为什么会在我的 Application Migration Service 复制服务器中收到“无法通过服务进行身份验证”错误？

简短描述

启动复制服务器后，它必须能够访问以下区域 AWS 端点：

• Application Migration Service 端点
• Amazon Elastic Compute Cloud (Amazon EC2) 端点
• Amazon Simple Storage Service (Amazon S3) 端点

如果与这些端点中的任何一个通信失败，则在初始数据复制期间，您会看到错误消息“无法通过服务进行身份验证”。

有关详细信息，请参阅暂存区域子网与 AWS Application Migration Service 之间通过端口 443 进行通信。

解决方法

要开始解决此问题，请查看已终止的复制服务器的系统日志输出。使用日志数据，确定服务器无法与上述哪个端点通信。为此，请按照以下步骤进行操作：

1.打开 EC2 控制台。

2.在 EC2 控制面板上选择已终止的复制实例（Application Migration Service 复制服务器）。

3.然后选择操作、监控和故障排除、获取系统日志。

4.分析系统日志，查看尝试连接到 S3 时是否出现连接错误。

5.如果 S3 连接正常，请进一步分析日志，了解是否存在无法到达 MGN 或无法到达 EC2 错误。

6.如果终止的复制服务器不可用，请创建或使用 EC2 实例。确保实例使用与复制服务器相同的设置（虚拟私有云 (VPC)、子网、安全组）。

7.使用诸如 telnet 之类的实用程序执行网络连接测试。如果需要，您可以使用 telnet 以外的其他工具。以下是使用 telnet 进行测试的示例命令。在以下示例中，调整您的 AWS 区域的端点以确保 TCP 通信正常运行。

telnet mgn.<region>.amazonaws.com 443

telnet ec2.<region>.amazonaws.com 443

telnet s3.<region>.amazonaws.com 443

8.如果任何测试失败，请执行以下操作：

• 确保您的安全组、网络访问控制列表和路由表允许通过 TCP 端口 443 访问端点。
• **对于 Amazon EC2 或 Application Migration Service 的 VPC 接口端点：**确保附加到接口端点的安全组允许来自您的暂存区域子网的 TCP 端口 443 入站访问。
• **对于无法访问互联网的子网中的 S3 访问：**确保使用 S3 网关端点。复制服务器无法使用 S3 VPC 接口端点，因为它访问的 S3 链路未根据您的 VPC 端点接口 ID 进行调整。
• 对于子网中 DNS 解析的自定义 DHCP 选项集：确保具有自定义 DHCP 选项集的 DNS 服务器可以解析前面简短描述中列出的端点。
• **如果要通过防火墙路由流量：**确保防火墙未阻塞从复制服务器到端点的流量。
• 如果您在使用互联网网关进行互联网访问：确保在复制设置中选择了创建公共 IP。复制服务器必须具有公共 IP 地址才能与端点进行通信。