Pourquoi l'enregistrement d'alias qui indique que ma distribution CloudFront n'est pas résolu ?

Brève description

Les raisons suivantes peuvent vous empêcher de résoudre l'enregistrement d'alias qui pointe vers une distribution CloudFront :

• Vous avez mal configuré l'enregistrement d'alias qui correspond à la distribution CloudFront.
• La distribution CloudFront ne figure pas dans le menu déroulant Alias Record de la console Route 53.
• Vous n'avez pas créé l'enregistrement d'alias dans la zone hébergée officielle du domaine.
• L'état du domaine est inactif, serverHold, ou clientHold.
• Un bilan de santé défectueux est associé à l'enregistrement d'alias.
• L'enregistrement n'est pas propagé dans le monde entier.
• Lorsque le protocole DNSSEC est activé pour le domaine, les enregistrements du signataire de la délégation (DS) sont erronés.

Résolution

Vérifiez le type d'enregistrement d'alias

Si vous avez mal configuré l'enregistrement d'alias, l'enregistrement DNS ne peut pas être résolu. Vous devez configurer les types d'enregistrement d'alias CloudFront en tant que Type A au lieu de CNAME.

Pour confirmer le type d'enregistrement d'alias Route 53, procédez comme suit :

1.    Ouvrez la console Route 53.

2.    Dans le volet de navigation, choisissez Zones hébergées.

3.    Sélectionnez la zone hébergée pour votre domaine.

4.    Sélectionnez l'enregistrement d'alias Route 53 pour votre domaine.

5.    Dans Modifier le jeu d'enregistrements, vérifiez que le type d'enregistrement de l'enregistrement d'alias est défini sur A. Si le type d'enregistrement n'est pas défini sur A, mettez à jour l'enregistrement.

6.    Choisissez Enregistrer le jeu d'enregistrements.

Créer l'enregistrement si la distribution CloudFront n'est pas listée dans le menu déroulant de l'enregistrement d'alias

Pour créer un enregistrement d'alias pointant vers votre distribution CloudFront, celle-ci doit inclure un autre nom de domaine correspondant au nom de l'enregistrement. Par exemple, si le nom de l'enregistrement est abc.example.com, la distribution CloudFront doit inclure abc.example.com comme l'un des noms de domaine alternatifs.

1.    Connectez-vous à la console CloudFront.

2.    Accédez à votre distribution CloudFront.

3.    Choisissez Général, Paramètres, Modifier.

4.    Sur la page Paramètres, ajoutez abc.example.com dans Nom de domaine alternatif (CNAME).

Remarque : Si vous ajoutez un enregistrement CNAME qui existe déjà, vous recevez le message d'erreur suivant :

« Un ou plusieurs CNAME que vous avez fournis sont déjà associés à une autre ressource »

Pour résoudre l'erreur précédente, ajoutez l'enregistrement dans la zone hébergée de Route 53. Choisissez ensuite la distribution Alias to CloudFront pour créer l'enregistrement d'alias pour abc.example.com. Le nom de domaine de la distribution CloudFront est répertorié dans le menu déroulant.

Vérifiez les serveurs de noms de domaine configurés auprès du bureau d'enregistrement

Lorsque vous créez une zone hébergée pour votre domaine, Route 53 attribue un ensemble de quatre serveurs de noms à la zone hébergée. La zone hébergée est utilisée pour la résolution de votre domaine uniquement si ses serveurs de noms sont spécifiés par le bureau d'enregistrement du domaine.

Vérifiez que votre bureau d'enregistrement renvoie les quatre mêmes serveurs de noms faisant autorité que ceux affectés à la zone hébergée dans laquelle vous avez créé l'enregistrement d'alias. Pour vérifier les serveurs de noms configurés sur le bureau d'enregistrement, exécutez la commande suivante pour effectuer une recherche whois sur votre domaine :

$ whois domain-name |grep 'Name Server'

Passez en revue les serveurs de noms attribués à votre zone hébergée. Si les serveurs de noms ne correspondent pas aux résultats de la recherche whois, votre zone hébergée n'est pas utilisée pour la résolution des domaines. Vous devez mettre à jour les serveurs de noms auprès du bureau d'enregistrement de domaines.

