Route 53 DNS サービスを使用している自分のウェブサイトにアクセスできないのはなぜですか?

所要時間2分
0

DNS サービスとして Amazon Route 53 を使用するためにウェブサイトを設定しましたが、インターネット経由でこのウェブサイトにアクセスできません。この問題をトラブルシューティングするにはどうすればよいですか?

解決方法

ウェブサイトのパブリックホストゾーンのリソースレコードセットを確認する

Route 53 のウェブサイトのドメイン名のパブリックホストゾーンに、適切なリソースレコードセットが入力されていることを確認します。レコードセットの値を更新するには、「レコードの編集」を参照してください。レコードタイプ固有の値については、「Amazon Route 53 レコードの作成時または編集時に指定する値」を参照してください。

重要: パブリックホストゾーンには、少なくともドメインのアドレスレコード (A レコード) が含まれている必要があります。クエリしているドメイン名のレコードが存在しない場合は、NXDOMAIN エラーコードが返されます。

リソースレコードセットがパブリックにアクセス可能であることを確認する

手順については、「Amazon Route 53 パブリックホストゾーンのリソースレコードセットがインターネットからアクセスできることを確認する方法を教えてください」を参照してください。

ドメイン名レジストラの NS レコードを確認する

ドメインレジストラで設定されているネームサーバー (NS) が、ドメインの Route 53 パブリックホストゾーンにある 4 つの権威 NS レコードと同じかどうかを確認します。

  1. パブリックホストゾーンのネームサーバーを取得します
  2. ご希望の WHOIS ユーティリティ (ドメイン登録検索ツール) を使用して、ウェブサイトのドメイン名を検索します。
  3. WHOIS 出力のドメインの NS が、Route 53 パブリックホストゾーンの同じ NS レコードと一致するかどうかを確認します。
  4. NS レコードが一致せず、ドメインレジストラが Route 53 である場合は、レジストラのドメインのネームサーバーを Route 53 パブリックホストゾーンに割り当てられた 4 つの権威 NS レコードに更新します。
    注: サードパーティーのレジストラに登録されているドメインについては、レジストラのドキュメントに従ってドメインの NS を変更します。

注: 前のレジストラの NS の TTL が最上位ドメイン (TLD) から期限切れになるまで時間がかかる場合があります (最長 48 時間)。この期間中、ドメインの DNS クエリが Route 53 と前のレジストラの NS の両方に送信される可能性があります。Route 53 は、前のレジストラの NS をキャッシュしていないリゾルバーからのドメインの DNS クエリに直ちに応答します。

DNSSEC の設定を確認する

ドメインが Domain Name System Security Extensions (DNSSEC) を使用している場合、ドメインレジストラおよび DNS サービスプロバイダーレベルで DNSSEC をオンにする必要があります。

DNSSEC がドメインに対してはオンになっているが、DNS サービスプロバイダーではオフになっている場合、DNSSEC 検証を実行する DNS リゾルバーは「SERVFAIL」エラーをクライアントに返します。この場合、DNSSEC 検証を実行する DNS リゾルバーを使用しているときは、クライアントはドメインにアクセスできません。

例: DNSSEC がドメインレベルではオンだが、DNS サービスプロバイダーレベルではオンではない場合、次のコマンドは「SERVFAIL」エラーを返します。

>> dig @8.8.8.8 www.example.com

DNSSEC 検証をバイパスするには、+cd フラグを使用して次のコマンドを実行します。
: example.com をご使用のドメイン名に置き換えてください。

>> dig @8.8.8.8 example.com +cd

検証をバイパスした後にドメインを想定どおりに解決できる場合、それは通常、NS での DNSSEC の設定ミスを示唆しています。

注: Route 53 は、ドメイン登録と DNS サービスの両方で DNSSEC をサポートしています。詳細については、「ドメインの DNSSEC の設定」と「Amazon Route 53 での DNSSEC 署名の設定」を参照してください。

他の DNS リゾルバーを使用しているときに DNS 解決の問題が発生するかどうかを確認する

ドメインを解決するためにパブリックリゾルバー (Google Resolver(8.8.8.8)、Cloudflare(1.1.1.1)、OpenDNS など) を使用して、ドメインの解決をテストします。特定のリゾルバーを使用しても問題が解決しない場合、その特定のリゾルバーでの問題が原因となっている可能性があります。または、リゾルバーが古い DNS レスポンスをキャッシュした可能性があります。

次のコマンドを実行して、リゾルバーに対して DNS クエリを実行します。
注: example.com を使用しているドメインに置き換え、ResolverIP を使用しているリゾルバーの IP に置き換えます。

>> dig example.com @<ResolverIP><br>>> nslookup example.com <ResolverIP>

リゾルバーがそのドメインについて以前に否定的なレスポンスを受け取っている場合、リゾルバーはこのレスポンスをキャッシュします。この場合、レコードが修正されたとしても、リゾルバーでのネガティブキャッシュのため、クライアントは引き続き NXDOMAIN/NODATA レスポンスを受け取る可能性があります。詳細については、「Start of Authority (SOA) レコード」を参照してください。

ドメインの EPP ステータスコードを確認する

ご希望の WHOIS ユーティリティ (ドメイン登録検索ツール) で、ウェブサイトのドメイン名を検索します。その後、Extensible Provisioning Protocol (EPP) ステータスコード (これは DNS の非アクティブなドメインを示唆します) がドメインに割り当てられていないことを確認します。serverHoldclientHoldinactive などのステータスコードは、ドメインが DNS でアクティブ化されておらず、解決できないことを示します。

Route 53 がドメインのレジストラである場合は、「ドメインが停止しています (ステータスは ClientHold です)」を参照してください。EPP ステータスコードの一覧については、ICANN のウェブサイトの「EPP Status Codes」(EPP ステータスコード) を参照してください。


関連情報

ドメインはインターネットで使用できません

Amazon Route 53 を使用したドメイン名の登録

親ドメインを移行しないで Amazon Route 53 をサブドメインの DNS サービスとして使用する

Amazon Route 53 DNS に関するベストプラクティス