Comment résoudre les problèmes de règle de Route 53 Resolver liés à la résolution DNS dans les VPC ?

Résolution

Réassocier votre règle de résolveur

Si vous dissociez une règle de résolveur de votre VPC, le résolveur ne transmet plus les requêtes DNS aux résolveurs DNS. Pour résoudre ce problème, réassociez la règle au VPC. Pour résoudre les problèmes liés à une règle que vous avez partagée, consultez la section Partage des règles du résolveur avec d'autres comptes AWS et utilisation de règles partagées.

Remarque : Vous ne pouvez associer les règles du résolveur qu'aux VPC de votre compte.

Résoudre les problèmes de résolution de votre DNS

Effectuez les opérations suivantes :

• Vérifiez que vous avez activé la résolution DNS et les noms d'hôte DNS pour votre VPC. Pour plus d’informations, consultez la section Afficher et mettre à jour les attributs DNS de votre VPC.
• Vérifiez que vous avez associé l’ID de VPC Amazon correct à la zone hébergée privée.
• Vérifiez que vous interrogez des enregistrements de ressource depuis le même VPC. Pour plus d'informations, consultez la section Comment enregistrer une requête pour Amazon Route 53 ?
• Vérifiez que vous avez correctement configuré les règles de transfert pour les zones hébergées privées vers Route 53 Resolver. Consultez la section Affichage et modification des règles de transfert.
• Assurez-vous que les espaces de noms des domaines et sous-domaines de votre zone hébergée privée ne se chevauchent pas.

Résoudre les problèmes liés aux règles du résolveur

Effectuez les opérations suivantes :

• Vérifiez que Route 53 Resolver correspond à la règle spécifiée lors de l'évaluation des règles. Pour plus d'informations, consultez la section Valeurs que vous spécifiez lors de la création ou de la modification de règles.
• Vérifiez s'il existe des règles DNS inverses définies automatiquement sur votre VPC et remplacez-les.
• Si vous avez activé la résolution DNS et les noms d'hôte DNS sur votre VPC, vérifiez que les zones hébergées privées associées incluent votre zone hébergée privée.
• Vérifiez si vous avez créé plusieurs règles avec le même domaine que celui que vous avez associé au VPC. Lorsque vous appliquez plusieurs règles, le domaine peut ne pas fonctionner.

Remarque : Si une règle de transfert du résolveur et la zone hébergée privée entrent en conflit, la règle du résolveur est prioritaire.

Résoudre les problèmes liés aux règles de transfert DNS

Lorsque vous utilisez des règles de transfert DNS pour résoudre des domaines internes que vous hébergez sur des serveurs DNS d'autres comptes, l'erreur « connection refused » peut s'afficher. L'erreur peut se produire même lorsque les configurations du groupe de sécurité et de la liste de contrôle d'accès au réseau (ACL réseau) semblent correctes.

Pour résoudre ce problème, vérifiez les configurations de routage et les flux de trafic entre le compte de point de terminaison de résolveur sortant et le compte qui héberge le serveur DNS.

Pour les points de terminaison sortants, procédez comme suit :

• Assurez-vous que la règle du résolveur dispose de l’adresse IP correcte pour le serveur DNS hébergé sur site.
• Assurez-vous que le groupe de sécurité des points de terminaison sortants autorise le trafic TCP et UDP sortant vers les adresses IP et les ports du serveur DNS.
• Vérifiez que les ACL réseau autorisent le trafic TCP et UDP vers les adresses IP ou les ports du serveur DNS et les ports éphémères (1024—65535).
• Vérifiez que la table de routage des sous-réseaux des points de terminaison sortants contient une route pour les adresses IP des serveurs sur site via la connexion VPN ou AWS Direct Connect.

Pour plus d'informations, consultez la section Gestion des points de terminaison sortants.

Pour tester la connectivité à partir d'une instance Amazon Elastic Compute Cloud (Amazon EC2) située dans le même sous-réseau que les points de terminaison sortants, effectuez les actions suivantes :

• Exécutez les commandes dig ou nslookup directement sur l'adresse IP du résolveur DNS sur site.
• Envoyez une requête ping à un hôte sur site qui autorise le protocole ICMP (Internet Control Message Protocol) à vérifier la connexion.

Assurez-vous que le client source envoie les requêtes à AmazonProvidedDNS plutôt que directement au point de terminaison sortant. AmazonProvidedDNS transmet ensuite les requêtes via le point de terminaison sortant aux adresses IP cibles en fonction de la configuration des règles du résolveur. Pour plus d'informations, consultez la section Journalisation des requêtes DNS publiques.

Lorsque vous résolvez des problèmes liés aux réponses DNS, utilisez dig ou nslookup pour effectuer des requêtes directement sur l'adresse IP du serveur DNS sur site. Consultez la SECTION QUESTION pour vérifier que le nom, la classe et le type d'enregistrement sont corrects. Vérifiez également le code de réponse NXDOMAIN qui indique qu'aucun enregistrement n'existe ou SERVFAIL qui indique qu'il existe des problèmes de délai d’expiration ou de chemin.

Vérifier si votre profil Route 53 Resolver remplace le VPC

Lorsque vous associez un VPC à un profil de résolveur dont la valeur par défaut est « . », la règle du profil a priorité sur la règle récursive par défaut du VPC. Toutefois, le statut d'association des règles du résolveur dans le VPC n'apparaît pas comme étant remplacé. Pour plus d'informations, consultez la section Comment le point de terminaison Route 53 Resolver transfère les requêtes DNS de vos VPC vers votre réseau.

Résoudre l'erreur SERVFAIL pour les domaines TLD tels que .local

Route 53 gère certains domaines de premier niveau (TLD), tels que .local, en tant que domaines lien-local. Si vous essayez de résoudre les domaines qui se terminent par .local sur un système de distribution tel qu'Ubuntu, vous risquez d'obtenir une erreur SERVFAIL. Pour résoudre ce problème, redémarrez les instances de votre VPC avec un nouveau jeu d'options DHCP (Dynamic Host Configuration Protocol).

Consulter les journaux de requêtes et les journaux de flux VPC

Examinez vos requêtes DNS et vérifiez qu'il n'y a pas d'erreurs dans les journaux de requêtes de Route 53 Resolver. Consultez également les journaux de flux VPC et capturez les paquets pour identifier le trafic réseau bloqué ou abandonné.

Informations connexes

Comment configurer un point de terminaison sortant Route 53 Resolver pour résoudre des enregistrements DNS hébergés sur un réseau distant à partir des ressources de mon VPC ?

Comment configurer un point de terminaison entrant Route 53 Resolver pour résoudre des enregistrements DNS dans ma zone hébergée privée à partir de mon réseau distant ?