Como soluciono problemas de SERVFAIL do DNS?

Resolução

Problema: um servidor de nomes (NS) de terceiros está bloqueando o endereço IP do resolvedor público da AWS

Se um NS de terceiros bloquear o endereço IP do resolvedor público, você verá respostas SERVFAIL ao resolver consultas em seu domínio público. Isso ocorre se você estiver resolvendo a partir de uma ou várias regiões da AWS. No entanto, resolver a mesma consulta ao DNS em alguns dos resolvedores de DNS públicos, como 8.8.8.8 ou 1.1.1.1, retorna a resposta NOERROR.

Para resolver esse problema, entre em contato com seu provedor de DNS de terceiros para criar uma lista de permissões. Adicione à lista todos os intervalos de endereços IP do resolvedor público da AWS da região da AWS em que você observa respostas SERVFAIL.

Problema: há uma delegação incorreta de subdomínio configurada em uma zona hospedada pública

Exemplo

Sua zona hospedada pública “example.com” tem delegação de subdomínio configurada para “aws.example.com”. A configuração de delegação de subdomínio especifica servidores de nomes inacessíveis ou incorretos que não têm autoridade para o subdomínio.

Zona hospedada pública principal para o domínio “example.com”

example.com	NS	ns1.example.com, ns2.example.com, ns3.example.com, ns4.example.com
aws.example.com	NS	dummy-ns1.com, dummy-ns2.net, dummy-ns3.co.uk, dummy-ns4.org,

Zona hospedada do subdomínio para o domínio “aws.example.com”

aws.example.com	NS	ns1-xxx.awsdns-xx.com, ns2-xxx.awsdns-xx.co.uk, ns3-xxx.awsdns-xx.net, ns4-xxx.awsdns-xx.org
aws.example.com	A	1.2.3.4

Para resolver o erro anterior, configure os registros do servidor de nomes na zona hospedada principal para corresponder aos servidores de nomes na zona hospedada do subdomínio. Se você estiver usando servidores de nomes personalizados, confirme se os servidores de nomes estão acessíveis.

Problema: existem servidores de nomes incorretos listados com o registrador de domínio

Quando servidores de nomes incorretos são listados no registrador de domínio, há duas causas para o recebimento de respostas SERVFAIL:

• Os servidores de nomes configurados no registrador de domínio não correspondem aos servidores de nomes fornecidos em sua zona hospedada pública.
• Os servidores de nomes configurados no registrador existem, mas não têm autoridade para o domínio em questão.

Se os servidores de nomes não existirem, os resolvedores perderão o tempo limite depois de iniciarem consultas iterativas. Esses tempos limite causam uma latência significativa no tempo de consulta. Como os servidores de nomes não podem fornecer uma resposta, o resolvedor retorna a resposta SERVFAIL.

Zona hospedada pública do domínio

example.com	NS	ns1.example.com, ns2.example.com, ns3.example.com, ns4.example.com

Os servidores de nomes são configurados no registrador de domínio, conforme mostrado no exemplo a seguir:

whois example.com | grep "Name Server"
Name Server: ns1.test.com  
Name Server: ns2.test.com
Name Server: ns3.test.com  
Name Server: ns4.test.com

Para resolver esse erro, execute uma das seguintes ações:

• O servidor de nomes de rótulo branco não está implementado: substitua o servidor de nomes do registrador pelos servidores de nomes atribuídos à sua zona hospedada pública.
• O servidor de nomes de rótulo branco está implementado: certifique-se de que os servidores de nomes do registrador sejam idênticos aos seus registros cola e aos registros A para servidores de nomes de rótulo branco na zona hospedada pública.

Problema: há uma delegação de subdomínio não compatível que está configurada na zona hospedada privada

Se a delegação de subdomínio estiver configurada incorretamente na zona hospedada privada, o resolvedor de DNS da nuvem privada virtual (VPC) retornará SERVFAIL.

Zona hospedada privada

servfail.local	NS	ns-xxx.awsdns-xx.co.uk, ns-x.awsdns-xx.com, ns-xxx.awsdns-xx.org, ns-xxx.awsdns-xx.net.
sub.servfail.local	NS	ns-xxx.awsdns-xx.net.

Observação: você não pode usar o Console de Gerenciamento da AWS para criar registros de NS em uma zona hospedada privada para delegar a responsabilidade para um subdomínio. Em vez disso, use a AWS Command Line Interface (AWS CLI). Observe que o Amazon Route 53 não aceita a delegação de subdomínio na zona hospedada privada.

