¿Por qué no puedo acceder a mi sitio web que usa los servicios de DNS de Route 53?

6 minutos de lectura

He configurado mi sitio web para usar Amazon Route 53 para los servicios de DNS, pero no puedo acceder a mi sitio web desde Internet. ¿Cómo puedo solucionar este problema?

Resolución

Comprobar los conjuntos de registros de recursos de la zona alojada pública del sitio web

Compruebe que la zona alojada pública del nombre de dominio de su sitio web en Route 53 esté rellenada con los conjuntos de registros de recursos adecuados. Para actualizar los valores de los conjuntos de registros, consulte Editing Records. Para ver los valores específicos del tipo de registro, consulte Values that you specify when you create or edit Amazon Route 53 records.

Importante: Como mínimo, la zona alojada pública debe contener un registro de direcciones (registro A) para su dominio. Si no existe ningún registro para el nombre de dominio que está consultando, se devuelve un código de error NXDOMAIN.

Verificar que los conjuntos de registros de recursos sean de acceso público

Para obtener instrucciones, consulte How do I verify that resource record sets in an Amazon Route 53 public hosted zone are accessible from the Internet?

Comprobar los registros de NS del registrador de nombres de dominio

Compruebe si los servidores de nombres (NS) configurados en el registrador de dominios son los mismos cuatro registros de NS autorizados de la zona alojada pública de Route 53 del dominio.

Obtenga los servidores de nombres de una zona alojada pública.
Busque el nombre de dominio de su sitio web con la utilidad de WHOIS que prefiera (herramienta de búsqueda de registro de dominios).
Verifique si el NS de su dominio en la salida de WHOIS coincide con los mismos registros de NS de su zona alojada pública de Route 53.
Si los registros de NS no coinciden y su registrador de dominios es Route 53, actualice los servidores de nombres de su dominio en el registrador a los cuatro registros de NS autorizados asignados a su zona alojada pública de Route 53.
Nota: En el caso de los dominios registrados con registradores externos, siga la documentación de su registrador para cambiar el NS del dominio.

Nota: Es posible que tenga que esperar hasta el TTL (hasta 48 horas) para que caduque el NS en el dominio de nivel superior (TLD) del registrador anterior. Durante este periodo, es posible que las consultas de DNS del dominio se envíen tanto a Route 53 como al NS del registrador anterior. Route 53 responde inmediatamente a las consultas de DNS del dominio de los solucionadores que no han almacenado en caché el NS del registrador anterior.

Comprobar la configuración de DNSSEC

Si su dominio usa extensiones de seguridad del sistema de nombres de dominio (DNSSEC), las DNSSEC deben estar activadas en el nivel de registrador de dominios y proveedor de servicios de DNS.

Si las DNSSEC están activadas para el dominio pero están desactivadas en el proveedor de servicios de DNS, los solucionadores de DNS que realizan la validación de DNSSEC devuelven un error SERVFAIL a los clientes. En este caso, los clientes no pueden acceder al dominio si utilizan un solucionador de DNS que realiza la validación de DNSSEC.

Por ejemplo: El siguiente comando devuelve un error SERVFAIL si las DNSSEC están activadas en el nivel de dominio, pero no en el nivel del proveedor de servicios de DNS:

>> dig @8.8.8.8 www.example.com

Para omitir la validación de DNSSEC, ejecute este comando con la marca +cd:
Nota: Sustituya example.com por su nombre de dominio.

>> dig @8.8.8.8 example.com +cd

Si puede resolver el dominio según lo esperado después de omitir la validación, eso suele indicar una mala configuración de las DNSSEC en el NS.

Nota: Route 53 admite las DNSSEC tanto para el registro de dominios como para el servicio de DNS. Para obtener más información, consulte Configuring DNSSEC for a domain y Configuring DNSSEC signing in Amazon Route 53.

Comprobar si el problema de resolución de DNS se produce al utilizar otros solucionadores de DNS

Pruebe la resolución de su dominio con solucionadores públicos (como Google Resolver [8.8.8.8], Cloudflare [1.1.1.1] u OpenDNS) para resolver su dominio. Si el problema persiste al usar un solucionador específico, es posible que la causa sea un problema con ese solucionador en particular. O bien, es posible que el solucionador haya almacenado en caché las respuestas de DNS más antiguas.

Ejecute los siguientes comandos para realizar una consulta de DNS en un solucionador:
Nota: Sustituya example.com por su dominio y ResolverIP por la IP del solucionador que esté utilizando.

>> dig example.com @<ResolverIP><br>>> nslookup example.com <ResolverIP>

Si el solucionador recibió anteriormente una respuesta negativa para el dominio, el solucionador almacena en caché esta respuesta. En este caso, es posible que un cliente siga recibiendo la respuesta de NXDOMAIN/NODATA debido a un almacenamiento en caché negativo en el solucionador, incluso si se corrigió el registro. Para obtener más información, consulte The start of authority (SOA) record.

Verificar el código de estado del EPP de su dominio

Busque el nombre de dominio de su sitio web en su utilidad de WHOIS preferida (herramienta de búsqueda de registro de dominios). A continuación, compruebe que no se haya asignado un código de estado del Protocolo de aprovisionamiento extensible (EPP) al dominio, lo que indica un dominio inactivo en el DNS. Los códigos de estado como serverHold, clientHold o inactive indican que el dominio no está activado en el DNS y no se puede resolver.

Si Route 53 es el registrador de su dominio, consulte My domain is suspended (status is ClientHold). Para obtener una lista de los códigos de estado del EPP, consulte EPP Status Codes en el sitio web de la ICANN.