Come posso risolvere i problemi che causano risposte NXDOMAIN quando utilizzo Route 53 come servizio DNS?

Breve descrizione

Potresti ricevere una risposta NXDOMAIN o un errore DNS_PROBE_FINISHED_NXDOMAIN quando un risolutore DNS non riesce a trovare il nome di dominio richiesto. Ciò può essere causato dalla sospensione del dominio, dalla configurazione non corretta dei server di nomi o dall'assenza di record DNS.

Risoluzione

Verifica se il dominio è attivo o sospeso

Per verificare se il dominio è attivo o sospeso, completa i seguenti passaggi.

1. Esegui una query WHOIS sul dominio.
   Assicurati che WHOIS sia installato prima di eseguire questi comandi.
   Per Windows: apri un prompt dei comandi di Windows, quindi digita whois -v example.com.
   Per Linux: Apri il tuo client SSH. Nel prompt dei comandi, digita whois example.com.
   Se il dominio è registrato in Amazon Registrar, puoi utilizzare lo strumento di ricerca WHOIS di Amazon Registrar.
2. Controlla lo stato del dominio. Se il valore dello stato del dominio è clientHold, il dominio è sospeso.

Motivi comuni per la sospensione di un dominio:

• Dopo la registrazione del dominio non è stata verificata l'e-mail di conferma.
• Il rinnovo automatico è stato disattivato e il dominio è scaduto.
• L'indirizzo e-mail del registrante è stato modificato, ma mai verificato.

Per ulteriori informazioni, consulta Il mio dominio è sospeso (lo stato è ClientHold).

Esempio di output di WHOIS:

whois example.com
   Domain Name: EXAMPLE.COM
   Registry Domain ID: 87023946_DOMAIN_COM-VRSN
   Registrar WHOIS Server: whois.godaddy.com
   Registrar URL: http://www.godaddy.com
   Updated Date: 2020-05-08T10:05:49Z
   Creation Date: 2002-05-28T18:22:16Z
   Registry Expiry Date: 2021-05-28T18:22:16Z
   Registrar: GoDaddy.com, LLC
   Registrar IANA ID: 146
   Registrar Abuse Contact Email: abuse@godaddy.com
   Registrar Abuse Contact Phone: 480-624-2505
   Domain Status: clientDeleteProhibited https://icann.org/epp#clientDeleteProhibited
   Domain Status: clientHold https://icann.org/epp#clientHold  
   Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited
   Domain Status: clientUpdateProhibited https://icann.org/epp#clientUpdateProhibited
   Name Server: ns-1470.awsdns-55.org.
   Name Server: ns-1969.awsdns-54.co.uk.
   Name Server: ns-736.awsdns-28.net.
   Name Server: ns-316.awsdns-39.com.

Verifica che siano configurati i server di nomi corretti

Puoi visualizzare i server di nomi autorevoli utilizzando l'output di WHOIS o del comando dig +trace.

Per verificare le impostazioni delle zone ospitate in Route 53, completa i seguenti passaggi:

1. Apri la console Amazon Route 53.
2. Nel pannello di navigazione, scegli Zone ospitate.
3. Scegli la zona ospitata che desideri, quindi scegli Visualizza dettagli.
4. Espandi Dettagli della zona ospitata.
5. Confronta i server di nomi elencati con quelli dell'output di WHOIS o del comando dig +trace.

Importante: se i server di nomi sono diversi, aggiornali presso nel registro dei domini.

• Per i domini registrati in Route 53, consulta Aggiunta o modifica di server di nomi e glue record per un dominio.
• Per i domini registrati altrove, consulta la documentazione del provider.

Esempio di output del comando dig +trace:

dig +trace example.com  
; <<>> DiG 9.11.4-P2-RedHat-9.11.4-26.P2.amzn2.2 <<>> +trace example.com
;; global options: +cmd
.                       518400  IN      NS      H.ROOT-SERVERS.NET.
.                       518400  IN      NS      I.ROOT-SERVERS.NET.
.                       518400  IN      NS      J.ROOT-SERVERS.NET.
.                       518400  IN      NS      K.ROOT-SERVERS.NET.
;; Received 239 bytes from 10.0.0.2#53(10.0.0.2) in 0 ms

com.                    172800  IN      NS      a.gtld-servers.net.
com.                    172800  IN      NS      m.gtld-servers.net.
com.                    172800  IN      NS      h.gtld-servers.net.
C41A5766
com.                    86400   IN      RRSIG   DS 8 1 86400 20210329220000 20210316210000 42351 .
;; Received 1174 bytes from 192.112.36.4#53(G.ROOT-SERVERS.NET) in 104 ms

example.com.         172800  IN      NS      ns-1470.awsdns-55.org.  	------>Name servers of interest.
example.com.         172800  IN      NS      ns-1969.awsdns-54.co.uk.
example.com.         172800  IN      NS      ns-736.awsdns-28.net.
example.com.         172800  IN      NS      ns-316.awsdns-39.com.

