Comment DNS fonctionne-t-il et comment puis-je résoudre les problèmes d’échec DNS partiel ou intermittent ?

Lecture de 8 minute(s)

Je souhaite résoudre les échecs DNS partiels ou intermittents.

Résolution

Présentation de DNS

DNS traduit des noms faciles à mémoriser tels que www.example.com en adresses IP numériques telles que 192.0.2.1, puis achemine l'utilisateur vers les applications Internet. Ce processus est appelé « résolution DNS ». Pour plus d’informations, consultez la section Qu’est-ce que DNS ?

Scénarios d’échec DNS partiel, temporaire ou intermittent

Dans certains cas, un client rencontre des échecs DNS pendant une courte période ou de manière intermittente. Les scénarios courants ci-dessous peuvent provoquer un échec DNS partiel :

Serveurs de noms mal configurés auprès du bureau d’enregistrement

Il arrive qu’un ou plusieurs serveurs de noms soient mal configurés auprès du bureau d’enregistrement. Une recherche whois renvoie les serveurs de noms configurés auprès du bureau d’enregistrement du domaine. Lors de la résolution DNS, si les serveurs de noms enregistrés ne répondent pas ou qu’ils fournissent des informations inattendues, le résolveur local renvoie un message SERVFAIL. Dans certains cas, les résolveurs locaux peuvent essayer la requête avec un autre serveur de noms qui n'est peut-être pas mal configuré. Dans ce cas, ils reçoivent la réponse DNS attendue.

Aussi, les résolveurs locaux peuvent mettre en cache les mauvais serveurs de noms pendant la durée TTL et peuvent envoyer la requête suivante au serveur de noms mal configuré.

Serveurs de noms modifiés dans la zone hébergée

Lorsque l’enregistrement NS d’un domaine est mal configuré dans la zone hébergée, un échec DNS partiel peut se produire. Soit les serveurs de noms existants ont été mis à jour, soit des serveurs de noms supplémentaires ont été ajoutés à la valeur de l’enregistrement NS. Si le résolveur essaie de résoudre le domaine en utilisant le mauvais serveur de noms, un échec DNS partiel peut se produire.

Le résolveur DNS du client ne parvient pas à résoudre le domaine

Parfois, des résolveurs incorrects sont définis dans le fichier de configuration du résolveur, tel que resolv.conf sous Linux. Lorsque vous résolvez le domaine à partir d’une instance Amazon Elastic Compute Cloud (Amazon EC2) dans un réseau Amazon Virtual Private Cloud (Amazon VPC), l’instance EC2 utilise les serveurs de noms définis dans resolv.conf.

Le serveur DNS fourni par Amazon limite les requêtes DNS

Les serveurs DNS fournis par Amazon appliquent une limite de 1024 paquets par seconde par interface réseau Elastic. Les serveurs DNS fournis par Amazon rejettent tout trafic dépassant cette limite. En raison de la limitation de DNS, les délais DNS expirent par intermittence. Pour résoudre ce problème, vous pouvez activer la mise en cache au niveau de l’instance ou augmenter le délai de nouvelle tentative DNS sur l’application.

L’URL du domaine est résolue à partir d’Internet, mais pas à partir de l’instance EC2

Une fois que vous avez effectué les opérations suivantes, les requêtes DNS pour votre domaine sont toujours résolues à partir de la zone hébergée :

Créez une zone hébergée privée portant le même nom que votre domaine.
Associez votre VPC à la zone hébergée privée et aux options DHCP du VPC configurées avec AmazonProvidedDNS.

Si l'enregistrement demandé pour votre domaine n'est pas présent dans la zone hébergée privée, la requête DNS échoue. De plus, votre requête DNS n'est pas transmise au domaine public. Étant donné que l’enregistrement DNS est présent dans la zone du domaine public, il est résolu à partir d’Internet.

Règle de pare-feu DNS mal configurée dans Route 53

Si l'une des conditions suivantes est vraie pour n'importe quel domaine, vérifiez si le pare-feu DNS Amazon Route 53 est configuré pour votre domaine.

Se résout sur Internet
Se résout via un résolveur public (c'est-à-dire 1.1.1.1 ou 8.8.8.8 comme adresse IP du résolveur)
Ne se résout pas à partir d'un serveur privé virtuel (VPS).