Problema: o DNSSEC está configurado incorretamente

O DNSSEC pode consistir em uma ou mais das seguintes configurações incorretas:

• O DNSSEC é ativado no nível do registrador de domínio, mas não no serviço de hospedagem de DNS.
• A assinatura do DNSSEC é ativada no nível do registrador de domínio e no serviço de hospedagem de DNS. No entanto, uma ou várias informações essenciais (como tipo de chave, algoritmo de assinatura e chave pública) não correspondem. Ou o registro DS está incorreto.
• A cadeia de confiança entre a zona principal e a zona secundária não foi estabelecida. O registro DS na zona principal não corresponde ao hash da KSK pública na zona secundária.

Para resolver esse problema, consulte Como posso identificar e solucionar problemas de configuração do DNSSEC no Route 53?

Problema: o encadeamento de endpoints de entrada e saída do Route 53 Resolver está configurado incorretamente

O tráfego DNS que está em um loop causa esse problema. O fluxo de tráfego do padrão a seguir causa o loop:

Instância EC2 - resolvedor de DNS da VPC - (regra de encaminhamento de correspondência) - endpoint de saída - (endereço IP de destino do endpoint de entrada) - endpoint de entrada - resolvedor de DNS da VPC

Para resolver esse problema, consulte Evitar configurações de loop com endpoints do Resolver.

Problema: há problemas de conectividade nos endpoints de saída do Route 53 Resolver

Se houver problemas de conectividade entre os endpoints de saída do Route 53 Resolver e os endereços IP de destino da regra do Resolver, o AmazonProvidedDNS retornará SERVFAIL.

Para resolver esse problema, conclua as seguintes etapas:

• Verifique a conectividade de rede da VPC de interface de rede elástica criada pelo endpoint de saída com os endereços IP de destino:
  1. Verifique as listas de controle de acesso à rede (ACLs da rede).
  2. Certifique-se de que haja uma regra de saída do grupo de segurança do endpoint de saída que permita tráfego TCP e UDP pela porta 53 para os endereços IP de destino.
  3. Verifique todas as regras de firewall configuradas no endereço IP de destino.
  4. Verifique o roteamento entre a interface de rede elástica do endpoint de saída e os endereços IP de destino.
• Por padrão, as interfaces de rede elástica do endpoint de saída do Route 53 Resolver não têm endereços IP públicos. Se o servidor DNS de destino for um DNS público (por exemplo: 8.8.8.8), verifique se o endpoint de saída foi criado em uma sub-rede privada com uma entrada na tabela de rotas para um gateway NAT.

Problema: falta um registro cola na zona principal

Exemplo

Na zona hospedada pública do domínio “example.com”, há uma delegação de subdomínio para “glue.example.com” que aponta para os servidores de nomes do subdomínio. Porém, o registro cola não existe na zona hospedada pública “example.com”, conforme mostrado no exemplo a seguir:

Zona hospedada pública principal para o domínio “example.com”

example.com	NS	ns1.example.com, ns2.example.com, ns3.example.com, ns4.example.com
glue.example.com	NS	ns1.glue.example.com, ns2.glue.example.com, ns3.glue.example.com, ns4.glue.example.com

Zona hospedada pública do subdomínio para o domínio “glue.example.com”

glue.example.com	NS	ns1.glue.example.com, ns2.glue.example.com, ns3.glue.example.com, ns4.glue.example.com
glue.example.com	A	1.2.3.4
ns1.glue.example.com	A	3.3.3.3
ns2.glue.example.com	A	4.4.4.4
ns3.glue.example.com	A	5.5.5.5
ns4.glue.example.com	A	6.6.6.6

Para resolver esse problema, crie os registros cola para o subdomínio “glue.example.com” na zona hospedada do domínio principal.

Zona hospedada pública principal para o domínio “example.com”

example.com	NS	ns1.example.com, ns2.example.com, ns3.example.com, ns4.example.com
glue.example.com	NS	ns1.glue.example.com, ns2.glue.example.com, ns3.glue.example.com, ns4.glue.example.com
glue.example.com	A	1.2.3.4
ns1.glue.example.com	A	3.3.3.3
ns2.glue.example.com	A	4.4.4.4
ns3.glue.example.com	A	5.5.5.5
ns4.glue.example.com	A	6.6.6.6

Problema: a profundidade máxima de recursão foi excedida

Se o domínio de consulta responder com uma profundidade maior que nove, a profundidade máxima de recursão foi excedida. A resposta deve ser uma cadeia de no máximo oito registros CNAME e um registro A/AAAA final.

Para resolver esse problema, reduza o número de registros CNAME na resposta. Para evitar loops, o Route 53 Resolver permite uma profundidade máxima de nove (cadeia de oito CNAMEs e um registro A/AAAA).