-9462 ##### ". (d-9462 ##### - это идентификатор каталога)
Что делает это нелогичным, так это то, что этот SG не отображается нигде (насколько я могу судить) в консоли служб каталогов. Вы должны знать, что он существует, и знать, как искать его в группах безопасности VPC.
По умолчанию этот SG предоставляет доступ только к VPC, в котором находится Каталог.
Чтобы решить проблему, вам необходимо явно предоставить доступ ко всем другим VPC, которые вам нужны.
После вашего ответа я смог установить эхо-запрос к AD из экземпляра другого VPC.
Используя следующий документ AWS: Один VPC подключился к определенным подсетям в двух VPC
Однако у меня все еще есть одна проблема: я не могу проверить связь с AD, используя имя каталога
, но могу, когда использую один из IP-адресов .
Интересно, приходилось ли вам иметь дело с этим?