Points de terminaison du résolveur Route 53 mal configurés

Les points de terminaison sortants et la règle du résolveur de Route 53 Resolver peuvent être configurés pour envoyer une requête DNS spécifique à un serveur DNS sur site. Assurez-vous que les points de terminaison Route 53, la règle du résolveur et le serveur DNS sur site sont correctement configurés. Pour plus d’informations, consultez la section Comment puis-je résoudre les problèmes de résolution DNS liés aux points de terminaison de Route 53 Resolver ?

Résoudre des problèmes d’échec DNS sur les systèmes d’exploitation Linux

Exécutez la commande dig pour effectuer une recherche sur le serveur DNS client configuré dans le fichier /etc/resolv.confichier de l’hôte.

$ dig www.amazon.com    
; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.37.rc1.49.amzn1 <<>> www.amazon.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 13150
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;www.amazon.com.    IN    A

;; ANSWER SECTION:
www.amazon.com.        41    IN    A    54.239.17.6

;; Query time: 1 msec
;; SERVER: 10.108.0.2#53(10.108.0.2)
;; WHEN: Fri Oct 21 21:43:11 2016
;; MSG SIZE rcvd: 48

Dans l’exemple précédent, la section des réponses montre que 54.239.17.6 est l’adresse IP du serveur HTTP de www.amazon.com. Si vous ajoutez la variable +trace, la commande dig peut également effectuer une recherche récursive d'un enregistrement DNS. Voici un exemple de commande dig avec la variable +trace :

$ dig +trace www.amazon.com    
; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.37.rc1.49.amzn1 <<>> +trace www.amazon.com
;; global options: +cmd
.        518400    IN    NS    J.ROOT-SERVERS.NET.
.        518400    IN    NS    K.ROOT-SERVERS.NET.
.        518400    IN    NS    L.ROOT-SERVERS.NET.
...
;; Received 508 bytes from 10.108.0.2#53(10.108.0.2) in 31 ms

com.        172800    IN    NS    a.gtld-servers.net.
com.        172800    IN    NS    b.gtld-servers.net.
com.        172800    IN    NS    c.gtld-servers.net.
...
;; Received 492 bytes from 193.0.14.129#53(193.0.14.129) in 93 ms
amazon.com.        172800    IN    NS    pdns1.ultradns.net.
amazon.com.        172800    IN    NS    pdns6.ultradns.co.uk.
...
;; Received 289 bytes from 192.33.14.30#53(192.33.14.30) in 201 ms
www.amazon.com.    900    IN    NS    ns-1019.awsdns-63.net.
www.amazon.com.    900    IN    NS    ns-1568.awsdns-04.co.uk.
www.amazon.com.    900    IN    NS    ns-277.awsdns-34.com.
...
;; Received 170 bytes from 204.74.108.1#53(204.74.108.1) in 87 ms

www.amazon.com.    60     IN    A    54.239.26.128
www.amazon.com.    1800   IN    NS   ns-1019.awsdns-63.net.
www.amazon.com.    1800   IN    NS   ns-1178.awsdns-19.org.
...
;; Received 186 bytes from 205.251.195.251#53(205.251.195.251) in 7 ms

Vous pouvez également exécuter une requête qui renvoie uniquement les serveurs de noms.

$ dig -t NS www.amazon.com
; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.37.rc1.49.amzn1 <<>> -t NS www.amazon.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 48631
;; flags: qr rd ra; QUERY: 1, ANSWER: 4, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;www.amazon.com.        IN    NS

;; ANSWER SECTION:
www.amazon.com.        490    IN    NS    ns-1019.awsdns-63.net.
www.amazon.com.        490    IN    NS    ns-1178.awsdns-19.org.
www.amazon.com.        490    IN    NS    ns-1568.awsdns-04.co.uk.
www.amazon.com.        490    IN    NS    ns-277.awsdns-34.com.

;; Query time: 0 msec
;; SERVER: 10.108.0.2#53(10.108.0.2)
;; WHEN: Fri Oct 21 21:48:20 2016
;; MSG SIZE rcvd: 170

Dans l’exemple précédent, www.amazon.com a les quatre serveurs de noms officiels suivants :

ns-1019.awsdns-63.net.
ns-1178.awsdns-19.org.
ns-1568.awsdns-04.fr.
ns-277.awsdns-34.com.

