¿Cómo soluciono los problemas de DNS SERVFAIL?

8 minutos de lectura

Recibo la respuesta «SERVFAIL» al resolver mi dominio en Amazon Route 53.

Resolución

Asunto: Un servidor de nombres (NS) de terceros bloquea la dirección IP del solucionador público de AWS

Si un NS de terceros bloquea la dirección IP del solucionador público, verá las respuestas SERVFAIL al resolver consultas en su dominio público. Esto ocurre independientemente de que resuelva desde una o varias regiones de AWS. Sin embargo, si se resuelve la misma consulta de DNS con algunos de los solucionadores de DNS públicos, como 8.8.8.8 o 1.1.1.1, se devuelve la respuesta NOERROR.

Para resolver este problema, póngase en contacto con su proveedor de DNS externo para crear una lista de permitidos. Añada a la lista todos los rangos de direcciones IP del solucionador público de AWS de la región de AWS en la que observa las respuestas SERVFAIL.

Asunto: Hay una delegación de subdominio incorrecta configurada en una zona alojada pública

Ejemplo

Su zona alojada pública «example.com» tiene configurada la delegación de subdominios para «aws.example.com». La configuración de delegación de subdominios especifica servidores de nombres inaccesibles o incorrectos que no tienen autoridad para el subdominio.

Zona alojada pública principal para el dominio «example.com»


example.com	NS	ns1.example.com, ns2.example.com, ns3.example.com, ns4.example.com
aws.example.com	NS	dummy-ns1.com, dummy-ns2.net, dummy-ns3.co.uk, dummy-ns4.org,

Zona alojada de subdominios para el dominio «aws.example.com»


aws.example.com	NS	ns1-xxx.awsdns-xx.com, ns2-xxx.awsdns-xx.co.uk, ns3-xxx.awsdns-xx.net, ns4-xxx.awsdns-xx.org
aws.example.com	UN	1.2.3.4

Para resolver el error anterior, configure los registros del servidor de nombres de la zona alojada principal para que coincidan con los servidores de nombres de la zona alojada del subdominio. Si utiliza servidores de nombres personalizados, confirme que se pueda acceder a ellos.

Asunto: Hay servidores de nombres incorrectos listados en el registrador de dominios

Cuando aparecen servidores de nombres incorrectos en el registrador de dominios, hay dos causas por las que se reciben respuestas SERVFAIL:

Los servidores de nombres que se configuran en el registrador de dominios no coinciden con los servidores de nombres que se proporcionan en la zona alojada pública.
Los servidores de nombres que están configurados en el registrador existen, pero no tienen autoridad para el dominio dado.

Si los servidores de nombres no existen, se agota el tiempo de espera de los solucionadores después de iniciar consultas iterativas. Estos tiempos de espera provocan una latencia significativa en el tiempo de consulta. Como los servidores de nombres no pueden proporcionar una respuesta, el solucionador devuelve la respuesta SERVFAIL.

Zona alojada pública del dominio


example.com	NS	ns1.example.com, ns2.example.com, ns3.example.com, ns4.example.com

Los servidores de nombres se configuran en el registrador de dominios, como se muestra en el siguiente ejemplo:

whois example.com | grep "Name Server"
Name Server: ns1.test.com  
Name Server: ns2.test.com
Name Server: ns3.test.com  
Name Server: ns4.test.com

Para resolver este error, realice una de las siguientes acciones:

El servidor de nombres de marca blanca no está implementado: Sustituya el servidor de nombres del registrador por los servidores de nombres que están asignados a su zona alojada pública.
Se implementa el servidor de nombres de marca blanca: Asegúrese de que los servidores de nombres del registrador sean idénticos a los registros de adherencia y a los registros A de los servidores de nombres de marca blanca de la zona alojada pública.

Asunto: Hay una delegación de subdominios no admitida que está configurada en la zona alojada privada

Si la delegación de subdominios está configurada incorrectamente en la zona alojada privada, el solucionador de DNS de la nube virtual privada (VPC) devuelve SERVFAIL.

Zona alojada privada


servfail.local	NS	ns-xxx.awsdns-xx.co.uk, ns-x.awsdns-xx.com, ns-xxx.awsdns-xx.org, ns-xxx.awsdns-xx.net.
sub.servfail.local	NS	ns-xxx.awsdns-xx.net.

Nota: No puede usar la Consola de administración de AWS para crear registros NS en una zona alojada privada a fin de delegar la responsabilidad de un subdominio. En su lugar, utilice la Interfaz de la línea de comandos de AWS (AWS CLI). Tenga en cuenta que Amazon Route 53 no admite la delegación de subdominios en la zona alojada privada.

Asunto: DNSSEC está mal configurado

DNSSEC puede consistir en uno o más de los siguientes errores de configuración:

DNSSEC se activa en el nivel del registrador de dominios, pero no en el extremo del servicio de alojamiento de DNS.
La firma de DNSSEC se activa en el nivel del registrador de dominios y al final del servicio de alojamiento de DNS. Sin embargo, uno o varios datos esenciales (como el tipo de clave, el algoritmo de firma y la clave pública) no coinciden. O bien, el registro DS es incorrecto.
La cadena de confianza entre la zona principal y la zona secundaria no está establecida. El registro DS de la zona principal no coincide con el hash del KSK público de la zona secundaria.

