Windows 为什么可以';我不能将AWS EC2实例加入Active Directory吗?
根据,我无法手动将EC2实例加入亚马逊Web服务中的目录服务简单广告Windows 为什么可以';我不能将AWS EC2实例加入Active Directory吗?,windows,amazon-web-services,active-directory,Windows,Amazon Web Services,Active Directory,根据,我无法手动将EC2实例加入亚马逊Web服务中的目录服务简单广告 我有一个安全组连接到我的实例,它只允许从我的IP地址使用HTTP和RDP 我正在输入FQDNfoo.bar.com 我已经验证了简单AD和EC2实例在同一子网中(目前是公共的) DNS似乎正在工作(因为我的IP的tracert提供了我公司的域名) 我无法tracert到简单广告的IP地址(它甚至没有到达第一跳) 我无法tracert访问Internet上的任何内容(同上) arp-a显示了简单广告的IP,因此我的实例似乎收到
- 我有一个安全组连接到我的实例,它只允许从我的IP地址使用HTTP和RDP
- 我正在输入FQDN
foo.bar.com
- 我已经验证了简单AD和EC2实例在同一子网中(目前是公共的)
- DNS似乎正在工作(因为我的IP的tracert提供了我公司的域名)
- 我无法
到简单广告的IP地址(它甚至没有到达第一跳)tracert
- 我无法
访问Internet上的任何内容(同上)tracert
显示了简单广告的IP,因此我的实例似乎收到了来自简单广告的流量arp-a
问题是当前构造的安全组规则正在阻止AD流量。以下是关键概念:
向您的安全组添加一条规则,允许所有流量在子网的CIDR块内流动,这将解决问题。标记为答案的问题不正确 我的两个AWS EC2实例都位于相同的VPC、相同的子网和相同的安全组中 我也有同样的问题。以下是我的安全组的入站规则: 以下是出站规则: 我还可以在dc和另一个主机之间进行ping,双向应答 我还将DC IP地址设置为另一个EC2实例上的主DNS服务器和唯一DNS服务器 AWS有一些奇怪的魔法阻止辅助EC2实例加入EC2域控制器,除非使用我没有使用的托管AD服务
另一个EC2实例将DC IP地址设置为主DNS。再加上我可以对每个主机进行ping操作,我在加入域时应该不会有任何问题。您的子网是公用子网还是专用子网?如果是公共的,您的实例是否具有公共IP?如果是私有的,实例是否可以使用nat与外部世界联系?及时更新。它是一个公共子网(或者至少这是我的意图-连接了一个internet网关)。安全组是否正确配置为允许DNS流量?@Mircea我的理解是,不需要在安全组中指定DNS流量,因为这些实例在同一子网中。我一直在努力“Windows域控制器”最近几天。与我在AWS中遇到的问题相同。我将安全规则更改为“所有流量”入站和出站。该问题已得到解决。谢谢@Josh Kodroff:)