Служба каталогов AWS не отвечает на запрос DNS из той же подсети

У нас следующая ситуация:

Клиент LDAP, расположенный в подсети 172.50.20.0/24, и Simple AD от AWS, находящиеся в одной подсети с IP 172.50.20.75, я опишу, что работает, а что нет:

Что работает: telnet на порту 53 или порт LDAP от клиента к AWS DS работает, и разрешение подключенного DNS от ДРУГОГО клиента, сидящего в общедоступной подсети (хост-бастион), может разрешить google.it с этого сервера ( dig @172.50.20.75 google.it) работает

Что не работает: мы не можем разрешить или связаться с AWS DS с того клиента LDAP, который находится в той же подсети. Tcpdump показал, что от сервера вообще нет ответа. Iptables был отключен, а группы безопасности изменены, чтобы разрешить все.

Похоже, что AWS DS отбрасывает эти запросы и не отвечает вообще, даже если связь работает нормально, например, telnet или nmap.

Я не знаю, где искать больше. Мы пытаемся добиться того, чтобы клиент присоединился к домену, но в текущей ситуации это невозможно.

Кто-нибудь имеет представление, почему AWS DS - Simple AD отвечает и обрабатывает запрос из другой подсети (общедоступной) в том же VPC, но не отвечает на запрос из той же подсети?

Спасибо за любой вклад,

Marek