为什么我无法将 AWS EC2 实例加入 Active Directory？

Question

根据Amazon 的文档，我无法手动将 EC2 实例加入 Amazon Web Services 中的目录服务简单 AD 。

• 我的实例附加了一个安全组，该安全组仅允许来自我的 IP 地址的 HTTP 和 RDP。
• 我正在输入 FQDN foo.bar.com。
• 我已验证 Simple AD 和 EC2 实例位于同一（目前是公共）子网中。
• DNS 似乎正在工作（因为tracert我的 IP 给出了我公司的域名）。
• 我无法tracert访问简单 AD 的 IP 地址（它甚至没有到达第一跳）
• 我无法tracert访问互联网上的任何内容（与上面相同）。
• arp -a显示了 Simple AD 的 IP，因此看来我的实例已收到来自 Simple AD 的流量。

这是我收到的错误消息：

当 DNS 查询用于查找域“aws.bar.com”的 Active Directory 域控制器 (AD DC) 的服务位置 (SRV) 资源记录时，发生以下错误：

错误是：“此操作返回，因为超时期限已过。” （错误代码 0x000005B4 ERROR_TIMEOUT）

该查询针对 _ldap._tcp.dc._msdcs.aws.bar.com 的 SRV 记录

此计算机用于名称解析的 DNS 服务器没有响应。此计算机配置为使用具有以下 IP 地址的 DNS 服务器：

10.0.1.34

验证该计算机是否已连接到网络、这些 DNS 服务器 IP 地址是否正确，以及至少其中一台 DNS 服务器正在运行。

Answer 1

问题是当前构建的安全组规则正在阻止 AD 流量。以下是关键概念：

1. 安全组是白名单，因此不允许任何未明确允许的流量。
2. 安全组附加到每个 EC2 实例。将安全组成员身份视为在组中的每个节点前面都有一个相同的防火墙副本。（相反，网络 ACL 附加到子网。使用网络 ACL，您不必指定允许子网内的流量，因为子网内的流量不会穿过网络 ACL。）

向您的安全组添加一条规则，允许所有流量在子网的 CIDR 块内流动，这将解决问题。