Windows 为什么可以'；我不能将AWS EC2实例加入Active Directory吗？

根据，我无法手动将EC2实例加入亚马逊Web服务中的目录服务简单广告

• 我有一个安全组连接到我的实例，它只允许从我的IP地址使用HTTP和RDP
• 我正在输入FQDN

  foo.bar.com

• 我已经验证了简单AD和EC2实例在同一子网中（目前是公共的）
• DNS似乎正在工作（因为我的IP的tracert提供了我公司的域名）
• 我无法

  tracert

  到简单广告的IP地址（它甚至没有到达第一跳）
• 我无法

  tracert

  访问Internet上的任何内容（同上）

• arp-a

  显示了简单广告的IP，因此我的实例似乎收到了来自简单广告的流量

这是我收到的错误消息：

为服务查询DNS时发生以下错误 用于定位Active Directory的位置（SRV）资源记录 域“aws.bar.com”的域控制器（AD DC）：

错误是：“由于超时，此操作返回 已过期。“（错误代码0x000005B4错误\u超时）

查询的是_ldap._tcp.dc._msdcs.aws.bar.com的SRV记录

此计算机用于名称解析的DNS服务器不可用 回应。此计算机已配置为使用具有 以下IP地址：

10.0.1.34

确认此计算机已连接到网络，并且 正确的DNS服务器IP地址，并且至少有一个DNS 服务器正在运行

---

问题是当前构造的安全组规则正在阻止AD流量。以下是关键概念：

安全组是不允许的，因此任何未明确允许的流量都是不允许的

安全组附加到每个EC2实例。将安全组成员身份想象为在组中的每个节点前面有一个相同防火墙的副本。（相反，网络ACL连接到子网。使用网络ACL，您不必指定允许子网内的通信，因为子网内的通信不会跨越网络ACL。）

---

向您的安全组添加一条规则，允许所有流量在子网的CIDR块内流动，这将解决问题。

标记为答案的问题不正确

我的两个AWS EC2实例都位于相同的VPC、相同的子网和相同的安全组中

我也有同样的问题。以下是我的安全组的入站规则：

以下是出站规则：

我还可以在dc和另一个主机之间进行ping，双向应答

我还将DC IP地址设置为另一个EC2实例上的主DNS服务器和唯一DNS服务器

AWS有一些奇怪的魔法阻止辅助EC2实例加入EC2域控制器，除非使用我没有使用的托管AD服务

---

另一个EC2实例将DC IP地址设置为主DNS。再加上我可以对每个主机进行ping操作，我在加入域时应该不会有任何问题。

您的子网是公用子网还是专用子网？如果是公共的，您的实例是否具有公共IP？如果是私有的，实例是否可以使用nat与外部世界联系？及时更新。它是一个公共子网（或者至少这是我的意图-连接了一个internet网关）。安全组是否正确配置为允许DNS流量？@Mircea我的理解是，不需要在安全组中指定DNS流量，因为这些实例在同一子网中。我一直在努力“Windows域控制器”最近几天。与我在AWS中遇到的问题相同。我将安全规则更改为“所有流量”入站和出站。该问题已得到解决。谢谢@Josh Kodroff:）