Wie behebe und löse ich Probleme mit der CNAME-Datensatzauflösung bei privat gehosteten Zonen und kontoübergreifenden Einrichtungen in AWS Route 53?

Lösung

Konfiguriere die DNS-Abfrageprotokollierung in deiner Virtual Private Cloud (VPC) und der gehosteten Zone. Identifiziere Probleme bei der Auflösung von CNAME-Datensätzen und ergreife dann basierend auf den Problemen, die du in deinen Protokollen findest, die folgenden Maßnahmen.

Die CNAME-Ziele haben keine IPv6-Unterstützung

Wenn ein CNAME-Datensatz auf eine Ressource ohne konfigurierte IPv6-Adressen verweist, geben DNS-Abfragen für AAAA-Datensätze eine CNAME-Antwort ohne IPv6-Adresse zurück. Um dieses Problem zu beheben, wähleje nach Konfiguration eine der folgenden Lösungen aus.

Hinweis: Es hat sich bewährt, deine Änderungen in einer Umgebung zu testen, die nichts mit der Produktion zu tun hat, bevor du sie auf die Produktion anwendest.

Application Load Balancers

Aktualisiereden IP-Adresstyp deines Application Load Balancers, sodass er sowohl IPv4- als auch IPv6-Adressen verwendet.

Distributionen von Amazon CloudFront

Erstelle einen AAAA-Datensatz in einer gehosteten Zone. Füge dann die IPv6-Adressen deiner Distribution zum AAAA-Datensatz hinzu.

Die CNAME-Datensätze werden in privat gehosteten Zonen nicht aufgelöst

Wenn deine CNAME-Datensätze in einer privat gehosteten Zone nicht aufgelöst werden, gehe wie folgt vor:

• Stelle sicher, dass du den CNAME-Datensatz in deiner privat gehosteten Zone korrekt konfiguriert hast. Stelle sicher, dass der Datensatz auf den richtigen Domain-Namen oder Alias verweist und der Datensatz keine zusätzlichen Suffixe oder Präfixe enthält.
• Vergewissere dich, dass die DNS-Resolver-Einstellungen in AWS Directory Service for Microsoft Active Directory (AWS Managed Microsoft AD) Abfragen an die richtigen Route-53-Resolver-Endpunkte weiterleiten.
• Stelle sicher, dass deine VPC-Sicherheitsgruppenregeln eingehenden DNS-Verkehr von AWS Managed Microsoft AD zu den Route-53-Resolver-Endpunkten zulassen. Stelle dann sicher, dass deine Regeln ausgehenden DNS-Verkehr von den Route-53-Resolver-Endpunkten zu deinem verwalteten Active Directory zulassen.

Wenn das Problem weiterhin auftritt, erstelle eine neue privat gehostete Zone und konfiguriere die DNS-Einstellungen in deinem verwalteten AD neu. Teste die DNS-Auflösung, um sicherzustellen, dass du das Problem gelöst hast.

Der CNAME wird nicht kontenübergreifend aufgelöst

Wenn dein CNAME-Datensatz auf eine AWS-Ressource verweist und einen "NXDOMAIN"-Fehler für bestimmte AWS-Konten zurückgibt, ergreife die folgenden Maßnahmen:

• Stelle sicher, dass du die Resolver-Regel der Domain mit deinen funktionierenden und nicht funktionierenden Konten geteilt hast. Weitere Informationen findest du unter Freigabestatus und Freigaberegeln mit anderem AWS-Konto anzeigen in Freigabe von Route-53-Resolver-DNS-Firewall-Regelgruppen zwischen AWS-Konten.
• Überprüfe die privat gehosteten Zonen in den nicht funktionierenden Konten auf Domains, Sub-Domains und Root-Domains, die sich überschneiden. Beispielsweise überschneiden sich die Domain p-southeast-1.amazonaws.com, die Sub-Domain efs.ap-southeast-1.amazonaws.com und die Root-Domain amazonaws.com.
• Löse den CNAME-Wert anhand der Ziel-IP-Adressen in deiner Resolver-Regel auf und vergleiche dann das Verhalten mit dem Standard-VPC-DNS-Resolver.

Die DNS-Propagierung ist langsam oder schlägt fehl

Verzögerungen oder Fehler bei der DNS-Übertragung können auftreten, wenn du CNAME-Datensätze in Route 53 hinzufügst oder änderst. Wenn deine Nameserver "SERVFAIL"-Antworten zurückgeben, behebe Verzögerungen bei der DNS-Propagierung.

Suche nach vorhandenen Datensätzen mit demselben Namen wie dein neuer oder geänderter CNAME-Datensatz. Wenn ein Datensatz mit demselben Namen existiert, senke den TTL-Wert (Time to Live) des Datensatzes. Weitere Informationen findest du unter Arbeiten mit Datensätzen.

Verwende eines der folgenden Tools zur DNS-Problembehandlung, um die DNS-Auflösung nachzuverfolgen und ausgefallene Nameserver zu identifizieren:

• Der Befehl dig.
• DNSViz auf der DNSViz-Website.
• Das Online-DNS-Such-Tool für die Dig-Web-Oberfläche auf der Dig-Web-Schnittstellen-Website.

Wenn das Problem nur bestimmte DNS-Resolver betrifft, wende dich an deinen Domain-Registrar, um Unterstützung zu erhalten.

Der CNAME wird aufgrund der DNS-Firewall nicht aufgelöst

Wenn die Route 53 Resolver DNS Firewall-Zulassungsliste die CNAME-Werte in deiner VPC nicht enthält, können deine CNAME-Datensätze nicht aufgelöst werden. Stelle sicher, dass die DNS-Firewall-Zulassungsliste den CNAME-Datensatz enthält, auf den deine Domains verweisen. Wenn er fehlt, füge ihn der Liste hinzu.

Hinweis: Nachdem du die Regelgruppe aktualisiert hast, warte einige Minuten, bis die Änderungen übernommen werden.

Weitere Informationen findest du unter Funktionsweise der Route-53-Resolver-DNS-Firewall.

Problembehandlung und Lösung anderer DNS-bezogener Probleme

Wenn teilweise oder zeitweise DNS-Fehler auftreten, findest du weitere Informationen unter Wie funktioniert DNS und wie behebe ich teilweise oder zeitweise auftretende DNS-Fehler?

Überprüfe den Zustand deiner Route-53-Resolver-Endpunkte. Wenn deine Zustandsprüfung fehlschlägt, findest dz weitere Informationen unter Wie kann ich fehlerhafte Route-53-Zustandsprüfungen beheben? Überprüfe die Netzwerkkonnektivität zwischen dem DNS-Resolver und den Endpunkten. Stelle sicher, dass die erforderlichen Ports in deinen Sicherheitsgruppen und der Netzwerk-Zugriffssteuerungsliste (Netzwerk-ACL) geöffnet sind. Weitere Informationen findest du unterWie behebe ich Probleme bei der DNS-Auflösung mit Route 53-Resolver-Endpunkten?

Wenn sich dein Problem auf eine bestimmte Ressource oder Instance bezieht, überprüfe, ob die Netzwerkschnittstelleneinstellungen, Sicherheitsgruppenregeln und DNS-Einstellungen der Instance korrekt sind.

Ähnliche Informationen

Lösen von DNS-Abfragen zwischen VPCs und deinem Netzwerk

Überlegungen bei der Arbeit mit einer privat gehosteten Zone