Diretório ativo do AWS: não é possível acessar de outro VPC

Question

Diretório ativo do AWS: não é possível acessar de outro VPC

#1 resposta do (2 votos)
#2 resposta do (0 votos)

1

Eu configurei um serviço do Active Directory na AWS em duas sub-redes privadas em uma VPC.

Eu tenho outro VPC na mesma conta da qual desejo acessar o AD. No entanto, por algum motivo, ele simplesmente não é acessível de qualquer lugar fora de seu próprio VPC.

Configurei peering entre as VPCs e confirmei que as instâncias do EC2 nas VPCs podem se comunicar.

Existe algo específico no Active Directory que impede que ele seja acessado de fora de seu próprio VPC? Não consigo ver nenhuma outra configuração que eu possa fazer para corrigir isso. Confirmei que as tabelas de roteamento, ACL's etc. estão corretas.

Qualquer ajuda seria muito apreciada.

amazon-vpc aws-directory-service vpc-peering

por user1751825 10.01.2017 / 09:02

2 respostas

0

Após sua resposta, consegui estabelecer um ping para o AD a partir de uma instância de outro VPC.

Usando o seguinte documento da AWS: Um VPC emparelhado com sub-redes específicas em dois VPCs

No entanto, ainda tenho um problema e não consigo fazer o ping no AD usando o directory name , mas consigo quando uso um dos endereços IP.

Eu me pergunto se você teve que lidar com isso também?

por 26.01.2017 / 13:27

Tags amazon-vpc aws-directory-service vpc-peering

Redireciona muitos domínios para diferentes localizações de outro domínio com nginx sem ter que definir muitos blocos de servidores Packer - O AWS Windows 2016 SysPrep retorna o código de saída 1

score 2 · Accepted Answer

Eu encontrei o problema. Foi bastante não intuitivo.

Quando o Active Directory é criado, a AWS cria automaticamente um grupo de segurança associado.

O SG foi chamado de "d-9462 ##### _ controllers" e tinha a descrição "AWS criou o grupo de segurança para os controladores de diretório d-9462 #####". (d-9462 ##### sendo o ID do diretório)

O que o torna contra-intuitivo é que este SG não é exibido em nenhum lugar (até onde eu sei) dentro do console dos Serviços de Diretório. Você teria que saber que ele existia e saber pesquisá-lo nos grupos de segurança da VPC.

Por padrão, o SG concede acesso somente ao VPC no qual o diretório reside.

Para corrigir o problema, você precisa conceder acesso explícito a qualquer outra VPC que precisar.