Direkt zum Inhalt
Durch die Nutzung von AWS re:Post stimmt du den AWS re:Post Nutzungsbedingungen
AWS re:Postre:Post
Über re:Post

Wie behebe ich Route 53 Resolver-Regelprobleme mit der DNS-Auflösung in VPCs?

Lesedauer: 5 Minute
0

Meine Amazon Route 53 Resolver-Regeln verursachen Probleme mit der DNS-Auflösung in Amazon Virtual Private Cloud (Amazon VPC).

Lösung

Resolver-Regel erneut zuordnen

Wenn du eine Resolver-Regel von der VPC trennst, leitet der Resolver keine DNS-Abfragen mehr an die DNS-Resolver weiter. Um dieses Problem zu beheben, ordne die Regel erneut der VPC zu. Informationen zur Behebung von Problemen mit einer Regel, die du geteilt hast, findest du unter Resolver-Regeln für andere AWS-Konten teilen und gemeinsame Regeln verwenden.

Hinweis: Du kannst Resolver-Regeln nur mit VPCs im Konto verknüpfen.

Probleme mit der DNS-Auflösung beheben

Ergreife die folgenden Maßnahmen:

Problembehandlung bei Resolver-Regeln

Ergreife die folgenden Maßnahmen:

  • Stelle sicher, dass der Route 53-Resolver der angegebenen Regel entspricht, wenn er Regeln auswertet. Weitere Informationen findest du unter Werte, die du angibst, wenn du Regeln erstellst oder bearbeitest.
  • Prüfe, ob es auf der VPC automatisch definierte Reverse-DNS-Regeln gibt und überschreibe sie.
  • Wenn du die DNS-Auflösung und die DNS-Hostnamen auf der VPC aktiviert hast, stelle sicher, dass die zugeordneten privaten gehosteten Zonen deine private gehostete Zone enthalten.
  • Prüfe, ob du mehrere Regeln mit derselben Domain erstellt hast, die du der VPC zugeordnet hast. Wenn du mehr als eine Regel anwendest, funktioniert die Domain möglicherweise nicht. 

Hinweis: Wenn eine Resolver-Weiterleitungsregel und eine private gehostete Zone im Widerspruch zu einander stehen, hat die Resolver-Regel Vorrang.

Fehlerbehebung bei DNS-Weiterleitungsregeln

Wenn du DNS-Weiterleitungsregeln verwendest, um interne Domains aufzulösen, die du auf DNS-Servern in anderen Konten hosten, erhältst du möglicherweise die Fehlermeldung „connection refused“. Der Fehler kann auch dann auftreten, wenn die Konfigurationen der Sicherheitsgruppe und der Netzwerk-Zugriffssteuerungsliste (Netzwerk-ACL) korrekt zu sein scheinen.

Um dieses Problem zu beheben, überprüfe die Routing-Konfigurationen und Datenflüsse zwischen dem Resolver-Endpunktkonto für ausgehenden Datenverkehr und dem Konto, das den DNS-Server hostet.

Führe für ausgehende Endpunkte die folgenden Aktionen aus:

  • Stelle sicher, dass die Resolver-Regel die richtige IP-Adresse des On-Premises-DNS-Servers verwendet.
  • Stelle sicher, dass die Sicherheitsgruppe der ausgehenden Endpunkte ausgehenden TCP- und UDP-Datenverkehr zu den IP-Adressen und Ports des DNS-Servers zulässt.
  • Überprüfe, ob die Netzwerk-ACLs TCP- und UDP-Datenverkehr zu den IP-Adressen oder Ports und kurzlebigen Ports des DNS-Servers zulassen (1024–65535).
  • Prüfe, ob die Subnetz-Routing-Tabelle der ausgehenden Endpunkte eine Route für die IP-Adressen der On-Premises-Server über die VPN- oder AWS Direct Connect-Verbindung enthält.

Weitere Informationen findest du unter Verwaltung ausgehender Endpunkte.

Gehe wie folgt vor, um die Konnektivität von einer Amazon Elastic Compute Cloud (Amazon EC2)-Instance zu testen, die sich im selben Subnetz wie die ausgehenden Endpunkte befindet:

  • Führe die Befehle dig oder nslookup direkt an der IP-Adresse des On-Premises-DNS-Resolvers aus.
  • Sende einen Ping an einen On-Premises-Host, der es dem Internet Control Message Protocol (ICMP) ermöglicht, die Verbindung zu überprüfen.

Stelle sicher, dass der Quellclient Abfragen an AmazonProvidedDNS und nicht direkt an den ausgehenden Endpunkt sendet. AmazonProvidedDNS leitet dann Abfragen über den ausgehenden Endpunkt an die Ziel-IP-Adressen weiter, basierend auf der Resolver-Regelkonfiguration. Weitere Informationen findest du unter Öffentliche DNS-Abfrageprotokollierung.

Wenn du Probleme mit DNS-Antworten behebst, verwende dig oder nslookup, um Abfragen direkt an die IP-Adresse des On-Premises-DNS-Servers durchzuführen. Überprüfe den ABSCHNITT „FRAGEN“, um sicherzustellen, dass Name, Klasse und Datensatztyp korrekt sind. Suche auch nach dem Antwortcode NXDOMAIN, der anzeigt, dass kein Datensatz existiert oder nach SERVFAIL, der anzeigt, dass ein Timeout oder Pfadprobleme vorliegen. 

Prüfen, ob das Route 53 Resolver-Profil die VPC überschreibt

Wenn du eine VPC einem Resolver-Profil zuordnest, das die Standardregel „.“ hat, hat die Regel des Profils Vorrang vor der rekursiven Standardregel der VPC. Der Zuordnungsstatus der Resolver-Regeln in der VPC wird jedoch nicht als überschrieben angezeigt. Weitere Informationen findest du unter So leitet der Route 53 Resolver-Endpunkt DNS-Abfragen von den VPCs an das Netzwerk weiter.

Den Fehler SERVFAIL für TLD-Domains wie “.local“ beheben

Route 53 behandelt bestimmte Top-Level-Domains (TLDs), wie .local, als Link-Local-Domains. Wenn du versuchst, Domains auf .local auf einem Verteilungssystem wie Ubuntu aufzulösen, wird möglicherweise ein SERVFAIL-Fehler angezeigt. Um dieses Problem zu beheben, starte Instances in der VPC mit einem neuen Optionssatz für das Dynamic Host Configuration Protocol (DHCP) neu.

Die Abfrageprotokolle und VPC-Flow-Protokolle überprüfen

Überprüfe die DNS-Abfragen und suche nach Fehlern in den Route 53 Resolver-Abfrageprotokollen. Überprüfe außerdem die VPC-Flow-Protokolle und erfasse Pakete, um blockierten oder unterbrochenen Netzwerkverkehr zu identifizieren.

Ähnliche Informationen

Wie konfiguriere ich einen ausgehenden Route 53 Resolver-Endpunkt, um DNS-Einträge, die in einem Remote-Netzwerk gehostet werden, von Ressourcen in meiner VPC aus aufzulösen?

Wie konfiguriere ich einen eingehenden Route 53 Resolver-Endpunkt, um DNS-Datensätze in meiner privaten gehosteten Zone von meinem Remote-Netzwerk aus aufzulösen?

Themen
Networking & Content Delivery
Tags
Amazon Route 53
Sprache
Deutsch
AWS OFFICIALAktualisiert vor 9 Monaten

Relevanter Inhalt