Warum wird der Alias-Eintrag, der auf meine CloudFront-Distribution verweist, nicht aufgelöst?

Kurzbeschreibung

Die folgenden Gründe können Sie daran hindern, den Alias-Eintrag aufzulösen, der auf eine CloudFront-Distribution verweist:

• Sie haben den Alias-Eintrag falsch konfiguriert, der der CloudFront-Distribution entspricht.
• Die CloudFront-Distribution ist nicht im Dropdownmenü Alias-Eintrag der Route 53-Konsole aufgeführt.
• Sie haben den Alias-Eintrag nicht in der autoritativen gehostete Zone für die Domain erstellt.
• Der Status der Domain ist inactive, ServerHold oder ClientHold.
• Dem Alias-Eintrag ist eine fehlerhafte Zustandsprüfung zugeordnet.
• Der Eintrag wird nicht weltweit verbreitet.
• Wenn DNSSEC für die Domain aktiviert ist, sind die DS-Einträge (Delegation Signer) falsch.

Lösung

Überprüfen des Alias-Eintragstyp

Wenn Sie den Alias-Eintrag falsch konfiguriert haben, kann der DNS-Eintrag nicht aufgelöst werden. Sie müssen die CloudFront-Alias-Eintragstypen als Typ A statt als CNAME konfigurieren.

Gehen Sie wie folgt vor, um den Route 53-Alias-Eintragstyp zu bestätigen:

1.    Öffnen Sie die Route 53-Konsole.

2.    Wählen Sie im Navigationsbereich Hosted Zones (gehostete Zonen) aus.

3.    Wählen Sie die gehostete Zone für Ihre Domain aus.

4.    Wählen Sie den Route 53-Aliaseintrag für Ihre Domain aus.

5.    Vergewissern Sie sich unter Edit Record Set (Eintragssatz bearbeiten), dass der Record type (Eintragtyp) für den Alias record (Alias-Eintrag) auf A gesetzt ist. Wenn der Eintragstyp nicht auf A gesetzt ist, aktualisieren Sie den Eintrag.

6.    Wählen Sie Save record set (Eintragssatz speichern).

Erstellen des Eintrags, wenn die CloudFront-Distribution nicht im Dropdown-Menü des Alias-Eintrags aufgeführt ist

Um einen Alias-Eintrag zu erstellen, der auf Ihre CloudFront-Distribution verweist, muss Ihre Distribution einen alternativen Domainnamen enthalten, der dem Namen des Datensatzes entspricht. Wenn der Name des Eintrags beispielsweise abc.example.com lautet, muss die CloudFront-Distribution abc.example.com als einen der alternativen Domainnamen enthalten.

1.    Melden Sie sich bei der CloudFront-Konsole an.

2.    Navigieren Sie zu Ihrer CloudFront-Distribution.

3.    Wählen Sie General (Allgemein), Settings (Einstellungen), Edit (Bearbeiten).

4.    Fügen Sie auf der Seite Settings (Einstellungen) abc.example.com unter Alternate domain name (CNAME) (Alternativer Domainname (CNAME)) hinzu.

Hinweis: Wenn Sie einen CNAME-Eintrag hinzufügen, der bereits existiert, erhalten Sie die folgende Fehlermeldung:

"One or more of the CNAMEs you provided are already associated with a different resource" (Einer oder mehrere der von Ihnen angegebenen CNAMEs sind bereits mit einer anderen Ressource verknüpft)

Um den vorherigen Fehler zu beheben, fügen Sie den Eintrag in der Route 53 gehostete Zone hinzu. Wählen Sie dann Alias to CloudFront distribution (Alias für die CloudFront-Distribution) aus, um den Alias-Eintrag für abc.example.com zu erstellen. Der Domainname der CloudFront-Distribution ist im Dropdownmenü aufgeführt.

Überprüfen Sie die Domainnamenserver, die beim Registrar konfiguriert sind

Wenn Sie eine gehostete Zone für Ihre Domain erstellen, weist Route 53 der gehosteten Zone einen Satz von vier Nameservern zu. Die gehostete Zone wird nur dann für Ihre Domainauflösung verwendet, wenn ihre Nameserver beim Registrar der Domain angegeben sind.

Vergewissern Sie sich, dass Ihr Registrar dieselben vier autorisierenden Nameserver zurückgibt wie die, die der gehosteten Zone zugewiesen sind, in der Sie den Alias-Eintrag erstellt haben. Um die Nameserver zu überprüfen, die auf dem Registrar konfiguriert sind, führen Sie den folgenden Befehl aus, um eine Whois-Suche für Ihre Domain durchzuführen:

$ whois domain-name |grep 'Name Server'

Überprüfen Sie die Nameserver, die Ihrer gehosteten Zone zugewiesen sind. Wenn die Nameserver nicht mit den Whois-Suchergebnissen übereinstimmen, wird Ihre gehostete Zone nicht für die Domainauflösung verwendet. Sie müssen die Nameserver beim Domain-Registrar aktualisieren.

