翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。 # トラブルシューティング AWS Client VPN: Active Directory グループの認可ルールが期待どおりに機能しない **問題** Active Directory グループの承認ルールを設定しましたが、想定どおりに機能していません。すべてのネットワークのトラフィックを承認するため `0.0.0.0/0` の承認ルールを追加しましたが、特定の送信先 CIDR のトラフィックはいまだに失敗します。 **原因** 承認ルールは、ネットワーク CIDR にインデックス化されます。承認ルールでは、特定のネットワーク CIDR へのアクセスを Active Directory グループに許可する必要があります。`0.0.0.0/0` の承認ルールは特殊なケースとして扱われるため、承認ルールの作成順序に関係なく、最後に評価されます。 例えば、次の順序で 5 つの承認ルールを作成するとします。 + ルール 1: グループ 1 は `10.1.0.0/16` にアクセスする + ルール 2: グループ 1 は `0.0.0.0/0` にアクセスする + ルール 3: グループ 2 は `0.0.0.0/0` にアクセスする + ルール 4: グループ 3 は `0.0.0.0/0` にアクセスする + ルール 5: グループ 2 は `172.131.0.0/16` にアクセスする この例では、ルール 2、ルール 3、およびルール 4 が最後に評価されます。グループ 1 は `10.1.0.0/16` にのみアクセスでき、グループ 2 は `172.131.0.0/16` にのみアクセスできます。グループ 3 は `10.1.0.0/16` または `172.131.0.0/16` にアクセスできませんが、他のすべてのネットワークにアクセスできます。ルール 1 と 5 を削除すると、3 つのグループすべてがすべてのネットワークにアクセスできます。 クライアント VPN は、承認ルールを評価するときに、最長プレフィックスマッチングを使用します。詳細については、*Amazon VPC ユーザーガイド*の「[ルーティングの優先度](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Route_Tables.html#route-tables-priority)」を参照してください。 **ソリューション** Active Directory グループに特定のネットワーク CIDR へのアクセスを明示的に許可する承認ルールを作成することを確認します。`0.0.0.0/0` の承認ルールを追加する場合、そのルールは最後に評価され、以前の承認ルールによってアクセスを許可するネットワークが制限される可能性があることに注意してください。