


 解决方法
-----



与 AWS Managed Microsoft AD 或 AD Connector 关联的安全组必须有一条规则，允许端口 UDP 1812 上的出站流量发送到与 RADIUS 服务器关联的安全组。


**注意：**如果您使用自定义 UDP 端口进行 MFA 身份验证，请按照以下规则允许自定义的 UDP 端口流量：


* 与 AWS Managed Microsoft AD 或 AD Connector 关联的安全组上的出站规则。
* 与 RADIUS 服务器关联的安全组上的入站规则。



###  验证按照 AWS Managed Microsoft AD 或 AD Connector 安全组上的出站流量规则，是否允许使用端口 UDP 1812 或用于 MFA 的自定义 UDP 端口



1. 要查找与 DNS 服务器关联的安全组，请打开 [AWS Directory Service 控制台](https://console.aws.amazon.com/directoryservicev2/)，并注意 **DNS 地址**下的 IP 地址。
2. 打开 [Amazon Elastic Compute Cloud (Amazon EC2) 控制台](https://console.aws.amazon.com/ec2)，然后选择**网络接口**。
3. 在搜索字段中，输入步骤 1 中找到的其中一个 DNS IP 地址，然后选中该接口的复选框。
4. 在**详细信息**下，选择**安全组**中列出的安全组。
5. 选择**查看出站规则**。验证是否存在相关规则，可允许用于 UDP 的 UDP 1812 端口或用于 MFA 的自定义 UDP 端口上的出站流量发送至 IP 地址空间或与 RADIUS EC2 实例关联的安全组。



###  验证目录服务的私有密钥是否与 RADIUS 服务器上配置的密钥相同





RADIUS 客户端和服务器必须使用相同的共享密码或密钥。查看 RADIUS 服务器日志，以了解更多信息。检查 Radius 日志的方法视您的配置而定。查看配置文档，了解有关访问日志的说明。





---




 相关信息
-----



[为 AWS Managed Microsoft AD 启用多重身份验证](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_mfa.html)


[为 AD Connector 启用多重身份验证](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ad_connector_mfa.html)







我已在 AWS Directory Service for Microsoft Active Directory (AWS Managed Microsoft AD) 目录或 AD Connector 上启用了多重身份验证 (MFA)。但是，MFA 发生故障。如何解决此问题？

为什么无法在我的 AWS Managed Microsoft AD 目录或 AD Connector 上启用 MFA？

安全、身份和合规性

如何在 AWS Managed Microsoft AD 和我现有的本地 AD 域之间创建信任关系？

如何在两个 AWS Managed Microsoft AD 域之间建立信任关系？

如何为 AWS Managed Microsoft AD 启用 MFA？

如何为 AD Connector 启用 MFA？

如何使用 Azure AD 凭据通过 SSH 进入 AWS EC2 实例？

使用Route53替代Microsoft AD DNS

如何使用与客户本地 AD 可信的 AWS 托管 AD 限制 RDS Postgres 的数据库用户？

AWS Microsoft Active Directory - 如何访问域控制器以定义组和用户

AWS SSO + Azure AD，无法访问AWS控制台？

为什么无法在我的 AWS Managed Microsoft AD 目录或 AD Connector 上启用 MFA？

解决方法

验证按照 AWS Managed Microsoft AD 或 AD Connector 安全组上的出站流量规则，是否允许使用端口 UDP 1812 或用于 MFA 的自定义 UDP 端口

验证目录服务的私有密钥是否与 RADIUS 服务器上配置的密钥相同

相关信息

相关内容