如何排查和解决 AWS Route53 中私有托管区和跨账户设置的 CNAME 记录解析问题？

2 分钟阅读

我希望我的 Amazon Route 53 规范名称记录 (CNAME) 记录能够在我的公共和私有托管区中正确解析。

解决方法

在您的虚拟私有云 (VPC) 和托管区中配置 DNS 查询日志记录。识别 CNAME 记录解析问题，然后根据您在日志中发现的问题执行以下操作。

当 CNAME 记录指向未配置 IPv6 地址的资源时，针对 AAAA 记录的 DNS 查询会返回没有 IPv6 地址的 CNAME 响应。要解决此问题，请根据您的配置选择以下解决方案之一。

**注意：**最佳做法是先在非生产环境中测试您的更改，然后再将其应用到生产环境中。

应用程序负载均衡器

更新应用程序负载均衡器的 IP 地址类型以同时使用 IPv4 和 IPv6 地址。

Amazon CloudFront 分配

在您的托管区创建 AAAA 记录。然后，将您的分配的 IPv6 地址添加到 AAAA 记录中。

如果您的 CNAME 记录无法在私有托管区中解析，请执行以下操作：

验证您是否已在私有托管区中正确配置 CNAME 记录。确保记录指向正确的域名或别名，并且该记录不包含额外的后缀或前缀。
确认 AWS Directory Service for Microsoft Active Directory (AWS Managed Microsoft AD) 中的 DNS 解析器设置将查询转发到正确的 Route 53 Resolver 端点。
验证您的 VPC 安全组规则是否允许从 AWS Managed Microsoft AD 到 Route 53 Resolver 端点的入站 DNS 流量。然后，验证您的规则是否允许从 Route 53 Resolver 端点到您的托管 Active Directory 的出站 DNS 流量。

如果您仍然遇到问题，请创建新的私有托管区，然后在托管 AD 中重新配置 DNS 设置。测试 DNS 解析以验证您是否已解决问题。

如果您的 CNAME 记录指向 AWS 资源并针对特定 AWS 账户返回"NXDOMAIN"错误，请执行以下操作：

验证您是否已与工作账户和非工作账户共享域的 Resolver 规则。有关详细信息，请参阅在 AWS 账户之间共享 Route 53 Resolver DNS 防火墙规则组中的查看共享状态并与其他 AWS 账户共享规则。
检查非工作账户中的私有托管区中是否存在重叠的域、子域和根域。例如，域 p-southeast-1.amazonaws.com、子域 efs.ap-southeast-1.amazonaws.com 和根域 amazonaws.com 重叠。
根据 Resolver 规则中的目标 IP 地址解析 CNAME 值，然后将行为与默认 VPC DNS 解析器进行比较。

在 Route 53 中添加或修改 CNAME 记录时，可能会出现 DNS 传播延迟或失败。如果您的名称服务器返回"SERVFAIL"响应，请对 DNS 传播延迟进行故障排除。

检查现有记录是否与您新建或修改的 CNAME 记录同名。如果存在同名的记录，请降低该记录的 TTL（生存时间）值。有关详细信息，请参阅处理记录。

使用以下 DNS 故障排除工具之一来跟踪 DNS 解析并识别出现故障的名称服务器：

如果问题仅影响特定的 DNS 解析器，请联系您的域注册商寻求帮助。

如果 Route 53 Resolver DNS 防火墙允许列表中不包含您的 VPC 中的 CNAME 值，则您的 CNAME 记录无法解析。验证 DNS 防火墙允许列表中是否包含您的域指向的 CNAME 记录。如果缺失，请将其添加到列表中。

**注意：**更新规则组后，请等待几分钟让更改传播。

检查 Route 53 Resolver 端点的运行状况。如果您的运行状况检查失败，请参阅如何解决运行状况不佳的 Route 53 运行状况检查？检查 DNS 解析器与端点之间的网络连接。确保在安全组和网络访问控制列表（网络 ACL）中打开必要的端口。有关详细信息，请参阅如何解决 Route 53 Resolver 端点的 DNS 解析问题？

如果您的问题与特定资源或实例有关，请检查该实例的网络接口设置、安全组规则和 DNS 设置是否正确。