Como resolvo problemas de regras do Route 53 Resolver com a resolução de DNS em VPCs?

Resolução

Reassociar a regra do Resolver

Se você desassociar uma regra do Resolver da sua VPC, o Resolver não encaminhará mais as consultas de DNS para os resolvedores de DNS. Para resolver esse problema, reassocie a regra à VPC. Para solucionar problemas com uma regra que você compartilhou, consulte Compartilhando regras do Resolver com outras contas da AWS e usando regras compartilhadas.

Observação: você pode associar as regras do Resolver somente às VPCs em sua conta.

Solucionar problemas de resolução de DNS

Realize as seguintes ações:

• Verifique se você ativou a resolução de DNS e os nomes de host de DNS em sua VPC. Para obter mais informações, consulte Exibir e atualizar atributos DNS para sua VPC.
• Confirme se você associou o ID da Amazon VPC correto à zona hospedada privada.
• Verifique se você está consultando registros de recursos na mesma VPC. Para obter mais informações, consulte Como registrar uma consulta para o Amazon Route 53?
• Verifique se você configurou corretamente as regras de encaminhamento para zonas hospedadas privadas em relação ao Route 53 Resolver. Consulte Visualização e edição das regras de encaminhamento.
• Certifique-se de que os namespaces dos seus domínios e subdomínios de zona hospedada privada não se sobreponham.

Solucionar problemas das regras do Resolver

Realize as seguintes ações:

• Confirme se o Route 53 Resolver corresponde à regra especificada ao avaliar as regras. Para obter mais informações, consulte Valores que você especifica ao criar ou editar regras.
• Verifique se há regras de DNS reverso definidas automaticamente em sua VPC e substitua-as.
• Se você ativou a resolução de DNS e os nomes de host de DNS na sua VPC, confirme se as zonas hospedadas privadas associadas incluem sua zona hospedada privada.
• Verifique se você criou várias regras com o mesmo domínio que associou à VPC. Quando você aplica mais de uma regra, o domínio pode não funcionar.

Observação: se uma regra de encaminhamento do Resolver e uma zona hospedada privada entrarem em conflito, a regra do Resolver terá precedência.

Solucionar problemas de regras de encaminhamento de DNS

Quando você usa regras de encaminhamento de DNS para resolver domínios internos que hospeda em servidores DNS em outras contas, você pode receber o erro "connection refused". Esse erro pode ocorrer mesmo quando as configurações do grupo de segurança e da lista de controle de acesso à rede (ACL da rede) parecem corretas.

Para solucionar esse problema, verifique as configurações de encaminhamento e os fluxos de tráfego entre a conta de endpoint do Resolver de saída e a conta que hospeda o servidor DNS.

Para endpoints de saída, execute as seguintes ações:

• Confirme se a regra do Resolver inclui o endereço IP correto do servidor DNS on-premises.
• Certifique-se de que o grupo de segurança dos endpoints de saída permita o tráfego TCP e UDP de saída para os endereços IP e portas do servidor DNS.
• Verifique se as ACLs de rede permitem tráfego TCP e UDP para os endereços IP ou portas do servidor DNS e portas efêmeras (1024–65535).
• Verifique se a tabela de rotas de sub-rede dos endpoints de saída contém uma rota para os endereços IP do servidor on-premises por meio da conexão VPN ou do AWS Direct Connect.

Para obter mais informações, consulte Gerenciamento de endpoints de saída.

Para testar a conectividade de uma instância do Amazon Elastic Compute Cloud (Amazon EC2) localizada na mesma sub-rede dos endpoints de saída, execute as seguintes ações:

• Execute os comandos dig ou nslookup diretamente no endereço IP do Resolver de DNS on-premises.
• Envie um ping para um host on-premises que permita que o protocolo de mensagens de controle da internet (ICMP) verifique a conexão.

Certifique-se de que o cliente de origem envie consultas para o AmazonProvidedDNS em vez de diretamente para o endpoint de saída. Em seguida, o AmazonProvidedDNS encaminha as consultas por meio do endpoint de saída para os endereços IP de destino com base na configuração da regra do Resolver. Para obter mais informações, consulte Registro Log de consultas ao DNS público.

Ao solucionar problemas de respostas de DNS, use dig or nslookup para realizar consultas diretamente no endereço IP do servidor DNS on-premises. Verifique QUESTION SECTION para verificar se o nome, a classe e o tipo de registro estão corretos. Além disso, verifique o código de resposta NXDOMAIN, que mostra que não existe nenhum registro, ou SERVFAIL, que mostra que há problemas de tempo limite ou de caminho.

Verifique se seu perfil do Route 53 Resolver substitui a VPC

Quando você associa uma VPC a um perfil de resolvedor que tem a regra padrão ".", a regra do perfil tem precedência sobre a regra recursiva padrão da VPC. No entanto, o status de associação das regras do Resolver na VPC não aparece como substituído. Para obter mais informações, consulte Como o endpoint do Route 53 Resolver encaminha as consultas de DNS das suas VPCs para sua rede.

Resolver o erro SERVFAIL para domínios TLD, como .local

O Route 53 manipula determinados domínios de nível superior (TLDs), como .local, como domínios link-local. Se você tentar resolver domínios que terminam em .local em um sistema de distribuição como o Ubuntu, talvez receba um erro SERVFAIL. Para resolver esse problema, reinicialize as instâncias em sua VPC com um novo conjunto de opções do Protocolo de Configuração Dinâmica de Host (DHCP).

Analisar os logs de consulta e os logs de fluxo de VPC

Revise suas consultas de DNS e verifique se há erros nos logs de consultas do Route 53 Resolver. Além disso, revise os logs de fluxo da VPC e capture pacotes para identificar o tráfego de rede bloqueado ou descartado.

Informações relacionadas

Como configuro um endpoint de saída do Route 53 Resolver para resolver registros DNS hospedados em uma rede remota a partir de recursos em minha VPC?

Como configuro um endpoint de entrada do Route 53 Resolver para resolver registros de DNS na minha zona hospedada privada a partir da minha rede remota?