Come faccio a risolvere i problemi relativi alle risposte di NXDOMAIN quando utilizzo Route 53 come servizio DNS?

8 minuti di lettura

Ricevo una risposta NXDOMAIN dal resolver DNS o un errore DNS_PROBE_FINISHED_NXDOMAIN durante la risoluzione dei record Amazon Route 53.

Risoluzione

Determina se il dominio è allo stato attivo o sospeso

1. Esegui una query whois sul dominio.

Nota: assicurati che whois sia installato prima di eseguire i seguenti comandi.

Per Windows: apri un prompt dei comandi di Windows, quindi digita whois -v example.com.
Per Linux: Apri il tuo client SSH. Nel prompt dei comandi, digita whois example.com.

Nota: se il dominio è registrato presso Amazon Registrar, puoi utilizzare lo strumento di ricerca whois di Amazon Registrar.

2. Controlla lo stato del dominio. Se il valore di Stato del dominio è clientHold, il dominio viene sospeso.

Esempio di output whois:

whois example.com
   Domain Name: EXAMPLE.COM
   Registry Domain ID: 87023946\_DOMAIN\_COM-VRSN
   Registrar WHOIS Server: whois.godaddy.com
   Registrar URL: http://www.godaddy.com
   Updated Date: 2020-05-08T10:05:49Z
   Creation Date: 2002-05-28T18:22:16Z
   Registry Expiry Date: 2021-05-28T18:22:16Z
   Registrar: GoDaddy.com, LLC
   Registrar IANA ID: 146
   Registrar Abuse Contact Email: abuse@godaddy.com
   Registrar Abuse Contact Phone: 480-624-2505
   Domain Status: clientDeleteProhibited https://icann.org/epp#clientDeleteProhibited
   Domain Status: clientHold https://icann.org/epp#clientHold  
   Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited
   Domain Status: clientUpdateProhibited https://icann.org/epp#clientUpdateProhibited
   Name Server: ns-1470.awsdns-55.org.
   Name Server: ns-1969.awsdns-54.co.uk.
   Name Server: ns-736.awsdns-28.net.
   Name Server: ns-316.awsdns-39.com.

Per rendere nuovamente disponibile un dominio su Internet, rimuovilo dallo stato sospeso. Di seguito sono riportati i motivi più comuni per cui un dominio potrebbe essere sospeso:

Hai registrato un nuovo dominio, ma non cliccato sul link nell'e-mail di conferma.
Hai disattivato il rinnovo automatico per il dominio e il dominio è scaduto.
Hai cambiato l'indirizzo e-mail del contatto del registrante, ma non hai verificato che il nuovo indirizzo e-mail sia valido.

Per ulteriori informazioni, vedi My domain is suspended (status is ClientHold).

Verifica che i server dei nomi corretti siano configurati nel registrar di domini

1. Nell'output whois, prendi nota dei Server dei nomi che sono autorevoli per il tuo dominio. Vedi il precedente output whois per un esempio.

È inoltre possibile utilizzare l'utilità dig per controllare i server dei nomi configurati.

Esempio di output dig +trace:

dig +trace example.com

; <<>> DiG 9.11.4-P2-RedHat-9.11.4-26.P2.amzn2.2 <<>> +trace example.com
;; global options: +cmd
.                       518400  IN      NS      H.ROOT-SERVERS.NET.
.                       518400  IN      NS      I.ROOT-SERVERS.NET.
.                       518400  IN      NS      J.ROOT-SERVERS.NET.
.                       518400  IN      NS      K.ROOT-SERVERS.NET.
;; Received 239 bytes from 10.0.0.2#53(10.0.0.2) in 0 ms

com.                    172800  IN      NS      a.gtld-servers.net.
com.                    172800  IN      NS      m.gtld-servers.net.
com.                    172800  IN      NS      h.gtld-servers.net.
C41A5766
com.                    86400   IN      RRSIG   DS 8 1 86400 20210329220000 20210316210000 42351 .
;; Received 1174 bytes from 192.112.36.4#53(G.ROOT-SERVERS.NET) in 104 ms

example.com.         172800  IN      NS      ns-1470.awsdns-55.org.  	------>Name servers of interest.
example.com.         172800  IN      NS      ns-1969.awsdns-54.co.uk.
example.com.         172800  IN      NS      ns-736.awsdns-28.net.
example.com.         172800  IN      NS      ns-316.awsdns-39.com.

