Come posso correggere i problemi di risoluzione DNS causati dalle regole del risolutore Route 53 nei VPC?

Risoluzione

Riassocia la regola del risolutore

Se dissoci una regola del risolutore dal VPC, il risolutore non inoltra più le query DNS ai risolutori DNS. Per correggere il problema, associa nuovamente la regola al VPC. Per correggere i problemi relativi a una regola che hai condiviso, consulta Condivisione delle regole del risolutore con altri account AWS e utilizzo di regole condivise.

Nota: puoi associare le regole del risolutore solo ai VPC del tuo account.

Correggi i problemi di risoluzione DNS

Esegui queste azioni:

• Verifica di aver attivato la risoluzione DNS e i nomi host DNS per il VPC. Per ulteriori informazioni, consulta Visualizzazione e aggiornamento degli attributi DNS per il VPC.
• Verifica di aver associato l'ID dell'Amazon VPC corretto alla zona ospitata privata.
• Verifica che stai eseguendo query sui record delle risorse all'interno dello stesso VPC. Per ulteriori informazioni, consulta Come faccio a registrare una query per Amazon Route 53?
• Verifica di aver configurato correttamente le regole di inoltro per le zone private ospitate verso il risolutore Route 53. Consulta Visualizzazione e modifica delle regole di inoltro.
• Assicurati che i namespace dei domini e sottodomini della zona ospitata privata non si sovrappongano.

Correggi i problemi relativi alle regole del risolutore

Esegui queste azioni:

• Verifica che il risolutore Route 53 corrisponda alla regola specificata durante la valutazione delle regole. Per ulteriori informazioni, consulta Valori specificati durante la creazione o la modifica delle regole.
• Controlla se ci sono regole DNS inverse definite automaticamente sul VPC ed escludile.
• Se hai attivato la risoluzione DNS e i nomi host DNS sul VPC, verifica che le zone ospitate private associate includano la zona ospitata privata in questione.
• Verifica se hai creato più regole con lo stesso dominio associato al VPC. Quando applichi più di una regola, il dominio potrebbe non funzionare.

Nota: se una regola di inoltro del risolutore e una zona ospitata privata sono in conflitto, la regola del risolutore ha la precedenza.

Correggi i problemi relativi alle regole di inoltro DNS

Quando utilizzi regole di inoltro DNS per risolvere i domini interni ospitati su server DNS in altri account, potresti ricevere l'errore "connection refused". L'errore può verificarsi anche quando le configurazioni del gruppo di sicurezza e della lista di controllo degli accessi alla rete (ACL) appaiono corrette.

Per correggere il problema, controlla le configurazioni di routing e i flussi di traffico tra l'account dell'endpoint del risolutore in uscita e l'account che ospita il server DNS.

Per gli endpoint in uscita, intraprendi le seguenti azioni:

• Verifica che la regola del risolutore abbia l'indirizzo IP corretto del server DNS on-premises.
• Assicurati che il gruppo di sicurezza degli endpoint in uscita consenta il traffico TCP e UDP in uscita verso gli indirizzi IP e le porte del server DNS.
• Verifica che le ACL consentano il traffico TCP e UDP verso gli indirizzi IP o le porte IP del server DNS e le porte effimere (1024–65535).
• Verifica che la tabella di routing della sottorete degli endpoint in uscita contenga una route per gli indirizzi IP dei server on-premises tramite la connessione VPN o AWS Direct Connect.

Per ulteriori informazioni, consulta Gestione degli endpoint in uscita.

Per testare la connettività da un'istanza Amazon Elastic Compute Cloud (Amazon EC2) situata nella stessa sottorete degli endpoint in uscita, intraprendi le seguenti azioni:

• Esegui i comandi dig o nslookup direttamente sull'indirizzo IP del risolutore DNS on-premises.
• Invia un ping a un host on-premises che consente a Internet Control Message Protocol (ICMP) di verificare la connessione.

Assicurati che il client di origine invii le query ad AmazonProvidedDNS anziché direttamente all'endpoint in uscita. AmazonProvidedDNS inoltra quindi le query tramite l'endpoint in uscita agli indirizzi IP di destinazione in base alla configurazione delle regole del risolutore. Per ulteriori informazioni, consulta Registrazione delle query DNS pubbliche.

Quando correggi i problemi relativi alle risposte DNS, utilizza dig o nslookup per eseguire query direttamente sull'indirizzo IP del server DNS on-premises. Controlla la QUESTION SECTION per verificare che il nome, la classe e il tipo di record siano corretti. Inoltre, controlla la presenza del codice di risposta NXDOMAIN, che indica record inesistente, o SERVFAIL, che indica problemi di timeout o percorso.

Verifica se il profilo del risolutore Route 53 ha la precedenza sul VPC

Quando associ un VPC a un profilo del risolutore che ha la regola predefinita ".", la regola del profilo ha la precedenza sulla regola ricorsiva predefinita del VPC. Tuttavia, lo stato di associazione delle regole del risolutore nel VPC non viene visualizzato come escluso. Per ulteriori informazioni, consulta In che modo l'endpoint del risolutore Route 53 inoltra le query DNS dai VOC alla rete.

Correggi l'errore SERVFAIL per i domini TLD come .local

Route 53 gestisce determinati domini di primo livello (TLD) (ad esempio, .local) come domini link-local. Se provi a risolvere i domini che terminano con **.local ** in un sistema di distribuzione come Ubuntu, potresti ricevere un errore SERVFAIL. Per correggere l'errore, riavvia le istanze nel VPC con un nuovo set di opzioni DHCP (Dynamic Host Configuration Protocol).

Esamina i log delle query e i log di flusso del VPC

Esamina le query DNS e verifica la presenza di errori nei log delle query del risolutore Route 53. Inoltre, esamina i log di flusso del VPC e acquisisci i pacchetti per identificare il traffico di rete bloccato o interrotto.

Informazioni correlate

Come configuro un endpoint in uscita del risolutore Route 53 per risolvere i record DNS ospitati su una rete remota dalle risorse del mio VPC?

Come posso configurare un endpoint in entrata del risolutore Route 53 per risolvere i record DNS nella mia zona ospitata privata dalla mia rete remota?