翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
のトラブルシューティング AWS Client VPN: Active Directory グループの認証ルールが期待どおりに機能しない
問題
Active Directory グループの承認ルールを設定しましたが、想定どおりに機能していません。すべてのネットワークのトラフィック0.0.0.0/0
を許可する の承認ルールを追加しましたが、特定の送信先 ではトラフィックが失敗しますCIDRs。
原因
承認ルールはネットワーク でインデックス化されますCIDRs。承認ルールは、Active Directory グループに特定のネットワーク へのアクセスを許可する必要がありますCIDRs。0.0.0.0/0
の承認ルールは特殊なケースとして扱われるため、承認ルールの作成順序に関係なく、最後に評価されます。
例えば、次の順序で 5 つの承認ルールを作成するとします。
-
ルール 1: グループ 1 は
10.1.0.0/16
にアクセスする -
ルール 2: グループ 1 は
0.0.0.0/0
にアクセスする -
ルール 3: グループ 2 は
0.0.0.0/0
にアクセスする -
ルール 4: グループ 3 は
0.0.0.0/0
にアクセスする -
ルール 5: グループ 2 は
172.131.0.0/16
にアクセスする
この例では、ルール 2、ルール 3、およびルール 4 が最後に評価されます。グループ 1 は 10.1.0.0/16
にのみアクセスでき、グループ 2 は 172.131.0.0/16
にのみアクセスできます。グループ 3 は 10.1.0.0/16
または 172.131.0.0/16
にアクセスできませんが、他のすべてのネットワークにアクセスできます。ルール 1 と 5 を削除すると、3 つのグループすべてがすべてのネットワークにアクセスできます。
クライアントVPNは、承認ルールを評価するときに最長のプレフィックスマッチングを使用します。詳細については、「Amazon VPCユーザーガイド」の「ルートの優先度」を参照してください。
ソリューション
特定のネットワーク へのアクセスを Active Directory グループに明示的に許可する承認ルールを作成することを確認しますCIDRs。0.0.0.0/0
の承認ルールを追加する場合、そのルールは最後に評価され、以前の承認ルールによってアクセスを許可するネットワークが制限される可能性があることに注意してください。