Итак, у меня есть две среды на основе AWS, которые в значительной степени разделены, но связаны через промежуточный VPC, на котором размещен VPN-сервер и имеет маршрутизацию в каждую из отдельных сред. Назовем эти VPC «A», «B» и «Management».
У «A» и «B» есть Active Directory (Microsoft Directory в AWS Directory Services), а VPN настроен на использование «A» для разрешения DNS. Теперь я хочу включить «B» в область DNS, чтобы подключающимся пользователям не нужно было использовать IP-адреса для подключения к серверам «B».
С этой целью я настроил маршруты в своих VPC, чтобы контроллеры домена могли общаться друг с другом, и подтвердил на сетевом уровне, что все открыто. Затем я настроил сервер условной пересылки в «A» для пересылки запросов на «B» для его суффикса.
(Примечание: я, очевидно, отредактировал все настоящие имена. Не для конфиденциальности, а во избежание путаницы, поскольку они очень похожи)
Однако когда я пытаюсь запросить «B» с сервера «A», это не работает. Однако, если я вручную укажу DNS «B», он будет работать. Я упустил здесь что-то важное?
Мне удалось заставить это работать, хотя это было настоящее испытание.
Прежде всего, важно помнить, что контроллеры AWS Directory Services находятся в отдельной группе безопасности, которая по умолчанию ограничивает весь исходящий доступ, за исключением других контроллеров домена. Чтобы моя ситуация сработала, мне нужно было явно добавить исходящий доступ к Другой контроллеры домена.
Однако даже когда я это сделал, это все еще не работало. Мне пришлось удалить сервер пересылки и воссоздать его после исправления группы безопасности, чтобы он работал.