如何在將網域轉移到 Route 53 或其他 DNS 託管供應商後,對 DNS 傳播問題進行疑難排解?
我想解決將網域轉移到 Amazon Route 53 後遇到的 DNS 傳播問題。
簡短描述
當您將網域轉移到 Amazon Route 53 時,下列問題可能會導致網域解析暫時中斷:
- 名稱伺服器更新延遲
- 快取的 DNS 記錄
- DNS 記錄組態不正確
- 域名系統安全性延伸功能 (DNSSEC) 組態不正確
- 註冊機構層級區塊
解決方法
**重要:**轉移網域名稱時,請遵循以下最佳實務:
- 在低流量時期規劃您的網域轉移。
- 在轉移網域的幾天前,將您的存留時間 (TTL) 值降低到 60 秒或更短。
- 在轉換期間,讓新舊 DNS 記錄保持處於作用中狀態。
- 先停用 DNSSEC 再轉移網域。然後,在成功轉移網域後重新啟用 DNSSEC。
對由於名稱伺服器更新延遲導致的網域解析失敗問題進行疑難排解
如果您的網域解析失敗,且顯示來自舊 DNS 區域的起始授權記錄,則可能是以下其中一個問題所致:
- 您尚未在註冊機構層級更新名稱伺服器。
- 本機解析器快取了過時的名稱伺服器。
執行 dig 命令來檢視您的網域名稱伺服器、DNS 解析和記錄組態:
dig web.example-url.com
**注意:**將 example-url 替換為您的網址。
在以下範例輸出中,網域解析失敗,因為正確的名稱伺服器中不存在網域名稱資訊:
; <<>> DiG 9.18.33 <<>> web.example.com ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 59604 ;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 4096 ;; QUESTION SECTION: ;web.example.com. IN A ;; AUTHORITY SECTION: example.com. 900 IN SOA ns-1536.awsdns-00.co.uk. awsdns-hostmaster.amazon.com. 1 7200 900 1209600 86400
確認網域註冊機構的名稱伺服器是否與新 DNS 供應商或 Route 53 的名稱伺服器相符。然後,等到舊名稱伺服器的 TTL 值過期,變更才會生效。如果問題仍然存在,請在本機 DNS 解析器上重新整理 DNS。
**注意:**若要檢查網域的 DNS 解析和記錄組態,您也可以使用 nslookup 命令。
對 DNS 記錄快取的網域解析不一致問題進行疑難排解
如果您的本機電腦或網際網路服務供應商的 DNS 解析器快取了過時的 DNS 訊息,那麼使用者在不同的網路和位置對您網域的存取就會不一致。
執行 dig 命令查看您的網域名稱伺服器,然後檢查本機或本機解析器層級的快取輸出。以下範例輸出包含過時的 DNS 資訊:
; <<>> DiG 9.18.33 <<>> example.com ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 56173 ;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 4096 ;; QUESTION SECTION: ;example.com. IN A ;; ANSWER SECTION: example.com. 300 IN A 1.1.1.1 example.com. 300 IN A 2.2.2.2
如果您發現過時的 DNS 訊息,請清除本機 DNS 快取。然後,從不同的網路測試對您網域的存取,以確認變更是否已生效。
**注意:**在轉移 DNS 服務之前,最佳實務是將名稱伺服器的 TTL 值降低到 60 秒。
由於 DNS 記錄組態不正確導致部分網域功能故障
如果您的 DNS 記錄傳輸不完整或不正確,那麼您將遇到部分網域功能問題,例如網站載入但電子郵件服務失敗。
執行 dig 命令來對 DNS 記錄組態問題進行疑難排解。
記錄類型 A
命令範例:
dig example.com A
輸出範例:
; <<>> DiG 9.18.33 <<>> example.com ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 56173 ;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 4096 ;; QUESTION SECTION: ;example.com. IN A ;; ANSWER SECTION: example.com. 300 IN A 1.1.1.1 example.com. 300 IN A 2.2.2.2
記錄類型 MX
命令範例:
dig web.example.com MX
輸出範例:
; <<>> DiG 9.18.33 <<>> web.example.com MX ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 59604 ;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 4096 ;; QUESTION SECTION: ;web.example.com. IN MX ;; AUTHORITY SECTION: example.com. 900 IN SOA ns-1536.awsdns-00.co.uk. awsdns-hostmaster.amazon.com. 1 7200 900 1209600 86400
上述範例輸出內容顯示已設定類型 A 記錄,但缺少 MX 記錄。缺少的 MX 記錄顯示 DNS 遷移期間發生了 DNS 記錄組態錯誤。
檢查您先前的 DNS 組態和 Route 53 中的設定。確認您是否已在新 DNS 供應商的系統中正確設定以下記錄:
- A
- CNAME
- MX
- TXT
然後,等待 24 到 48 小時以使 DNS 變更完成傳播。
對因 DNSSEC 設定不正確導致的完整解析失敗問題進行疑難排解
當您將網域轉移出使用 DNSSEC 的環境時,可能會遇到網域解析失敗。請確認您是否已在新環境中正確設定 DNSSEC。
如果問題仍然存在,請在您的註冊機構和 DNS 供應商層級停用 DNSSEC。然後,確保您的新網域註冊機構支援 DNSSEC,然後在新環境中啟用 DNSSEC。
對遭封鎖的網域進行疑難排解
執行 whois 命令來檢查您網域的註冊狀態:
whois example-url.com
**注意:**將 example-url.com 替換為您的網址。
如果輸出顯示您的網域狀態為 clientHold 或 serverHold 狀態,則表示管理員在註冊機構層級封鎖了您的網域。
輸出範例:
Domain Name: EXAMPLE-URL.COM Domain Status: clientDeleteProhibited https://icann.org/epp#clientDeleteProhibited Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited Domain Status: clientHold https://icann.org/epp#clientHold Domain Status: serverHold https://icann.org/epp#serverHold
若要解除您網域的封鎖,請聯絡您的管理員。
相關資訊
- 語言
- 中文 (繁體)
相關內容
- 已提問 2 年前
