本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 故障診斷 AWS Client VPN:Active Directory 群組的授權規則未如預期運作 **問題** 我已為我的 Active Directory 群組設定授權規則,但它們並未如預期般運作。我新增了 `0.0.0.0/0` 的授權規則來授權所有網路的流量,但是特定目的地 CIDR 的流量仍然失敗。 **原因** 授權規則在網路 CIDR 上編製索引。授權規則必須授與 Active Directory 群組對特定網路 CIDR 的存取權。`0.0.0.0/0` 的授權規則會視為特殊情況來處理,因此不論建立授權規則的順序為何,都會最後才評估。 例如,假設您以下列順序建立五個授權規則: + 規則 1:群組 1 可存取 `10.1.0.0/16` + 規則 2:群組 1 可存取 `0.0.0.0/0` + 規則 3:群組 2 可存取 `0.0.0.0/0` + 規則 4:群組 3 可存取 `0.0.0.0/0` + 規則 5:群組 2 可存取 `172.131.0.0/16` 在此範例中,最後評估規則 2、規則 3 和規則 4。群組 1 僅具有 `10.1.0.0/16` 的存取權,而群組 2 僅具有 `172.131.0.0/16` 的存取權。群組 3 沒有 `10.1.0.0/16` 或 `172.131.0.0/16` 的存取權,但它可以存取所有其他網路。如果您移除規則 1 和 5,則所有三個群組都可以存取所有網路。 評估授權規則時,Client VPN 會使用最長字首比對。請參閱 *Amazon VPC 使用者指南*中的[路由優先順序](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Route_Tables.html#route-tables-priority)以取得更多詳細資訊。 **解決方案** 確認您是否建立明確授與 Active Directory 群組存取特定網路 CIDR 的授權規則。如果您新增 `0.0.0.0/0` 的授權規則,請記住此規則將最後評估,而前面的授權規則可能會限制其授與存取權的網路。