本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 故障排除 AWS Client VPN:Active Directory 群组的授权规则未按预期运行 **问题** 我已为我的 Active Directory 组配置授权规则,但这些规则未按预期工作。我为添加了授权规则`0.0.0.0/0`来授权所有网络的流量,但是特定目的地的流量仍然会失败 CIDRs。 **原因** 授权规则已在网络 CIDRs上建立索引。授权规则必须授予 Active Directory 组访问特定网络的权限 CIDRs。针对 `0.0.0.0/0` 的授权规则将作为特殊情况处理,并在最后进行评估,无论授权规则的创建顺序如何。 例如,假设您按以下顺序创建五个授权规则: + 规则 1:组 1 有权访问 `10.1.0.0/16` + 规则 2:组 1 有权访问 `0.0.0.0/0` + 规则 3:组 2 有权访问 `0.0.0.0/0` + 规则 4:组 3 有权访问 `0.0.0.0/0` + 规则 5:组 2 有权访问 `172.131.0.0/16` 在此示例中,最后评估规则 2、规则 3 和规则 4。组 1 仅有权访问 `10.1.0.0/16`,组 2仅有权访问 `172.131.0.0/16`。组 3 无权访问 `10.1.0.0/16` 或 `172.131.0.0/16`,但它有权访问所有其他网络。如果删除规则 1 和规则 5,则所有三个组都有权访问所有网络。 在评估授权规则时,客户端 VPN 会使用最长前缀匹配。有关更多详细信息,请参阅 *Amazon VPC 用户指南*中的[路由优先级](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Route_Tables.html#route-tables-priority)。 **解决方案** 确认您创建的授权规则明确授予 Active Directory 组访问特定网络的权限 CIDRs。如果添加针对 `0.0.0.0/0` 的授权规则,请记住此规则将最后进行评估,并且以前的授权规则可能会限制其授予访问权限的网络。