Wenn die Domain bei Route 53 registriert ist, finden Sie weitere Informationen unter Hinzufügen oder Ändern von Nameservern und Glue-Einträgen für eine Domain. Wenn die Domain bei einem Drittanbieter registriert ist, finden Sie in der Dokumentation des Drittanbieters Schritte zum Aktualisieren der Nameserver.

Wenn die Nameserver beim AWS-Registrar nicht korrekt konfiguriert sind, führen Sie die folgenden Schritte aus:

1.    Öffnen Sie die Route 53-Konsole.

2.    Wählen Sie Registered domains (Registrierte Domains).

3.    Wählen Sie Ihre Domain aus.

4.    Wählen Sie Add/edit name server (Nameserver hinzufügen/bearbeiten).

5.    Ersetzen Sie die aktuellen Nameserver durch die folgenden. Ersetzen Sie in den folgenden Beispielen die xxx-Platzhalter durch die richtigen Werte für Ihre Nameserver.
ns-xxx.awsdns-xx.org.
ns-xxx.awsdns-xx.com.
ns-xxx.awsdns-xx.net.
ns-xxx.awsdns-xx.co.uk.

6:    Wählen Sie Save (Speichern).

Überprüfen Sie den Domainstatus

Wenn der Domainstatus inactive (inaktiv), ServerHold oder ClientHold ist, kann die Domain nicht aufgelöst werden. Sie können den Befehl whois-Suche ausführen, um den Status der Domain zu überprüfen:

$ whois domain-name |grep 'Domain Status'

Suchen Sie nach Zustandsprüfungen, die mit dem Alias-Eintrag verknüpft sind

Wenn dem Alias-Eintrag eine Zustandsprüfung zugeordnet ist, überprüfen Sie den Status der Zustandsprüfung. Der Wert, der bei der DNS-Suche zurückgegeben wird, hängt von den Routing-Richtlinien und der Zustandsprüfungskonfiguration des Eintrags ab.

Überprüfen Sie die Übertragung von Einträgen

Normalerweise leitet Route 53 Aktualisierungen von DNS-Einträgen innerhalb von 60 Sekunden an das globale Route 53-Netzwerk autorisierender DNS-Server weiter. Das Zwischenspeichern von DNS-Resolvern würde jedoch den Anwendungsbereich von Route 53 sprengen. Amazon Route 53 speichert also Ihre Ressourcen-Einträge entsprechend ihrem TTL-Wert im Cache.

Der lokale Resolver speichert den vorherigen Eintragswert für die Dauer der konfigurierten TTL im Cache. In einigen Fällen kann es zu negativem Caching kommen, bei dem die Resolver die NXDOMAIN-Ergebnisse von autoritativen Nameservern zwischenspeichern. Um zu überprüfen, ob negatives Caching vorliegt, senden Sie eine Anfrage direkt an den Nameserver, der der gehosteten Zone Ihrer Domain zugewiesen ist, um nach einer Antwort zu suchen. Im Folgenden finden Sie ein Beispiel für einen Befehl, um nach negativem Caching zu suchen:

$ dig domain-name @ns-2041.awsdns-63.co.uk

Wenn DNSSEC aktiviert ist, überprüfen Sie die DS-Einträge

Ein DS-Eintrag stellt eine Vertrauenskette zwischen den gehosteten Zonen der übergeordneten und der untergeordneten Zone her, wenn DNSSEC aktiviert ist. Dieser Eintrag enthält eine Zusammenfassung der öffentlichen Schlüsselsignaturschlüssel (KSKs), die zum Signieren des Zonensignaturschlüssels (ZSK) einer DNS-Zone und des Typs des Signaturalgorithmus verwendet werden. Sie müssen den DS-Eintrag zur übergeordneten Zone einer Delegation hinzufügen. Der DS-Eintrag besteht aus maßgeblichen Daten in der übergeordneten Zone.

Beispielsweise wird der DS-Eintrag für „example.com“ in der Zone „.com“ (der übergeordneten Zone) gespeichert, nicht in der Zone „example.com“ (untergeordnete Zone).

Geben Sie Ihrem Domain-Registrar den öffentlichen KSK und den Typ des Signaturalgorithmus an, um einen DS-Eintrag zu erstellen. Der Domain-Registrar leitet den öffentlichen KSK und den Algorithmustyp an die Registry für die Top-Level-Domain weiter.