Comment résoudre les problèmes de type DNS SERVFAIL ?
Je reçois la réponse « SERVFAIL » lorsque je résous mon domaine dans Amazon Route 53.
Résolution
Problème : Un serveur de noms (NS) tiers bloque l’adresse IP du résolveur public AWS
Si un NS tiers bloque l’adresse IP du résolveur public, alors des réponses SERVFAIL s’affichent lorsque vous résolvez des requêtes liées à votre domaine public. Le problème survient lorsque vous effectuez la résolution d’une ou de plusieurs régions AWS. Toutefois, la résolution de la même requête DNS sur certains résolveurs DNS publics, tels que 8.8.8.8 ou 1.1.1.1, renvoie la réponse NOERROR.
Pour résoudre ce problème, contactez votre fournisseur DNS tiers, afin de créer une liste d’autorisations. Ajoutez à la liste toutes les plages d’adresses IP des résolveurs publics AWS de la région AWS dans laquelle vous recevez les réponses SERVFAIL.
Problème : La configuration d’une délégation de sous-domaines incorrecte s’effectue dans une zone hébergée publique
Exemple
La délégation de sous-domaines de votre zone hébergée publique « exemple.com » est configurée pour « aws.exemple.com ». La configuration de délégation du sous-domaine spécifie des serveurs de noms inaccessibles ou incorrects qui ne font pas autorité pour le sous-domaine.
Zone hébergée publique parent pour le domaine « exemple.com »
| exemple.com | NS | ns1.exemple.com, ns2.exemple.com, ns3.exemple.com, ns4.exemple.com |
| aws.exemple.com | NS | dummy-ns1.com, dummy-ns2.net, dummy-ns3.co.uk, dummy-ns4.org, |
Zone hébergée en sous-domaine pour le domaine « aws.exemple.com »
| aws.exemple.com | NS | ns1-xxx.awsdns-xx.com, ns2-xxx.awsdns-xx.co.uk, ns3-xxx.awsdns-xx.net, ns4-xxx.awsdns-xx.org |
| aws.exemple.com | A | 1.2.3.4 |
Pour résoudre l’erreur précédente, configurez les enregistrements du serveur de noms dans la zone hébergée parent pour qu’ils correspondent aux serveurs de noms de la zone hébergée en sous-domaine. Si vous utilisez des serveurs de noms personnalisés, vérifiez qu’ils sont accessibles.
Problème : Les serveurs de noms répertoriés auprès du bureau d’enregistrement de domaines sont incorrects
Lorsque des serveurs de noms incorrects sont répertoriés auprès du bureau d’enregistrement de domaines, les réponses SERVFAIL proviennent de deux raisons causes :
- Les serveurs de noms configurés auprès du bureau d’enregistrement de domaines ne correspondent pas aux serveurs de noms fournis dans votre zone hébergée publique.
- Les serveurs de noms configurés auprès du bureau d’enregistrement existent, mais ils ne font pas autorité pour le domaine concerné.
Si les serveurs de noms n’existent pas, les résolveurs expirent après avoir lancé des requêtes itératives. Ces délais d’attente entraînent une latence importante du temps de requête. Lorsque les serveurs de noms ne peuvent pas fournir de réponse, le résolveur renvoie la réponse SERVFAIL.
Zone hébergée publique du domaine
| exemple.com | NS | ns1.exemple.com, ns2.exemple.com, ns3.exemple.com, ns4.exemple.com |
Les serveurs de noms sont configurés auprès du bureau d’enregistrement de domaines, comme indiqué dans l’exemple suivant :
whois example.com | grep "Name Server" Name Server: ns1.test.com Name Server: ns2.test.com Name Server: ns3.test.com Name Server: ns4.test.com
Pour résoudre cette erreur, effectuez l’une des opérations suivantes :
- Le serveur de noms en marque blanche n’est pas implémenté : Remplacez le serveur de noms du bureau d’enregistrement par les serveurs de noms attribués à votre zone hébergée publique.
- Le serveur de noms en marque blanche est implémenté : Assurez-vous que les serveurs de noms du bureau d’enregistrement correspondent à vos enregistrements de type glue et aux enregistrements A pour les serveurs de noms en marque blanche situés dans la zone hébergée publique.
Problème : Une délégation de sous-domaines non prise en charge est configurée dans la zone hébergée privée
Si la délégation de sous-domaines n’est pas configurée correctement dans la zone hébergée privée, le résolveur DNS du cloud privé virtuel (VPC) renvoie l’erreur SERVFAIL.
Zone hébergée privée
| servfail.local | NS | ns-xxx.awsdns-xx.co.uk, ns-x.awsdns-xx.com, ns-xxx.awsdns-xx.org, ns-xxx.awsdns-xx.net. |
| sub.servfail.local | NS | ns-xxx.awsdns-xx.net. |
Remarque : Vous ne pouvez pas utiliser la console de gestion AWS pour créer des enregistrements NS dans une zone hébergée privée en vue de déléguer la responsabilité d’un sous-domaine. En revanche, utilisez l’interface de la ligne de commande AWS (AWS CLI). Notez que Amazon Route 53 ne prend pas en charge la délégation de sous-domaines dans une zone hébergée privée.
Problème : DNSSEC mal configuré
Le protocole DNSSEC peut comporter une ou plusieurs des erreurs de configuration suivantes :
- DNSSEC est activé au niveau du bureau d’enregistrement de domaines, mais pas au niveau du service d’hébergement DNS.