;; Received 732 bytes from 192.33.14.30#53(b.gtld-servers.net) in 91 ms

example.com.         3600    IN      A       104.200.22.130
example.com.         3600    IN      A       104.200.23.95
example.com.         3600    IN      NS      ns-1470.awsdns-55.org.
example.com.         3600    IN      NS      ns-1969.awsdns-54.co.uk.
example.com.         3600    IN      NS      ns-736.awsdns-28.net.
example.com.         3600    IN      NS      ns-316.awsdns-39.com.

;; Received 127 bytes from 173.201.72.25#53(ns-1470.awsdns-55.org) in 90 ms

Verifica che il record richiesto esista

Nella zona ospitata, controlla se il record richiesto esiste.

Se utilizzi un CNAME, verifica che anche il dominio di destinazione (nome canonico) esista e sia risolvibile.

Ad esempio, se il record CNAME esempio.com è configurato con il valore blog.esempio.com, verifica che il record blog.esempio.com esista e sia risolvibile.

Verifica eventuali problemi correlati alla delega dei sottodomini

Per verificare eventuali problemi di delega dei sottodomini, intraprendi le seguenti azioni:

• Cerca nella zona ospitata principale i record NS per il dominio. Ad esempio, se www.esempio.com ha un record NS, è delegato.
• Se la delega è valida, aggiungi il record alla zona delegata.
• Se la delega non è valida, elimina il record NS e aggiungi il record alla zona principale.

Nota: La minimizzazione di QNAME nei risolutori DNS potrebbe causare errori NXDOMAIN con deleghe di sottodomini profonde. Per ulteriori informazioni, consulta Protezione dai record di deleghe con strascichi in Route 53.

Determina se il problema di risoluzione DNS esiste solo nel VPC

Controlla se il risolutore DNS è configurato sul sistema operativo in uso.

• Per Linux: Apri il file /etc/resolv.conf.
• Per Windows: Esegui quanto segue nel prompt dei comandi: ipconfig /all

Cerca l'indirizzo del risolutore DNS. Se il CIDR del cloud privato virtuale (VPC) è 10.0.0.0/8, il risolutore deve essere 10.0.0.2.

Se utilizzi il risolutore Amazon Virtual Private Cloud (Amazon VPC), esamina i seguenti scenari:

Scenario A: Hai sia una regola del risolutore che una zona ospitata privata

• La regola del risolutore ha la precedenza.
• La query DNS viene inoltrata all'indirizzo IP indicato nella regola del risolutore.

Per ulteriori informazioni, consulta Utilizzo di zone ospitate private.

Scenario B: Hai solo una zona ospitata privata

• I client all'interno del VPC non possono risolvere i record nell'area pubblica.
• Questa configurazione è denominata DNS con orizzonte diviso.

Scenario C: Hai solo una regola del risolutore

• La richiesta DNS viene inoltrata all'indirizzo IP configurato.
• In questo caso, i risolutori pubblici predefiniti non vengono utilizzati.

Verifica se il problema deriva da una memorizzazione nella cache negativa

Se è attiva la cache negativa, il risolutore potrebbe memorizzare nella cache una risposta NXDOMAIN.
Esempio di scenario:

• Se esegui una query su neg.esempio.com, non esiste.
• Il risolutore memorizza nella cache il risultato NXDOMAIN.
• Dopodiché crei il record, ma il risolutore restituisce comunque NXDOMAIN.

I risolutori utilizzano i seguenti valori per stabilire per quanto tempo memorizzare nella cache le risposte negative:

• Il TTL minimo del record SOA
• Il ** TTL del record SOA** (a seconda di quale dei due è inferiore)

Per verificare se è attiva la memorizzazione nella cache negativa, invia una query direttamente al server di nomi per ottenere una risposta, come nell'esempio seguente:

dig www.example.com @ns-1470.awsdns-55.org