Вопросы Теги

Подключиться к активному каталогу через одноранговый VPC

У меня есть VPC (VPC1), где работают мои основные экземпляры, и у меня есть еще один (VPC2) специально для службы каталогов (AD Connector) и запущен сервер MS AD . Я создал пиринг VPC (который является активным), и все таблицы маршрутов этих VPC обновлены, чтобы взаимодействовать с другими экземплярами VPC. Но вот теперь проблемы:

  1. Экземпляр, созданный в VPC 1, настроенный с доменом Параметр соединения запускается успешно, но не присоединяется к домену. Я не уверен, что какие-либо журналы, которые я могу найти, роль IAM для этого экземпляра также интегрируется при запуске.
  2. С сервера AD (расположенного в VPC2) я попытался проверить связь этот сервер VPC1 по его частному IP-адресу, который выходит из строя.

Что еще мне нужно настроить? Насколько я понимаю,Пиринг VPC в активном состоянии с таблицами маршрутов должен правильно маршрутизировать запросы. Любая помощь будет принята с благодарностью

0
задан 26 February 2020 в 06:33
1 ответ

Очевидно, нам нужно убедиться, что PING работает, прежде чем устранять проблемы с присоединением к AD, поэтому я только прокомментируйте это.

  1. Добавьте правило брандмауэра Windows или отключите его (также можно проверить это, выполнив эхо-запрос с другого хоста в той же подсети)

  2. У хостов более одного сетевого адаптера, например Публичный IP и частный IP? В этом случае ответный трафик ICMP может направлять шлюз по умолчанию в Интернет, который никогда не найдет частный IP-адрес вашего другого хоста

  3. Убедитесь, что у вас есть правило сетевого ACL (NACL), разрешающее ответы ICMP

  4. Убедитесь, что вы иметь правило для обеих групп безопасности (те, которые предназначены для частного IP-адреса в каждом экземпляре), разрешающее как входящий, так и исходящий ICMP

  5. С одного из этих серверов tracert (tracert) может сообщить вам, если он маршрутизирует неправильно

  6. Попробуйте добавить маршрут к Windows для проверки теории маршрутов

  7. Используйте Wireshark и / или VPC Flow Logs, чтобы определить, получает ли пункт назначения PING когда-либо пакет.

  8. Если у вас несколько подсетей и таблиц маршрутизации, убедитесь, что подсети ваших экземпляров связаны с таблицей (ами) маршрутизации, которую вы изменяете

  9. Проверьте маски подсети в таблицах маршрутов и используемые правила входа / выхода групп подсетей (например, используя / 24, но должно быть / 16, или наоборот)

0
ответ дан 30 March 2020 в 01:32

Теги

Похожие вопросы