Si le domaine est enregistré auprès de Route 53, consultez la section Ajouter ou modifier des serveurs de noms et des enregistrements de colle pour un domaine. Si le domaine est enregistré auprès d'un tiers, consultez la documentation du tiers pour savoir comment mettre à jour les serveurs de noms.

Si les serveurs de noms ne sont pas correctement configurés auprès du bureau d'enregistrement AWS, procédez comme suit :

1.    Ouvrez la console Route 53.

2.    Choisissez Domaines enregistrés.

3.    Sélectionnez votre domaine.

4.    Choisissez Ajouter/modifier un serveur de noms.

5.    Remplacez les serveurs de noms actuels par les suivants. Dans les exemples suivants, remplacez les espaces réservés xxx par les valeurs correctes pour vos serveurs de noms.
ns-xxx.awsdns-xx.org.
ns-xxx.awsdns-xx.com.
ns-xxx.awsdns-xx.net.
ns-xxx.awsdns-xx.co.uk.

6 :    Choisissez Enregistrer.

Vérifiez l'état du domaine

Si le statut du domaine est inactif, ServerHold ou clientHold, le domaine ne peut pas être résolu. Vous pouvez exécuter la commande whois lookup pour vérifier l'état du domaine :

$ whois domain-name |grep 'Domain Status'

Vérifiez les contrôles de santé associés à l'enregistrement d'alias

Si un contrôle de santé est associé à l'enregistrement d'alias, vérifiez l'état du bilan de santé. La valeur renvoyée lors de la recherche DNS dépend des politiques de routage et de la configuration du contrôle de santé de l'enregistrement.

Vérifiez la propagation de l'enregistrement

En général, Route 53 propage les mises à jour des enregistrements DNS vers le réseau mondial Route 53 de serveurs DNS autorisés en 60 secondes. Cependant, la mise en cache des résolveurs DNS dépasse le cadre de Route 53. Amazon Route 53 met donc en cache vos ensembles d'enregistrements de ressources en fonction de leur valeur TTL.

Le résolveur local met en cache la valeur d'enregistrement précédente pendant la durée du TTL configuré. Dans certains cas, il peut y avoir une mise en cache négative lorsque les résolveurs mettent en cache les résultats NXDOMAIN provenant de serveurs de noms faisant autorité. Pour vérifier si la mise en cache est négative, envoyez une requête directement au serveur de noms affecté à la zone hébergée de votre domaine afin de vérifier la réponse. Voici un exemple de commande permettant de vérifier la présence d'une mise en cache négative :

$ dig domain-name @ns-2041.awsdns-63.co.uk

Lorsque DNSSEC est activé, vérifiez les enregistrements DS

Un enregistrement DS établit une chaîne de confiance entre les zones hébergées parent et enfant lorsque le protocole DNSSEC est activé. Cet enregistrement contient un condensé des clés publiques de signature (KSK) utilisées pour signer la clé de signature de zone (ZSK) d'une zone DNS et le type d'algorithme de signature. Vous devez ajouter l'enregistrement DS à la zone parent d'une délégation. L'enregistrement DS est une donnée faisant autorité dans la zone parent.

Par exemple, l'enregistrement DS pour « exemple.com » est stocké dans la zone « .com » (la zone parent), et non dans la zone « example.com » (zone enfant).

Fournissez le KSK public et le type d'algorithme de signature à votre bureau d'enregistrement de domaines pour créer un enregistrement DS. Le bureau d'enregistrement de domaines transmet le KSK public et l'algorithme au registre du domaine de premier niveau (TLD).