为什么我无法将我的 AWS EC2 实例加入 Active Directory？答案

【问题标题】：Why can't I join my AWS EC2 instance to Active Directory?为什么我无法将我的 AWS EC2 实例加入 Active Directory？
【发布时间】：2015-06-30 19:47:45
【问题描述】：

根据Amazon's documentation，我无法将 EC2 实例手动加入 Amazon Web Services 中的目录服务简单 AD。

我的实例附加了一个安全组，它只允许来自我的 IP 地址的 HTTP 和 RDP。
我正在输入 FQDN foo.bar.com。
我已验证 Simple AD 和 EC2 实例在同一个（目前是公共的）子网中。
DNS 似乎工作正常（因为我的 IP 的tracert 提供了我公司的域名）。
我不能 tracert 到 Simple AD 的 IP 地址（它甚至没有命中第一跳）
我不能tracert 上网（同上）。
arp -a 显示了 Simple AD 的 IP，因此我的实例似乎已收到来自 Simple AD 的流量。

这是我收到的错误消息：

为服务查询 DNS 时出现以下错误用于定位 Active Directory 的位置 (SRV) 资源记录域“aws.bar.com”的域控制器 (AD DC)：

错误是：“此操作返回，因为超时时间已过期。”（错误代码 0x000005B4 ERROR_TIMEOUT）

查询的是 _ldap._tcp.dc._msdcs.aws.bar.com 的 SRV 记录

此计算机用于名称解析的 DNS 服务器不是回应。此计算机配置为使用 DNS 服务器以下 IP 地址：

10.0.1.34

验证这台计算机是否已连接到网络，这些是正确的 DNS 服务器 IP 地址，以及至少一个 DNS 服务器正在运行。

【问题讨论】：

您的子网是公共子网还是私有子网？如果是公共的，您的实例是否有公共 IP？如果是私有的，实例是否可以使用 nat 访问外部世界？
适时更新。这是一个公共子网（或者至少这是我的意图 - 连接了一个互联网网关）。
安全组是否正确配置为允许 DNS 流量？
@Mircea 我的理解是不需要在安全组中指定DNS流量，因为这些实例在同一个子网中。

标签： windows amazon-web-services active-directory

【解决方案1】：

问题是当前构建的安全组规则阻止了 AD 流量。以下是关键概念：

安全组为whitelists，因此不允许任何未明确允许的流量。
安全组附加到每个 EC2 实例。将安全组成员身份想象为在组中的每个节点前面都有一个相同防火墙的副本。（相比之下，网络 ACL 附加到子网。使用网络 ACL，您不必指定允许子网内的流量，因为子网内的流量不会穿过网络 ACL。）

向您的安全组添加一条规则，允许所有流量在子网的 CIDR 块内流动，这将解决问题。

【讨论】：

最近几天我一直在研究“Windows 域控制器”。我在 AWS 中遇到的同样问题。我将安全规则更改为“所有流量”入站和出站。问题得到了解决。谢谢@Josh Kodroff :)

【解决方案2】：

标记为答案的问题不正确。

我的两个 AWS EC2 实例都在同一个 VPC、同一个子网、同一个安全组中。

我也有同样的问题。以下是我的安全组的入站规则：

这是出站规则：

我也可以从 dc 和另一台主机之间 ping 通，双向回复。

我还将 DC IP 地址设置为另一个 EC2 实例上的主要且唯一的 DNS 服务器。

AWS 有一些奇怪的魔法阻止辅助 EC2 实例加入 EC2 域控制器，除非使用我不使用的托管 AD 服务。

另一个 EC2 实例的 DC IP 地址设置为主 DNS。再加上我可以相互 ping 每个主机，我应该在加入域时遇到零问题。

【讨论】：

【解决方案3】：

我遇到了一个非常相似的问题，起初 LDAP over UDP（之前是 DNS）连接失败，即使端口测试很好，导致同样的错误（在网络跟踪中，独立服务器 EC2 实例和 DC 实例在“CLDAP 201 searchRequest(4)”“baseObject”处停止，没有返回任何内容）。进行了各种构建和重建，却发现我无意中阻止了 UDP 流量，而 AWS 需要 LDAP 和 DNS。我只允许 TCP，而我使用的“All Open”测试 SG 也只允许 TCP。

哦！！！

【讨论】：