Como soluciono problemas de resposta NXDOMAIN ao usar o Route 53 como serviço de DNS?

Breve descrição

Você pode receber uma resposta NXDOMAIN ou um erro de DNS_PROBE_FINISHED_NXDOMAIN quando um resolvedor de DNS não consegue encontrar o nome de domínio solicitado. Isso pode ser causado pela suspensão do domínio, servidores de nomes mal configurados ou ausência de registros DNS.

Resolução

Verifique se o domínio está ativo ou suspenso

Para verificar se o domínio está ativo ou suspenso, conclua as etapas a seguir.

1. Execute uma consulta WHOIS no domínio.
   Certifique-se de que o WHOIS esteja instalado antes de executar os comandos a seguir.
   Para Windows: abra um prompt de comando do Windows e digite whois -v example.com.
   Para Linux: abra seu cliente SSH. No prompt de comando, digite whois exemplo.com.
   Se o domínio estiver registrado no Amazon Registrar, você poderá usar a ferramenta de busca de WHOIS do Amazon Registrar.
2. Verifique o status do domínio. Se o valor do status do domínio for clientHold, o domínio será suspenso.

Motivos comuns para a suspensão do domínio:

• O e-mail de confirmação não foi verificado após o registro do domínio.
• A renovação automática foi desativada e o domínio expirou.
• O endereço de e-mail do registrante foi alterado, mas nunca foi verificado.

Para obter mais informações, consulte Meu domínio está suspenso (o status é ClientHold).

Exemplo de saída WHOIS:

whois example.com
   Domain Name: EXAMPLE.COM
   Registry Domain ID: 87023946_DOMAIN_COM-VRSN
   Registrar WHOIS Server: whois.godaddy.com
   Registrar URL: http://www.godaddy.com
   Updated Date: 2020-05-08T10:05:49Z
   Creation Date: 2002-05-28T18:22:16Z
   Registry Expiry Date: 2021-05-28T18:22:16Z
   Registrar: GoDaddy.com, LLC
   Registrar IANA ID: 146
   Registrar Abuse Contact Email: abuse@godaddy.com
   Registrar Abuse Contact Phone: 480-624-2505
   Domain Status: clientDeleteProhibited https://icann.org/epp#clientDeleteProhibited
   Domain Status: clientHold https://icann.org/epp#clientHold  
   Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited
   Domain Status: clientUpdateProhibited https://icann.org/epp#clientUpdateProhibited
   Name Server: ns-1470.awsdns-55.org.
   Name Server: ns-1969.awsdns-54.co.uk.
   Name Server: ns-736.awsdns-28.net.
   Name Server: ns-316.awsdns-39.com.

Confirme se os servidores de nomes corretos estão configurados

É possível visualizar servidores de nomes autorizados usando a saída WHOIS ou o comando dig +trace.

Para verificar as configurações da zona hospedada no Route 53, conclua as seguintes etapas:

1. Abra o console do Amazon Route 53.
2. No painel de navegação, selecione Zonas hospedadas.
3. Escolha a zona hospedada desejada e escolha Exibir detalhes.
4. Escolha os Detalhes da zona hospedada.
5. Compare os servidores de nomes listados com aqueles no resultado de WHOIS ou dig +trace.

Importante: se os servidores de nomes forem diferentes, atualize-os no seu registrador de domínio.

• Se os domínios estiverem registrados no Route 53, consulte Adicionar ou alterar servidores de nomes e registros cola para um domínio.
• Para domínios registrados em outro lugar, consulte a documentação do provedor.

Exemplo de saída dig +trace:

dig +trace example.com  
; <<>> DiG 9.11.4-P2-RedHat-9.11.4-26.P2.amzn2.2 <<>> +trace example.com
;; global options: +cmd
.                       518400  IN      NS      H.ROOT-SERVERS.NET.
.                       518400  IN      NS      I.ROOT-SERVERS.NET.
.                       518400  IN      NS      J.ROOT-SERVERS.NET.
.                       518400  IN      NS      K.ROOT-SERVERS.NET.
;; Received 239 bytes from 10.0.0.2#53(10.0.0.2) in 0 ms

com.                    172800  IN      NS      a.gtld-servers.net.
com.                    172800  IN      NS      m.gtld-servers.net.
com.                    172800  IN      NS      h.gtld-servers.net.
C41A5766
com.                    86400   IN      RRSIG   DS 8 1 86400 20210329220000 20210316210000 42351 .
;; Received 1174 bytes from 192.112.36.4#53(G.ROOT-SERVERS.NET) in 104 ms

example.com.         172800  IN      NS      ns-1470.awsdns-55.org.  	------>Name servers of interest.
example.com.         172800  IN      NS      ns-1969.awsdns-54.co.uk.
example.com.         172800  IN      NS      ns-736.awsdns-28.net.
example.com.         172800  IN      NS      ns-316.awsdns-39.com.

