Wie behebe ich DNS-Auflösungsprobleme mit Route 53 Resolver-Endpunkten?

Lösung

Probleme mit eingehenden Endpunkten beheben

Gehen Sie wie folgt vor, um sicherzustellen, dass DNS-Resolver in Ihrem Netzwerk DNS-Abfragen über Ihren eingehenden Endpunkt an den Route 53 Resolver weiterleiten können:

• Wenn Ihr On-Premises DNS-Server DNS-Abfragen an den eingehenden Endpunkt Ihrer Domains weiterleitet, erstellen Sie eine Regel für die bedingte Weiterleitung. Die Regel für die bedingte Weiterleitung muss auf Ihrem On-Premises DNS-Server erstellt werden. Diese Konfiguration gilt für privat gehostete Zonen und öffentliche Domains.

• Stellen Sie sicher, dass Sie über die AWS Direct Connect-Verbindung oder das VPN eine Verbindung zu den IP-Adressen der eingehenden Resolver-Endpunkte haben. In diesem Schritt wird überprüft, ob Sie die IP-Adresse des eingehenden Resolver-Endpunkts von Ihrem On-Premises Netzwerk aus erreichen können. Verwenden Sie den folgenden Telnet-Befehl, um die Konnektivität zwischen der IP-Adresse des eingehenden Endpunktresolvers auf Port 53 zu testen: telnet <inbound endpoint resolver IP address> 53.

• Überprüfen Sie die Sicherheitsgruppe, die dem eingehenden Resolver-Endpunkt zugeordnet ist. Die Sicherheitsgruppe muss Datenverkehr auf dem TCP- und UDP-Port 53 von Ihrer On-Premises DNS-Server-IP-Adresse zulassen.

• Stellen Sie sicher, dass benutzerdefinierte Netzwerk-Zugriffssteuerungslisten (Netzwerk-ACLs), die für das Subnetz verwendet werden, in dem der eingehende Endpunkt erstellt wurde, folgendes zulassen:

• Eingehender UPD- und TCP-Verkehr vom On-Premises DNS-Server auf Port 53.

• Ausgehender UDP- und TCP-Verkehr zum On-Premises DNS-Server im Zielportbereich 1024-65535.

• Vergewissern Sie sich, dass die Routing-Tabelle, die dem Subnetz zugeordnet ist, in dem der eingehende Endpunktresolver erstellt wurde, eine Route zum On-Premises Netzwerk enthält. Sie können die Route über eine Direct Connect-Verbindung oder ein VPN konfigurieren. Diese Route ermöglicht es dem eingehenden Endpunktresolver, eine DNS-Abfrageantwort zurückzugeben.

• Um die Domänenauflösung zu überprüfen, führen Sie eine Suche nach dem Domainnamen vom On-Premises DNS-Server oder vom Localhost aus durch.

• Für Windows: nslookup <private hosted zone domain name>

• Für Linux oder macOS: dig <private hosted zone domain name>

• Wenn die vorherigen Befehle keinen Datensatz zurückgeben, können Sie Ihren On-Premises DNS-Server umgehen. Senden Sie die DNS-Abfrage mit den folgenden Befehlen direkt an die IP-Adresse des eingehenden Resolver-Endpunkts.

• Für Windows: nslookup <private hosted zone domain name> @ <inbound endpoint IP address>

• Für Linux oder macOS: dig <private hosted zone domain name> @ <inbound endpoint IP address>

• Stellen Sie sicher, dass Ihr On-Premises DNS-Server nur rekursive Abfragen sendet. Der eingehende Resolver Route 53 unterstützt keine iterativen Abfragen.

• Wenn Sie in einer privat gehosteten Zone auflösen, vergewissern Sie sich, dass Ihre eingehenden Resolver-Endpunkte und die private gehostete Zone der richtigen VPC zugeordnet sind.

Fehlerbehebung bei ausgehenden Endpunkten

Gehen Sie wie folgt vor, um sicherzustellen, dass Route 53 Resolver Anfragen unter bestimmten Bedingungen über Ihren ausgehenden Endpunkt an Resolver in Ihrem Netzwerk weiterleitet:

• Vergewissern Sie sich, dass Sie ein von Amazon bereitgestelltes DNS verwenden. Benutzerdefinierte DNS-Server auf Instances in Ihrer VPC müssen private DNS-Abfragen an die IP-Adresse der von Amazon bereitgestellten DNS-Server Ihrer VPC weiterleiten. Die von Amazon bereitgestellte IP-Adresse des DNS-Servers ist die IP-Adresse an der Basis des VPC-Netzwerkbereichs plus zwei.

• Bestätigen Sie die Ausgangsregel der Sicherheitsgruppe, die dem ausgehenden Resolver-Endpunkt zugeordnet ist. Die Ausgangsregel muss den UDP- und TCP-Port-53-Verkehr an die IP-Adressen Ihres On-Premises DNS-Servers zulassen.

• Stellen Sie sicher, dass benutzerdefinierte Regeln für Netzwerk-ACLs, die den Subnetzen entsprechen, in denen die ausgehenden Endpunktschnittstellen erstellt wurden, folgendes zulassen:

• Ausgehender UDP- und TCP-Verkehr zum On-Premises DNS-Server auf Port 53.

• Eingehender UDP- und TCP-Verkehr vom On-Premises DNS-Server im temporären Portbereich 1024-65535.

• Vergewissern Sie sich, dass die Routing-Tabelle, die dem Subnetz des ausgehenden Resolver-Endpunkts zugeordnet ist, eine Route zu Ihrem On-Premises DNS-Server enthält. Die Route kann über eine Direct Connect-Verbindung oder ein VPN konfiguriert werden.

• Stellen Sie fest, ob Ihre On-Premises DNS-Server durch eine Firewall geschützt sind. Wenn die Server durch eine Firewall geschützt sind, vergewissern Sie sich, dass die Firewall Datenverkehr von den IP-Adressen der ausgehenden Resolver-Endpunkte zulässt.

• Beachten Sie, dass eine Resolver-Regel, die Datenverkehr für denselben Domainnamen an Ihr Netzwerk weiterleitet, Vorrang vor privat gehosteten Zonen hat.

• Beachten Sie, dass Resolver ausgehende DNS-Abfragen mithilfe der Regel weiterleitet, die den spezifischsten Domainnamen enthält. Weitere Informationen finden Sie unter So ermittelt Resolver, ob der Domainname in einer Abfrage irgendwelchen Regeln entspricht.

• Wenn Sie eine gemeinsame Regel verwenden, vergewissern Sie sich, dass die gemeinsame Regel mit Ihrer VPC verknüpft ist.

• Verwenden Sie VPC Flow Protokolle, um Flow-Informationen über die von den Resolvern verwendeten Netzwerkschnittstellen zu erfassen. Filtern Sie nach dem Namen des Resolvers, um die Protokolle für die elastische Netzwerkschnittstelle des Resolvers anzuzeigen.