;; Received 732 bytes from 192.33.14.30#53(b.gtld-servers.net) in 91 ms

example.com.         3600    IN      A       104.200.22.130
example.com.         3600    IN      A       104.200.23.95
example.com.         3600    IN      NS      ns-1470.awsdns-55.org.
example.com.         3600    IN      NS      ns-1969.awsdns-54.co.uk.
example.com.         3600    IN      NS      ns-736.awsdns-28.net.
example.com.         3600    IN      NS      ns-316.awsdns-39.com.

;; Received 127 bytes from 173.201.72.25#53(ns-1470.awsdns-55.org) in 90 ms

2. Apri la console Route 53.

3. Nel riquadro di navigazione, scegli Zone ospitate.

4. Nella pagina Zone ospitate, seleziona il pulsante di opzione (non il nome) per la zona ospitata. Quindi, scegli Visualizza dettagli.

5. Nella pagina dei dettagli della zona ospitata, scegli Dettagli della zona ospitata.

6. Verifica che i Server dei nomi elencati nei dettagli della zona ospitata siano identici ai Server dei nomi nell'output whois o dig +trace.

Importante: se i server dei nomi non sono identici, aggiornali presso il registrar di domini. Per i domini registrati con Route 53, consulta Adding or changing name servers and glue records for a domain. Per i domini registrati presso una terza parte, consulta la documentazione del provider per informazioni su come aggiornare i server dei nomi.

Verifica che il record richiesto esista

Verifica che la zona ospitata per il dominio contenga il record richiesto. Ad esempio, se ricevi una risposta NXDOMAIN quando cerchi di risolvere www.example.com, controlla che nella zona ospitata di example.com esista il record www.example.com. Per istruzioni su come visualizzare un elenco dei record in Route 53, consulta Listing records.

Se hai un record CNAME che punta a un altro nome di dominio, assicurati che il nome canonico esista e sia risolvibile.

Esempio

Il record CNAME example.com è configurato con il valore blog.example.com. In questo caso, verifica che il record blog.example.com esista e sia risolvibile.

Verifica eventuali problemi di delega dei sottodomini

1. Controlla nella zona ospitata padre la presenza di un record Server dei nomi (NS) per il nome di dominio che stai risolvendo. Se esiste un record Server dei nomi per un sottodominio, l'autorità per il dominio e i relativi sottodomini viene delegata a un'altra zona. Ad esempio, se esiste un record Server dei nomi per www.example.com, l'autorità per www viene delegata ai server dei nomi nel record NS. Se la delega è valida, devi creare il record per il dominio nella zona delegata, non nella zona padre di example.com.

2. Se la delega non è valida, elimina il record Server dei nomi per il dominio. Verifica che la zona ospitata principale (example.com) contenga un record per il nome di dominio che stai cercando di risolvere.

3. I resolver che implementano la minimizzazione QNAME includono dettagli minimi in ogni query, come richiesto per quel passaggio del processo di risoluzione. Ciò potrebbe causare un problema con NXDOMAIN in alcuni resolver. Quando configuri più livelli di delega dei sottodomini, segui una delega rigorosa a ogni livello. Per ulteriori informazioni, consulta Routing traffic for additional levels of subdomains.

Determina se il problema di risoluzione DNS esiste solo nel VPC

1. Controlla l'indirizzo IP del resolver configurato sul sistema operativo (OS) del client. Per Linux, controlla il file /etc/resolv.conf. Per Windows, controlla i server DNS nell'output ipconfig/all. Cerca il resolver DNS predefinito per il cloud privato virtuale (VPC CIDR+2). Ad esempio, se il CIDR VPC è 10.0.0.0/8, l'indirizzo IP del resolver DNS è 10.0.0.2. Se non vedi il resolver DNS VPC in /etc/resolv.conf, controlla il resolver DNS personalizzato.