;; Received 732 bytes from 192.33.14.30#53(b.gtld-servers.net) in 91 ms

example.com.         3600    IN      A       104.200.22.130
example.com.         3600    IN      A       104.200.23.95
example.com.         3600    IN      NS      ns-1470.awsdns-55.org.
example.com.         3600    IN      NS      ns-1969.awsdns-54.co.uk.
example.com.         3600    IN      NS      ns-736.awsdns-28.net.
example.com.         3600    IN      NS      ns-316.awsdns-39.com.

;; Received 127 bytes from 173.201.72.25#53(ns-1470.awsdns-55.org) in 90 ms

Confirme se o registro solicitado existe

Na zona hospedada, verifique se o registro solicitado existe.

Se você usar um CNAME, confirme se o domínio de destino (nome canônico) também existe e pode ser resolvido.

Por exemplo, se o registro CNAME exemplo.com estiver configurado com o valor blog.exemplo.com, verifique se o registro blog.exemplo.com existe e pode ser resolvido.

Verifique se há problemas de delegação de subdomínios

Para verificar se há problemas de delegação de subdomínio, considere as seguintes ações:

• Procure na zona hospedada principal os registros NS do domínio. Por exemplo, se www.exemplo.com tiver um registro NS, ele será delegado.
• Se a delegação for válida, adicione o registro à zona delegada.
• Se a delegação não for válida, exclua o registro NS e adicione o registro à zona principal.

Observação: a minimização do QNAME nos resolvedores de DNS pode causar erros no NXDOMAIN com delegações profundas de subdomínios. Para obter mais informações, consulte Proteção contra registros de delegação pendentes no Route 53.

Determine se o problema de resolução de DNS existe somente na VPC

Verifique se o resolvedor de DNS está configurado no seu sistema operacional.

• Para Linux: Abra o arquivo /etc/resolv.conf.
• Para Windows: Execute o seguinte no prompt de comando: ipconfig /all

Procure o endereço do resolvedor de DNS. Se o CIDR da nuvem privada virtual (VPC) for 10.0.0.0/8, o resolvedor deverá ser 10.0.0.2.

Se você estiver usando o resolvedor Amazon Virtual Private Cloud (Amazon VPC), analise os seguintes cenários:

Cenário A: Você tem uma regra de resolução e uma zona hospedada privada

• A regra do resolvedor tem precedência.
• A consulta ao DNS é encaminhada para o endereço IP na regra do resolvedor.

Para obter mais informações, consulte Trabalhar com zonas hospedadas privadas.

Cenário B: Você só tem uma zona hospedada privada

• Clientes dentro da VPC não podem resolver registros na zona pública.
• Essa configuração é chamada de DNS de horizonte dividido.

Cenário C: Você só tem uma regra de resolução

• A consulta ao DNS é encaminhada para o endereço IP configurado.
• Os resolvedores públicos padrão não são usados nesse caso.

Verifique se o problema resulta de um cache negativo

Uma resposta NXDOMAIN pode ser armazenada em cache pelo resolvedor se o cache negativo estiver ativo.
Exemplo de cenário:

• Você consulta neg.exemplo.com e ele não existe.
• O resolvedor armazena em cache o resultado do NXDOMAIN.
• Posteriormente, você cria o registro, mas o resolvedor ainda retorna NXDOMAIN.

Os resolvedores usam o seguinte para determinar por quanto tempo armazenar as respostas negativas em cache:

• O TTL mínimo do registro SOA
• O TTL do registro SOA (o que for menor)

Para confirmar se o cache negativo está ativo, envie uma consulta diretamente ao servidor de nomes para obter uma resposta, como no exemplo a seguir:

dig www.example.com @ns-1470.awsdns-55.org