Назад | Перейти на главную страницу

Невозможно установить двустороннее доверие между AWS AD DS и выделенным сервером AD

У меня немного уникальная ситуация, у меня есть серия серверов AWS, на всех которых установлена ​​Active Directory (DNS и множество других вещей) и которые являются контроллерами домена, я пытаюсь перенести все это на использование централизованной службы AD, AWS AD DS. Первым шагом моей миграции является создание двустороннего доверия между одним из моих серверов (в данном случае моим сервером разработки - 10.0.0.119) и этой новой службой. Я следил эти инструкции на стороне сервера (10.0.0.119) для установления двустороннего доверия выглядит примерно так:

Конечно, он не подключается, потому что мне нужно настроить его в AWS:

Вот где у меня возникают проблемы: когда я пытаюсь настроить двустороннюю связь в AWS, я не могу заставить его подключиться к моему серверу, я получаю следующее сообщение об ошибке:

Удаленный домен dev.ebm.com недоступен. Убедитесь, что настройки вашей группы безопасности верны и ваш сервер условной пересылки настроен правильно.

Я действительно не уверен, почему моя конфигурация соответствует тому, что указано на моем сервере (та же ошибка, если я установил одностороннюю аутентификацию или «Доверие леса»):

Обе мои новые конечные точки службы AD DS находятся в той же подсети и VPC, что и мой сервер:

Я могу без проблем пинговать их оба с моего сервера разработки. Я отключил все брандмауэры на сервере, и у меня нет ограничений брандмауэра в AWS в этой сети.

Не так уж много написано на эту тему. Ряд сообщений указывает на добавление IP-маршруты чтобы покрыть ваш сервер перед добавлением траста. Однако и в этой статье, и в интерфейсе AWS указано, что:

Измените таблицу маршрутизации в своем каталоге, чтобы включить маршрутизацию на общедоступные IP-адреса через ваш VPC.

Так что я считаю, что это неправильное направление.

Скорее всего, я могу запутаться в «Существующем или новом удаленном домене». Я пробовал все, что угодно, например, имя сервера и имя домена, я почти уверен, что оно должно соответствовать имени домен, но все комбинации, которые я пробовал, похоже, не работают.

Также много обсуждается условная пересылка, Я настроил это на стороне клиента. Я также не забыл включить сервер разработки в конфигурацию стороны AWS DC. Хотя, похоже, не имеет никакого эффекта.

Кто-нибудь знает, где я по этому поводу?