Al usar AWS re:Post, aceptas las AWS re:Post Términos de uso
AWS re:Postre:Post

¿Cómo soluciono los problemas de resolución de DNS con los puntos de conexión de Route 53 Resolver?

5 minutos de lectura
0

No puedo resolver los registros de DNS mediante un punto de conexión de entrada o salida en Amazon Route 53.

Solución

Solución de problemas con los puntos de conexión de entrada

Complete los siguientes pasos para asegurarse de que los solucionadores de DNS de su red puedan reenviar las consultas de DNS a Route 53 Resolver mediante su punto de conexión de entrada:

  • Si el servidor DNS local tiene que reenviar las consultas de DNS al punto de conexión de entrada de sus dominios, cree una regla de reenvío condicional. La regla de reenvío condicional tiene que crearse en el servidor DNS local. Esta configuración se aplica a las zonas alojadas privadas y a los dominios públicos.

  • Confirme que tiene conectividad con el punto de conexión de entrada del solucionador a través de la conexión de AWS Direct Connect o una VPN. Este paso valida si puede acceder a la dirección IP del punto de conexión de entrada del solucionador desde su red local. Utilice el siguiente comando telnet para probar la conectividad entre la dirección IP del punto de conexión de entrada del solucionador en el puerto 53: telnet <inbound endpoint resolver IP address> 53.

  • Compruebe el grupo de seguridad asociado al punto de conexión de entrada del solucionador. El grupo de seguridad tiene que permitir el tráfico en los puertos TCP y UDP 53 desde la dirección IP del servidor DNS local.

  • Confirme que las listas de control de acceso a la red (ACL de la red) personalizadas utilizadas en la subred en la que se creó el punto de conexión de entrada permitan lo siguiente:

  • Tráfico UPD y TCP de entrada desde el servidor DNS local en el puerto 53.

  • Tráfico UDP y TCP de salida al servidor DNS local en el rango de puertos de destino 1024 a 65535.

  • Confirme que la tabla de enrutamiento asociada a la subred en la que se creó el solucionador de puntos de conexión de entrada incluya una ruta a la red local. Puede configurar la ruta a través de una conexión de Direct Connect o una VPN. Esta ruta permite que el solucionador de puntos de conexión de entrada devuelva una respuesta a una consulta de DNS.

  • Para validar la resolución del dominio, complete una búsqueda de nombres de dominio en el servidor DNS local o en el host local.

  • Para Windows: nslookup <private hosted zone domain name>

  • Para Linux o macOS: dig <private hosted zone domain name>

  • Si los comandos anteriores no devuelven un registro, puede omitir el servidor DNS local. Envíe la consulta de DNS directamente a la dirección IP del punto de conexión de entrada del solucionador con los siguientes comandos.

  • Para Windows: nslookup <private hosted zone domain name> @ <inbound endpoint IP address>

  • Para Linux o macOS: dig <private hosted zone domain name> @ <inbound endpoint IP address>

  • Confirme que su servidor DNS local solo envíe consultas recursivas. El solucionar de entrada de Route 53 no admite consultas iterativas.

  • Si está resolviendo el problema en una zona alojada privada, confirme que los puntos de conexión de entrada del solucionador y la zona alojada privada estén asociados a la VPC correcta.

Solución de problemas con los puntos de conexión de salida

Complete los siguientes pasos para asegurarse de que Route 53 Resolver reenvíe las consultas de forma condicional a los solucionadores de su red mediante su punto de conexión de salida:

  • Confirme que está utilizando un DNS proporcionado por Amazon. Los servidores DNS personalizados de las instancias de su VPC tienen que enrutar las consultas de DNS privadas a la dirección IP de los servidores DNS de su VPC proporcionados por Amazon. La dirección IP de los servidores DNS proporcionados por Amazon es la dirección IP en la base del rango de redes de VPC más dos.

  • Confirme la regla de salida del grupo de seguridad asociado al punto de conexión de salida del solucionador. La regla de salida tiene que permitir el tráfico de los puertos UDP y TCP 53 a las direcciones IP del servidor DNS local.

  • Confirme que las reglas personalizadas para las ACL de red correspondientes a las subredes en las que se crearon las interfaces de punto de conexión de salida permitan lo siguiente:

  • Tráfico UDP y TCP de salida al servidor DNS local en el puerto 53.

  • Tráfico UDP y TCP de entrada desde el servidor DNS local en el rango de puertos efímeros 1024 a 65535.

  • Confirme que la tabla de enrutamiento asociada a la subred del punto de conexión de salida del solucionador tenga una ruta hacia su servidor DNS local. La ruta se puede configurar mediante una conexión de Direct Connect o una VPN.

  • Determine si sus servidores DNS locales están protegidos por un firewall. Si los servidores están protegidos por un firewall, confirme que este permita el tráfico desde las direcciones IP de los puntos de conexión de salida del solucionador.

  • Tenga en cuenta que una regla de Resolver que dirija el tráfico a su red para el mismo nombre de dominio tiene prioridad en las zonas alojadas privadas.

  • Tenga en cuenta que Resolver enruta las consultas de DNS de salida mediante la regla que contiene el nombre de dominio más específico. Para obtener más información, consulte la página Cómo determina Resolver si el nombre de dominio de una consulta coincide con alguna regla.

  • Si usa una regla compartida, confirme que esté asociada a su VPC.

  • Utilice los Registros de flujo de VPC para registrar la información de flujo en las interfaces de red utilizadas por los solucionadores. Filtre por el nombre del solucionador para ver los registros de la interfaz de red elástica del solucionador.

Temas
Redes y entrega de contenido
Etiquetas
Amazon Route 53
Idioma
Español
OFICIAL DE AWS
OFICIAL DE AWSActualizada hace un año

Contenido relevante