Pourquoi ne puis-je pas accéder à mon site Web qui utilise les services DNS Route 53 ?

Lecture de 6 minute(s)

J’ai configuré mon site Web de façon à utiliser les services DNS Amazon Route 53, mais je ne peux pas accéder à mon site Web depuis Internet. Comment résoudre ce problème ?

Résolution

Vérifier les jeux d’enregistrements de ressources de la zone hébergée publique du site Web

Vérifiez que la zone hébergée publique correspondant au nom de domaine de votre site Web dans Route 53 comporte les jeux d’enregistrements de ressources appropriés. Pour mettre à jour les valeurs des jeux d’enregistrements, consultez la page Modification des enregistrements. Pour connaître les valeurs propres à chaque type d’enregistrement, consultez la page Valeurs à spécifier lorsque vous créez ou modifiez des enregistrements Amazon Route 53.

Important : au minimum, la zone hébergée publique doit contenir un enregistrement d’adresse (enregistrement A) pour votre domaine. S’il n’existe aucun enregistrement pour le nom de domaine que vous interrogez, un code d’erreur NXDOMAIN sera renvoyé.

Vérifier que les jeux d’enregistrements de ressources sont accessibles publiquement

Pour obtenir des instructions, consultez la page Comment vérifier si les jeux d’enregistrements de ressources d’une zone hébergée publique Amazon Route 53 sont accessibles à partir d’Internet ?

Vérifier les enregistrements de serveurs de noms du bureau d’enregistrement des noms de domaine

Vérifiez si les serveurs de noms (NS) configurés au niveau du bureau d’enregistrement de domaines sont les quatre mêmes enregistrements de NS faisant autorité dans la zone hébergée publique Route 53 du domaine.

Obtenez les serveurs de noms d’une zone hébergée publique.
Recherchez le nom de domaine de votre site Web à l’aide de l’utilitaire WHOIS de votre choix (outil de recherche d’enregistrements de domaines).
Vérifiez si le NS de votre domaine dans la sortie WHOIS correspond aux enregistrements de NS de votre zone hébergée publique dans Route 53.
Si les enregistrements NS ne sont pas identiques et que votre bureau d’enregistrement de domaines est Route 53, vous devez mettre à jour les serveurs de noms de votre domaine auprès du bureau d’enregistrement. Pour ce faire, utilisez les quatre enregistrements de NS faisant autorité qui sont attribués à votre zone hébergée publique dans Route 53.
Remarque : pour les domaines enregistrés auprès de bureaux d’enregistrement tiers, suivez la documentation de votre bureau d’enregistrement pour modifier le NS du domaine.

Remarque : il peut s’écouler jusqu’à 48 heures (soit la durée de vie ou TTL) pour que le NS du bureau d’enregistrement précédent expire à partir du domaine de premier niveau (TLD). Pendant cette période, les requêtes DNS du domaine peuvent être envoyées à la fois à Route 53 et au NS du bureau d’enregistrement précédent. Route 53 répond immédiatement aux requêtes DNS du domaine provenant de résolveurs qui n’ont pas mis en cache le NS du bureau d’enregistrement précédent.

Vérifier votre configuration DNSSEC

Si votre domaine utilise les extensions de sécurité du système de noms de domaine (DNSSEC), cette option doit être activée au niveau du bureau d’enregistrement de domaines et du fournisseur de services DNS.

Si l’option DNSSEC est activée pour le domaine mais désactivée chez le fournisseur de services DNS, les résolveurs DNS qui effectuent la validation DNSSEC renvoient une erreur SERVFAIL aux clients. Dans ce cas, les clients ne peuvent pas accéder au domaine s’ils utilisent un résolveur DNS qui effectue une validation DNSSEC.

Par exemple : la commande suivante renvoie une erreur SERVFAIL si l’option DNSSEC est activée au niveau du domaine, mais pas au niveau du fournisseur de services DNS :

>> dig @8.8.8.8 www.example.com

Pour contourner la validation DNSSEC, exécutez cette commande à l’aide de l’indicateur +cd :
Remarque : remplacez example.com par votre nom de domaine.

>> dig @8.8.8.8 example.com +cd

Si le domaine peut être résolu comme prévu une fois la validation contournée, cela indique généralement une mauvaise configuration DNSSEC au niveau du NS.

Remarque : Route 53 prend en charge le protocole DNSSEC à la fois pour l’enregistrement de domaine et pour le service DNS. Pour en savoir plus, consultez les pages Configuration du protocole DNSSEC pour un domaine et Configuration de la signature DNSSEC dans Amazon Route 53.

Vérifier si le problème de résolution DNS se produit lors de l’utilisation d’autres résolveurs DNS

Testez la résolution de votre domaine à l’aide de résolveurs publics (tels que Google Resolver (8.8.8.8), Cloudflare (1.1.1.1) ou OpenDNS) pour résoudre votre domaine. Si le problème persiste lors de l’utilisation d’un résolveur spécifique, il est possible que le problème lui soit lié. Le résolveur peut également avoir mis en cache d’anciennes réponses DNS.

Exécutez les commandes suivantes pour effectuer une requête DNS sur un résolveur :
Remarque : remplacez example.com par votre domaine et ResolverIP par l’adresse IP du résolveur que vous utilisez.

>> dig example.com @<ResolverIP><br>>> nslookup example.com <ResolverIP>

Si le résolveur a déjà reçu une réponse négative pour le domaine, il met cette réponse en cache. Dans ce cas, un client peut toujours recevoir la réponse NXDOMAIN/NODATA en raison d’une mise en cache négative au niveau du résolveur, ce même si l’enregistrement a été corrigé. Pour en savoir plus, consultez la page Enregistrement SOA.

Vérifier le code d’état EPP de votre domaine

Recherchez le nom de domaine de votre site Web dans l’utilitaire WHOIS de votre choix (outil de recherche d’enregistrements de domaines). Vérifiez ensuite qu’aucun code d’état EPP (Extensible Provisioning Protocol) n’est attribué au domaine, ce qui indique un domaine inactif dans le DNS. Les codes d’état tels que serverHold, clientHold ou inactive indiquent que le domaine n’est pas activé dans le DNS et ne peut pas être résolu.

Si Route 53 est le bureau d’enregistrement de votre domaine, consultez la page Mon domaine est suspendu (l’état est ClientHold). Pour obtenir la liste des codes d’état EPP, consultez la page sur les Codes d’état EPP du site Web ICANN.