2. Se utilizzi il resolver DNS VPC, controlla le zone ospitate private e le regole del resolver Route 53.

Quando si utilizzano le regole del resolver e le zone ospitate private

Se la regola del resolver e il nome di dominio della zona ospitata privata corrispondono, la regola del resolver ha la precedenza. Per ulteriori informazioni, consulta Considerations when working with a private hosted zone. In questo caso, la query DNS viene inviata all'indirizzo IP di destinazione configurato come destinazione nella regola del resolver.

Quando si utilizza una zona ospitata privata e nessuna regola del resolver

Verifica che sia presente una zona ospitata privata con nomi di dominio corrispondenti associati al VPC. Ad esempio, potresti avere una zona ospitata pubblica e una zona ospitata privata per il dominio associato a un VPC. Si tratta di un DNS con visualizzazione divisa o orizzonte diviso. In questo caso, i client nel VPC non possono risolvere i record creati nella zona ospitata pubblica. Se il record non è presente nella zona ospitata privata, il DNS del VPC non ritorna nella zona ospitata pubblica.

Quando si utilizzano solo regole resolver e nessuna zona ospitata privata

Controlla le regole del resolver Route 53. Se esiste una regola che corrisponde al nome di dominio, la query per il dominio viene indirizzata agli indirizzi IP di destinazione configurati. Ciò significa che la query non viene indirizzata ai resolver pubblici predefiniti.

Determina se il problema è il risultato di una memorizzazione nella cache negativa

La memorizzazione nella cache negativa è il processo di memorizzazione nella cache di una risposta negativa da un server dei nomi autorevole. Una risposta NXDOMAIN è considerata una risposta negativa. Considera il seguente esempio:

Un client effettua una query DNS per neg.example.com e riceve un codice di risposta NXDOMAIN perché il record neg.example.com non esiste.

Questo utente possiede anche example.com, quindi crea un nuovo record per neg.example.com. L'utente continua a ricevere una risposta NXDOMAIN quando gli utenti di altre reti riescono a risolvere con successo il record.

Quando l'utente effettua una query su neg.example.com prima di creare il nuovo record, riceve una risposta NXDOMAIN. Se l'utente ha attivato la memorizzazione nella cache negativa nelle impostazioni del resolver, il resolver memorizza nella cache questa risposta. Dopo aver creato il nuovo record, l'utente esegue nuovamente la query. Il resolver ha ricevuto in precedenza questa query e l'ha memorizzata nella cache, quindi ha restituito la risposta dalla cache.

Non viene restituito alcun record nella risposta di una risposta negativa, quindi non esiste un valore Time to Live (TTL) rispetto a una risposta positiva. In questo caso, il resolver utilizza il valore più basso tra i seguenti:

Il valore TTL minimo del record Start of Authority (SOA).
Il valore TTL del record SOA per memorizzare nella cache la risposta NXDOMAIN.

Per confermare il problema, invia una richiesta direttamente al server dei nomi per vedere se ricevi una risposta. Ad esempio:

dig www.example.com @ns-1470.awsdns-55.org

Argomenti

Networking e distribuzione di contenuti

Tag

Amazon Route 53

Lingua

Italiano

AWS UFFICIALEAggiornata un anno fa

Contenuto pertinente

Perché non riesco ad accedere al mio sito web che utilizza i servizi DNS di Route 53?
AWS UFFICIALEAggiornata 2 anni fa
Come posso risolvere i problemi di risoluzione del DNS con gli endpoint Route 53 Resolver?
AWS UFFICIALEAggiornata un anno fa
Come posso risolvere i problemi di risoluzione del DNS della zona ospitata privata di Route 53?
AWS UFFICIALEAggiornata un anno fa
Come posso risolvere i problemi di risoluzione del DNS della zona ospitata privata di Route 53?
AWS UFFICIALEAggiornata 10 mesi fa