Chacun de ces quatre serveurs peut répondre de manière officielle aux interrogations concernant le nom d’hôte www.amazon.com. Exécutez la commande dig pour cibler directement un serveur de noms spécifique. Vérifiez si chaque serveur de noms officiel pour un domaine donné répond correctement.

Voici un exemple de sortie pour une requête adressée à www.amazon.com sur l’un de ses serveurs de noms officiels (ns-1019.awsdns-63.net). La réponse du serveur montre que www.amazon.com est disponible à l’adresse 54.239.25.192 :

$ dig www.amazon.com @ns-1019.awsdns-63.net.; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.37.rc1.49.amzn1 <<>> www.amazon.com @ns-1019.awsdns-63.net.
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 31712
;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 4, ADDITIONAL: 0
;; WARNING: recursion requested but not available

;; QUESTION SECTION:
;www.amazon.com.    IN    A

;; ANSWER SECTION:
www.amazon.com.        60    IN    A    54.239.25.192

;; AUTHORITY SECTION:
www.amazon.com.        1800    IN    NS    ns-1019.awsdns-63.net.
www.amazon.com.        1800    IN    NS    ns-1178.awsdns-19.org.
www.amazon.com.        1800    IN    NS    ns-1568.awsdns-04.co.uk.
...

;; Query time: 7 msec
;; SERVER: 205.251.195.251#53(205.251.195.251)
;; WHEN: Fri Oct 21 21:50:00 2016
;; MSG SIZE rcvd: 186

La ligne suivante indique que ns-576.awsdns-08.net est un serveur de noms officiel pour amazon.com :

;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 4, ADDITIONAL: 0

La présence de l’indicateur aa montre que le serveur de noms ns-1019.awsdns-63.net a renvoyé une réponse officielle pour l’enregistrement de ressource www.amazon.com.

Résoudre des problèmes d’échec DNS sur les systèmes d’exploitation Windows

Utilisez l'utilitaire nslookup pour renvoyer l'adresse IP associée à un nom d'hôte.

C:\>nslookup www.amazon.comServer:     ip-10-20-0-2.ec2.internal
Address:    10.20.0.2

Non-authoritative answer:
Name:       www.amazon.com
Address:    54.239.25.192

Pour déterminer les serveurs de noms officiels pour un nom d’hôte à l’aide de l’utilitaire nslookup, utilisez l’indicateur -type=NS :

C:\>nslookup -type=NS www.amazon.comServer:     ip-10-20-0-2.ec2.internal
Address:    10.20.0.2

Non-authoritative answer:
www.amazon.com    nameserver = ns-277.awsdns-34.com
www.amazon.com    nameserver = ns-1019.awsdns-63.net
www.amazon.com    nameserver = ns-1178.awsdns-19.org
...

Pour vérifier si le serveur de noms ns-277.awsdns-34.com pour www.amazon.com répond correctement à une requête pour www.amazon.com, utilisez la syntaxe suivante :

C:\>nslookup www.amazon.com ns-277.awsdns-34.comServer:     UnKnown
Address:    205.251.193.21

Name:       www.amazon.com
Address:    54.239.25.200

Sujets: Networking & Content Delivery
Balises: Amazon Route 53
Langue: Français

AWS OFFICIELA mis à jour il y a 2 ans

Aucun commentaire

Contenus pertinents

Problème de vérification DNS sur Route 53 malgré propagation réussie
Herobrix
demandé il y a un an
Google Workspace - Enregistrement MX zone DNS
Senant
demandé il y a 3 ans
Adresse DNS introuvable
Tikki
demandé il y a 2 ans
zone DNS record
fatima
demandé il y a 3 ans
Propagation du DNS
Réponse acceptée
Olivier
demandé il y a 2 ans
Comment résoudre les erreurs récurrentes et intermittentes liées au DNS dans AWS Lambda ?
AWS OFFICIELA mis à jour il y a 3 ans
Comment résoudre les problèmes de propagation DNS après avoir transféré un domaine vers Route 53 ou un autre fournisseur d'hébergement DNS ?
AWS OFFICIELA mis à jour il y a 9 mois
Comment résoudre les problèmes de résolution DNS pour les enregistrements dans les zones hébergées publiques de Route 53 ?
AWS OFFICIELA mis à jour il y a 9 mois
Comment résoudre les problèmes de résolution DNS dans ma zone hébergée privée Route 53 ?
AWS OFFICIELA mis à jour il y a un an