Para resolver este problema, consulte ¿Cómo puedo identificar y solucionar los problemas de configuración de DNSSEC en Route 53?

Asunto: El encadenamiento de puntos de conexión entrantes y salientes de Route 53 Resolver está mal configurado

El tráfico DNS que está en un bucle provoca este problema. El flujo de tráfico del siguiente patrón provoca el bucle:

Instancia de EC2 - solucionador de DNS de VPC - (regla de reenvío de coincidencias) - punto de conexión de salida - (dirección IP de destino del punto de conexión de entrada) - Punto de conexión de entrada - solucionador de DNS de VPC

Para resolver este problema, consulte Evitar configuraciones de bucles con puntos de conexión de Resolver.

Asunto: Hay problemas de conectividad en los puntos de conexión de salida de Route 53 Resolver

Si hay problemas de conectividad entre los puntos de conexión de salida de Route 53 Resolver y las direcciones IP de destino de la regla de Resolver, AmazonProvidedDNS devuelve SERVFAIL.

Para resolver este problema, siga estos pasos:

Verifique la conectividad de red desde la interfaz de red elástica VPC creada por el punto de conexión de salida hasta las direcciones IP de destino:
1. Consulte las listas de control de acceso de la red (ACL de la red).
2. Asegúrese de que haya una regla de salida del grupo de seguridad de puntos de conexión de salida que permita el tráfico TCP y UDP a través del puerto 53 hacia las direcciones IP de destino.
3. Compruebe las reglas de firewall que estén configuradas en el extremo de la dirección IP de destino.
4. Verifique el enrutamiento entre la interfaz de red elástica del punto de conexión de salida y las direcciones IP de destino.
Por diseño, las interfaces de red elástica de punto de conexión de salida de Route 53 Resolver no tienen direcciones IP públicas. Si el servidor DNS de destino es un DNS público (por ejemplo: 8.8.8.8), compruebe que el punto de conexión de salida esté creado en una subred privada con una entrada en la tabla de enrutamiento para una puerta de enlace NAT.

Asunto: Falta un registro de adherencia en la zona principal

Ejemplo

Dentro de la zona de alojamiento pública del dominio «example.com», hay una delegación de subdominio para «glue.example.com» que apunta a los servidores de nombres del subdominio. Sin embargo, el registro de adherencia no existe en la zona alojada pública «example.com», como se muestra en el siguiente ejemplo:

Zona alojada pública principal para el dominio «example.com»


example.com	NS	ns1.example.com, ns2.example.com, ns3.example.com, ns4.example.com
glue.example.com	NS	ns1.glue.example.com, ns2.glue.example.com, ns3.glue.example.com, ns4.glue.example.com

Zona alojada pública del subdominio para el dominio «glue.example.com»


glue.example.com	NS	ns1.glue.example.com, ns2.glue.example.com, ns3.glue.example.com, ns4.glue.example.com
glue.example.com	UN	1.2.3.4
ns1.glue.example.com	UN	3.3.3.3
ns2.glue.example.com	UN	4.4.4.4
ns3.glue.example.com	UN	5.5.5.5
ns4.glue.example.com	UN	6.6.6.6

Para resolver este problema, cree los registros de adherencia para el subdominio «glue.example.com» en la zona alojada del dominio principal.

Zona alojada pública principal para el dominio «example.com»


example.com	NS	ns1.example.com, ns2.example.com, ns3.example.com, ns4.example.com
glue.example.com	NS	ns1.glue.example.com, ns2.glue.example.com, ns3.glue.example.com, ns4.glue.example.com
glue.example.com	UN	1.2.3.4
ns1.glue.example.com	UN	3.3.3.3
ns2.glue.example.com	UN	4.4.4.4
ns3.glue.example.com	UN	5.5.5.5
ns4.glue.example.com	UN	6.6.6.6

Asunto: Se ha superado la profundidad máxima de recursión

Si el dominio de consulta responde con una profundidad superior a nueve, se supera la profundidad máxima de recursión. La respuesta debe ser una cadena de no más de ocho registros CNAME y un registro A/AAAA final.

Para resolver este problema, reduzca el número de registros CNAME en la respuesta. Para evitar bucles, Route 53 Resolver admite una profundidad máxima de nueve (cadena de ocho CNAME y un registro A/AAAA).

Temas

Redes y entrega de contenido

Etiquetas

Amazon Route 53

Idioma

Español

OFICIAL DE AWSActualizada hace un año

Contenido relevante

¿Cómo puedo solucionar los problemas de respuestas NXDOMAIN al usar Route 53 como servicio de DNS?
OFICIAL DE AWSActualizada hace un año
¿Cómo puedo solucionar los problemas de resolución de DNS de la zona alojada privada de Route 53?
OFICIAL DE AWSActualizada hace un año
¿Cómo puedo migrar mis servicios de DNS de un proveedor de DNS de terceros a Amazon Lightsail?
OFICIAL DE AWSActualizada hace 3 años
¿Cómo puedo solucionar problemas de resolución de DNS con mi zona alojada privada de Route 53?
OFICIAL DE AWSActualizada hace 10 meses