Come faccio a risolvere i problemi relativi a DNS SERVFAIL?

Risoluzione

Problema: Un name server (NS) di terze parti sta bloccando l'indirizzo IP del resolver pubblico AWS

Se un NS di terze parti blocca l'indirizzo IP del resolver pubblico, vengono visualizzate le risposte SERVFAIL quando si risolvono le domande relative al dominio pubblico. Ciò si verifica indipendentemente dal fatto che tu stia risolvendo da una o più regioni AWS. Tuttavia, la risoluzione della stessa query DNS su alcuni dei resolver DNS pubblici, come 8.8.8.8 o 1.1.1.1, restituisce la risposta NOERROR.

Per risolvere questo problema, contatta il tuo provider DNS di terze parti per creare un elenco di autorizzazioni. Aggiungi all'elenco tutti gli intervalli di indirizzi IP dei resolver pubblici AWS della regione AWS in cui osservi le risposte SERVFAIL.

Problema: È stata configurata una delega di sottodominio non corretta in una zona ospitata pubblica

Esempio

La tua zona ospitata pubblica "example.com" ha la delega del sottodominio configurata per "aws.example.com". La configurazione della delega del sottodominio specifica i name server non raggiungibili o errati che non sono autorevoli per il sottodominio.

Zona ospitata pubblica principale per il dominio "example.com"

example.com	NS	ns1.example.com, ns2.example.com, ns3.example.com, ns4.example.com
aws.example.com	NS	dummy-ns1.com, dummy-ns2.net, dummy-ns3.co.uk, dummy-ns4.org,

Zona ospitata dal sottodominio per il dominio "aws.example.com"

aws.example.com	NS	ns1-xxx.awsdns-xx.com, ns2-xxx.awsdns-xx.co.uk, ns3-xxx.awsdns-xx.net, ns4-xxx.awsdns-xx.org
aws.example.com	UN	1.2.3.4

Per risolvere l'errore precedente, configura i record del name server all'interno della zona ospitata principale in modo che corrispondano ai name server nella zona ospitata del sottodominio. Se utilizzi dei name server personalizzati, verifica che i name server siano raggiungibili.

Problema: I name server non corretti sono elencati nel registrar di domini

Quando i name server non corretti vengono elencati nel registrar di domini, le cause di ricezione delle risposte SERVFAIL sono due:

• I name server configurati presso il registrar di domini non corrispondono ai name server forniti nella tua zona ospitata pubblica.
• I name server configurati presso il registrar esistono ma non sono autorevoli per il dominio specificato.

Se i name server non esistono, i resolver scadono dopo l'avvio di query iterative. Questi timeout causano una latenza significativa nel tempo delle query. Poiché i name server non sono in grado di fornire una risposta, il resolver restituisce la risposta SERVFAIL.

Zona ospitata pubblica del dominio

example.com	NS	ns1.example.com, ns2.example.com, ns3.example.com, ns4.example.com

I name server sono configurati presso il registrar di domini, come illustrato nell'esempio seguente:

whois example.com | grep "Name Server"
Name Server: ns1.test.com  
Name Server: ns2.test.com
Name Server: ns3.test.com  
Name Server: ns4.test.com

Per risolvere questo errore, esegui una delle seguenti azioni:

• **Il name server white label non è implementato:**Sostituisci il name server del registrar con i name server assegnati alla tua zona ospitata pubblica.
• **Il name server white label è implementato:**Assicurati che i name server del registrar siano identici ai tuoi record glue e ai record A per i name server con white-label nella zona ospitata pubblica.

Problema: Esiste una delega di sottodominio non supportata configurata nella zona ospitata privata

Se la delega del sottodominio è configurata in modo errato nella zona ospitata privata, il resolver DNS del cloud privato virtuale (VPC) restituisce SERVFAIL.

Zona ospitata privata

servfail.local	NS	ns-xxx.awsdns-xx.co.uk, ns-x.awsdns-xx.com, ns-xxx.awsdns-xx.org, ns-xxx.awsdns-xx.net.
sub.servfail.local	NS	ns-xxx.awsdns-xx.net.

Nota: Non puoi utilizzare la Console di gestione AWS per creare record NS in una zona ospitata privata per delegare la responsabilità di un sottodominio. Utilizza invece l'interfaccia a riga di comando AWS (AWS CLI). Tieni presente che Amazon Route 53 non supporta la delega di sottodomini in una zona ospitata privata.

