如何在 AWS Route53 中，對私有託管區與跨帳戶設定的 CNAME 記錄解析問題進行疑難排解並將其解決？

2 分的閱讀內容

我希望 Amazon Route 53 正規名稱記錄 (CNAME) 能在公有和私有託管區域中正確解析。

解決方法

在您的虛擬私有雲端 (VPC) 和託管區域中設定 DNS 查詢日誌記錄。確定 CNAME 記錄解析問題，然後根據您在日誌中發現的問題執行下列動作。

當 CNAME 記錄指向未設定 IPv6 位址的資源時，對 AAAA 記錄的 DNS 查詢將傳回不含 IPv6 位址的 CNAME 回應。若要解決此問題，請根據您的組態選擇以下其中一個解決方案。

**注意：**最佳實務是先在非生產環境中測試變更，再將變更套用到生產環境。

Application Load Balancers

更新 Application Load Balancer 的 IP 位址類型，以同時使用 IPv4 和 IPv6 位址。

Amazon CloudFront 發佈項目

在您的託管區域中建立 AAAA 記錄。然後，將您發佈項目的 IPv6 位址新增至 AAAA 記錄。

如果您的 CNAME 記錄無法在私有託管區域中解析，請執行下列動作：

確認您是否在私有託管區域中正確設定了 CNAME 記錄。確保記錄指向正確的網域名稱或別名，並且記錄不包含多餘的尾碼或首碼。
確認 AWS Directory Service for Microsoft Active Directory (AWS Managed Microsoft AD) 中的 DNS 解析器設定已將查詢轉送至正確的 Route 53 Resolver 端點。
確認您的 VPC 安全群組規則是否允許從 AWS Managed Microsoft AD 到 Route 53 Resolver 端點的傳入 DNS 流量。然後，確認您的規則是否允許從 Route 53 Resolver 端點傳出的 DNS 流量傳送至您的受管 Active Directory。

如果問題仍然存在，請建立新的私有託管區域，然後重新設定受管 AD 中的 DNS 設定。測試 DNS 解析，以確認您是否已解決該問題。

如果您的 CNAME 記錄指向 AWS 資源，並對特定 AWS 帳戶傳回 "NXDOMAIN" 錯誤，請執行下列動作：

確認您是否已與作用中帳戶和非作用中帳戶共用網域的 Resolver 規則。如需詳細資訊，請參閱在 AWS 帳戶之間共用 Route 53 Resolver DNS 防火牆規則群組中的查看共用狀態並與其他 AWS 帳戶共用規則。
檢查非作用中帳戶中的私有託管區域是否有重疊的網域、子網域和根網域。例如，網域 p-southeast-1.amazonaws.com、子網域 efs.ap-southeast-1.amazonaws.com 和根網域 amazonaws.com 重疊。
根據 Resolver 規則中的目標 IP 位址解析 CNAME 值，然後將行為與預設 VPC DNS 解析器進行比較。

在 Route 53 中新增或修改 CNAME 記錄時，可能會發生 DNS 傳播延遲或失敗。如果您的名稱伺服器傳回 "SERVFAIL"個回應，請對 DNS 傳播延遲問題進行疑難排解。

使用下列其中一個 DNS 疑難排解工具來追蹤 DNS 解析並識別失敗的名稱伺服器：

如果問題只影響特定的 DNS 解析器，請聯絡您的網域註冊機構以取得協助。

如果 Route 53 Resolver DNS 防火牆允許清單不包含您 VPC 中的 CNAME 值，則您的 CNAME 記錄將無法解析。確認 DNS 防火牆允許清單是否包含您網域指向的 CNAME 記錄。如果缺少記錄，請將其新增到清單中。

**注意：**更新規則群組後，請等待幾分鐘以使變更生效。

檢查 Route 53 Resolver 端點的運作狀態。如果您的運作狀態檢查失敗，請參閱如何對運作狀態不良的 Route 53 運作狀態檢查進行疑難排解？檢查 DNS 解析器和端點之間的網路連線。確保安全群組和網路存取控制清單 (網路 ACL) 中必要的連接埠已開啟。如需詳細資訊，請參閱如何對 Route 53 Resolver 端點的 DNS 解析問題進行疑難排解？

如果您的問題與特定資源或執行個體有關，請檢查該執行個體的網路介面設定、安全群組規則和 DNS 設定是否正確。