- La signature DNSSEC est activée dans le bureau d’enregistrement du domaine et au service d’hébergement DNS. Toutefois, une ou plusieurs informations essentielles (telles que le type de clé, l’algorithme de signature et la clé publique) ne correspondent pas. Sinon, l’enregistrement DS est incorrect.
- La chaîne de confiance entre la zone parent et la zone enfant n’est pas établie. L’enregistrement DS dans la zone parent ne correspond pas au hachage de la KSK publique dans la zone enfant.
Pour résoudre ce problème, consultez Comment identifier et résoudre les problèmes de configuration DNSSEC dans Route 53 ?
Problème : Le chaînage des points de terminaison entrants et sortants de Route 53 Resolver est mal configuré
Le trafic DNS en boucle est à l’origine de ce problème. Le flux de trafic suivant le schéma suivant provoque la boucle :
Instance EC2 - Résolveur DNS VPC - (règle de transfert correspondante) - Point de terminaison sortant - (adresse IP cible du point de terminaison entrant) - Point de terminaison entrant - Résolveur DNS VPC
Pour résoudre ce problème, consultez Éviter les configurations en boucle avec les points de terminaison de Resolver.
Problème : Il y a des problèmes de connexion sur les points de terminaison sortants de Route 53 Resolver
Lorsqu’il y a des problèmes de connexion entre les points de terminaison sortants du résolveur Route 53 et les adresses IP cibles de la règle de Resolver, AmazonProvidedDNS renvoie l’erreur SERVFAIL.
Pour résoudre ce problème, procédez comme suit :
- Vérifiez la connexion réseau entre l’interface réseau élastique VPC créée par le point de terminaison sortant et les adresses IP cibles :
- Vérifiez les listes de contrôle d’accès au réseau (ACL réseau).
- Assurez-vous qu’il existe une règle de sortie du groupe de sécurité des points de terminaison sortants qui autorise le trafic TCP et UDP via le port 53 vers les adresses IP cibles.
- Vérifiez toutes les règles de pare-feu configurées du côté de l’adresse IP cible.
- Vérifiez le routage entre l’interface réseau élastique du point de terminaison sortant et les adresses IP cibles.
- De par leur conception, les interfaces réseau élastiques des points de terminaison sortants de Route 53 Resolver ne possèdent pas d’adresses IP publiques. Si le serveur DNS cible est un DNS public (par exemple : 8.8.8.8), vérifiez que le point de terminaison sortant est créé dans un sous-réseau privé avec une entrée de table de routage pour une passerelle NAT.
Problème : Il manque un enregistrement de type glue dans la zone parent
Exemple
Au sein de la zone hébergée publique du domaine « exemple.com », il existe une délégation de sous-domaines pour « glue.exemple.com » qui pointe vers les serveurs de noms du sous-domaine. Toutefois, l’enregistrement de type glue n’existe pas dans la zone hébergée publique « exemple.com », comme indiqué dans l’exemple suivant :
Zone hébergée publique parent pour le domaine « exemple.com »
| exemple.com | NS | ns1.exemple.com, ns2.exemple.com, ns3.exemple.com, ns4.exemple.com |
| glue.exemple.com | NS | ns1.glue.exemple.com, ns2.glue.exemple.com, ns3.glue.exemple.com, ns4.glue.exemple.com |
Zone hébergée publique de sous-domaines pour le domaine « exemple.com »
| glue.exemple.com | NS | ns1.glue.exemple.com, ns2.glue.exemple.com, ns3.glue.exemple.com, ns4.glue.exemple.com |
| glue.exemple.com | A | 1.2.3.4 |
| ns1.glue.exemple.com | A | 3.3.3.3 |
| ns2.glue.exemple.com | A | 4.4.4.4 |
| ns3.glue.exemple.com | A | 5.5.5.5 |
| ns4.glue.exemple.com | A | 6.6.6.6 |
Pour résoudre ce problème, créez les enregistrements de type glue pour le sous-domaine « glue.exemple.com » dans la zone hébergée du domaine parent.
Zone hébergée publique parent pour le domaine « exemple.com »
| exemple.com | NS | ns1.exemple.com, ns2.exemple.com, ns3.exemple.com, ns4.exemple.com |
| glue.exemple.com | NS | ns1.glue.exemple.com, ns2.glue.exemple.com, ns3.glue.exemple.com, ns4.glue.exemple.com |
| glue.exemple.com | A | 1.2.3.4 |
| ns1.glue.exemple.com | A | 3.3.3.3 |
| ns2.glue.exemple.com | A | 4.4.4.4 |
| ns3.glue.exemple.com | A | 5.5.5.5 |
| ns4.glue.exemple.com | A | 6.6.6.6 |
Problème : La profondeur de récursion maximale est dépassée
Si le domaine de requête répond avec une profondeur supérieure à neuf, la valeur max-recursion-depth est dépassée. La réponse doit être une chaîne comprenant au maximum huit enregistrements CNAME et un enregistrement final A/AAAA.
Pour résoudre ce problème, réduisez le nombre d’enregistrements CNAME dans la réponse. Pour éviter les boucles, Route 53 Resolver prend en charge une profondeur maximale de neuf (chaîne de huit CNAME ainsi qu’un enregistrement A/AAAA).
Contenus pertinents
- demandé il y a 2 mois
- demandé il y a 2 mois
- demandé il y a 7 mois
- AWS OFFICIELA mis à jour il y a 10 mois
- AWS OFFICIELA mis à jour il y a 2 ans
- AWS OFFICIELA mis à jour il y a 3 ans
- AWS OFFICIELA mis à jour il y a un an