Problema: DNSSEC non è configurato correttamente

Il protocollo DNSSEC potrebbe consistere in una o più delle seguenti configurazioni errate:

• Il DNSSEC è attivato a livello di registrar di domini ma non a livello del servizio di hosting DNS.
• La firma DNSSEC è attivata a livello di registrar di domini e al termine del servizio di hosting DNS. Tuttavia, una o più informazioni essenziali (come il tipo di chiave, l'algoritmo di firma e la chiave pubblica) non corrispondono. Oppure, il record DS non è corretto.
• La catena di fiducia tra la zona padre e la zona figlio non è stata stabilita. Il record DS nella zona principale non corrisponde all'hash del KSK pubblico nell'area figlio.

Per risolvere questo problema, vedi Come faccio a identificare e risolvere i problemi di configurazione DNSSEC in Route 53?

Problema: Il concatenamento degli endpoint in entrata e in uscita di Route 53 Resolver non è configurato correttamente

Il traffico DNS in loop causa questo problema. Il flusso di traffico proveniente dal seguente schema causa il loop:

Istanza EC2 - Risolutore DNS VPC - (regola di inoltro delle corrispondenze) - endpoint in uscita - (indirizzo IP di destinazione dell'endpoint in entrata) - Endpoint in entrata - Risolutore DNS VPC

Per risolvere questo problema, consulta Evitare configurazioni di loop con gli endpoint Resolver.

Problema: Ci sono problemi di connettività sugli endpoint in uscita Route 53 Resolver

In caso di problemi di connettività tra gli endpoint in uscita del resolver Route 53 e gli indirizzi IP di destinazione della regola Resolver, AmazonProvidedDNS restituisce SERVFAIL.

Per risolvere questo problema, completa i seguenti passaggi:

• Verifica la connettività di rete dall'interfaccia di rete elastica creata dall'endpoint in uscita VPC agli indirizzi IP di destinazione:
  1. Controlla gli elenchi di controllo degli accessi alla rete (ACL di rete).
  2. Assicurati che esista una regola di uscita del gruppo di sicurezza degli endpoint in uscita che consenta il traffico TCP e UDP attraverso la porta 53 verso gli indirizzi IP di destinazione.
  3. Controlla tutte le regole del firewall configurate all'estremità dell'indirizzo IP di destinazione.
  4. Verifica il routing tra l'interfaccia di rete elastica dell'endpoint in uscita e gli indirizzi IP di destinazione.
• In base alla progettazione, le interfacce di rete elastiche degli endpoint in uscita di Route 53 Resolver non dispongono di indirizzi IP pubblici. Se il server DNS di destinazione è un DNS pubblico (ad esempio: 8.8.8.8), quindi verifica che l'endpoint in uscita sia stato creato in una sottorete privata con una voce nella tabella di route per un gateway NAT.

Problema: C'è un disco adesivo mancante nell'area principale

Esempio

All'interno della zona ospitata pubblica per il dominio "example.com", esiste una delega di sottodominio per "glue.example.com" che rimanda ai name server del sottodominio. Tuttavia, il record di incollaggio non esiste nella zona ospitata pubblica "example.com", come mostrato nell'esempio seguente:

Zona ospitata pubblica principale per il dominio "example.com"

example.com	NS	ns1.example.com, ns2.example.com, ns3.example.com, ns4.example.com
glue.example.com	NS	ns1.glue.example.com, ns2.glue.example.com, ns3.glue.example.com, ns4.glue.example.com

Zona ospitata pubblica del sottodominio per il dominio "glue.example.com"

glue.example.com	NS	ns1.glue.example.com, ns2.glue.example.com, ns3.glue.example.com, ns4.glue.example.com
glue.example.com	UN	1.2.3.4
ns1.glue.example.com	UN	3.3.3.3
ns2.glue.example.com	UN	4.4.4.4
ns3.glue.example.com	UN	5.5.5.5
ns4.glue.example.com	UN	6.6.6.6

Per risolvere questo problema, crea i record di colla per il sottodominio "glue.example.com". nella zona ospitata del dominio principale.

Zona ospitata pubblica principale per il dominio "example.com"

example.com	NS	ns1.example.com, ns2.example.com, ns3.example.com, ns4.example.com
glue.example.com	NS	ns1.glue.example.com, ns2.glue.example.com, ns3.glue.example.com, ns4.glue.example.com
glue.example.com	UN	1.2.3.4
ns1.glue.example.com	UN	3.3.3.3
ns2.glue.example.com	UN	4.4.4.4
ns3.glue.example.com	UN	5.5.5.5
ns4.glue.example.com	UN	6.6.6.6

Problema: La profondità massima di ricorsione è stata superata

Se il dominio di interrogazione risponde con una profondità superiore a nove, viene superata la profondità massima di ricorsione. La risposta deve essere una catena di non più di otto record CNAME e un record A/AAAA finale.

Per risolvere questo problema, riduci il numero di record CNAME nella risposta. Per evitare loop, Route 53 Resolver supporta una profondità massima di nove (catena di otto CNAME e un record A/AAAA).