Wie kann ich Reverse-DNS-Probleme bei Regeln und ausgehenden Endpunkten für Route 53 beheben?

Behebung

Identifizieren Sie die erwarteten und tatsächlichen DNS-Antworten.

Verwenden Sie dig oder nslookup, um Abfragen direkt an die IP-Adresse Ihres lokalen DNS-Servers durchzuführen. Diese Tools versuchen, den richtigen Datensatznamen aufzulösen.

Verwenden Sie den Parameter**-x**, um eine Reverse-DNS-Auflösung mit dig durchzuführen. Wenn Sie diesen Parameter verwenden, fügt dig automatisch die Argumente Name, Klasse und Datensatztyp hinzu. Vergewissern Sie sich imFRAGENABSCHNITT, dass dig automatisch den richtigen Namen, die richtige Klasse und den richtigen Datensatztyp abgefragt hat.

Angenommen, Sie möchten die IP-Adresse172.31.2.23mit den folgenden Werten auflösen:

Name: 23.2.31.172.in-addr.arpa.
Klasse: IN
Datensatztyp: PTR

In diesem Beispiel führt der Befehldig -x 172.31.2.23zu folgender Ausgabe:

; <<>> DiG 9.11.4-P2-RedHat-9.11.4-9.P2.amzn2.0.2 <<>> -x 172.31.2.23;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 58812
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;;
OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;23.2.31.172.in-addr.arpa.    IN    PTR

;;
ANSWER SECTION:
23.2.31.172.in-addr.arpa. 60    IN    PTR    example.com.

Für nslookup führt der Befehlnslookup 172.31.2.23zu folgender Ausgabe:

23.2.31.172.in-addr.arpa.   name = example.com.

**Hinweis:**Ein unerwarteter Antwortcode bedeutet nicht unbedingt, dass ein Problem mit der Regel- oder Endpunktkonfiguration vorliegt:

• NXDOMAIN könnte eine unerwartete, aber gültige DNS-Antwort sein. Diese Antwort zeigt an, dass der abgefragte Server den angeforderten Datensatz nicht enthält.
• SERVFAIL zeigt an, dass im Pfad der Abfrage ein Timeout oder ein anderes Problem aufgetreten ist. Diese Antwort erfordert eine nähere Untersuchung.
• Eine unerwartete Antwort im ANTWORTABSCHNITT könnte darauf hindeuten, dass Sie eine andere Regel verwendet haben.

Stellen Sie fest, ob die Abfrage beim DNS-Resolver der VPC ankommt

Damit eine Abfrage einer Regel auf einer VPC zugeordnet werden kann, muss die Abfrage beim DNS-Resolver der VPC ankommen. Stellen Sie sicher, dass SieDNS-Supportin den VPC-Einstellungen aktiviert haben.
Informationen zur Überprüfung der Resolver-IP-Adresse finden Sie im Feldserverin dig oder nslookup:

dig

;; SERVER: 172.16.0.2#53(172.16.0.2)

nslookup

Server:        172.16.0.2

**Hinweis:**Bei VPCs ist das VPC-DNS der VPC CIDR plus zwei. In diesen Beispielen lautet die IP-Adresse für eine VPC 171.16.0.2.

Ermitteln der spezifischsten Regel, die zugeordnet wird

Wenn die Abfrage beim DNS-Resolver der VPC ankommt, muss sie einer Regel auf dieser VPC zugeordnet werden. Bei der Auswertung der Regeln wird die spezifischste Regel zugeordnet. Gehen Sie wie folgt vor, um diese Regel zu finden:

1. Identifizieren Sie alle automatisch definierten Regeln auf der VPC und verbundenen VPCs. Beachten Sie beiVPC-Peering-Verbindungenoder VPCs, die über einTransit-Gateway(mit DNS-Unterstützung) verbunden sind, alle Regeln für die Reverse-Auflösung jedes verbundenen CIDR.
   Hinweis:Der Resolver erstellt diese automatisch definierten Regeln, wennDNS-Hostnamenaufwahrgesetzt ist. Wenn Sie eineautomatisch definierte Regel überschreibenmöchten, erstellen Sie eine bedingte Weiterleitungsregel für denselben Domänennamen. Sie könnendie automatisch definierten Regeln auch deaktivieren.
2. Wenn SieDNSSupportundDNSHostnamesaktiviert haben, beachten Sie alle privaten gehosteten Zonen, die der VPC zugeordnet sind.
   **Hinweis:**Wenn sich die Resolver-Weiterleitungsregel und die private gehostete Zone überschneiden, hat die Resolver-Regel Vorrang. In diesem Fall wird die Abfrage an den On-Premises-Server weitergeleitet.
3. Vergleichen Sie Ihre Liste mit Regeln und zugehörigen privaten gehosteten Zonen mit der Abfrage, um festzustellen, welche Regel ausgewählt ist und wohin die Abfrage gesendet wird.

Beheben von Problemen mit ausgehenden Endpunkten

Prüfen Sie die folgenden Konfigurationen, um Probleme mit ausgehenden Endpunkten zu beheben:

• Ihre ausgehenden Endpunkte müssen die Abfrage an die Ziel-IP-Adressen senden, die in der Regel angegeben sind. Stellen Sie sicher, dass die Resolver-Regel die richtige IP des lokalen DNS-Servers verwendet.
• Die von den ausgehenden Endpunkten verwendete Sicherheitsgruppe muss ausgehenden TCP- und UDP-Datenverkehr zu den IP-Adressen und Ports des lokalen DNS-Servers zulassen.
• Die Zugriffssteuerungslisten (ACLs) müssen TCP- und UDP-Datenverkehr zu den IP-Adressen und Ports des lokalen DNS-Servers zulassen. Die ACLs müssen Datenverkehr zu den flüchtigen Ports zulassen (1024–65535).
• Die Subnetz-Routentabelle der ausgehenden Endpunkte muss eine Route für die IP-Adressen des lokalen Servers zur VPN- oder AWS-Direct-Connect-Verbindung enthalten.

Weitere Informationen und Schritte zur Fehlerbehebung finden Sie unterWie behebe ich Probleme bei der DNS-Auflösung mit Route-53-Resolver-Endpunkten?

Prüfen Sie, ob der ausgehende Endpunkt die Anfrage über die Verbindung senden kann, die in seiner Routing-Tabelle festgelegt ist

Prüfen Sie, ob Kommunikation über die VPN- oder Direct-Connect-Verbindung möglich ist. Führen Sie dazu einen dig- oder nslookup-Befehl direkt an die IP-Adresse des lokalen DNS-Resolvers aus. Zur weiteren Fehlersuche bei Verbindungsproblemen senden Sie einen Ping an einen On-Premises-Host, der das Internet Control Message (ICMP)-Protokoll unterstützt.

**Hinweis:**Sie müssen diesen Test von einer EC2-Instance aus durchführen, die sich im selben Subnetz wie die ausgehenden Endpunkte befindet.