Route 53 DNS サービスを使用するウェブサイトにアクセスできないのはなぜですか?

解決策

Web サイトのパブリックホストゾーンのリソースレコードセットを確する

Route 53 のウェブサイトのドメイン名のパブリックホストゾーンに適切なリソースレコードセットが入力されていることを確認します。レコードセットの値を更新するには、「Editing Records」を参照してください。レコードタイプ固有の値については、「Values that you specify when you create or edit Amazon Route 53 records」を参照してください。

**重要:**少なくとも、パブリックホストゾーンにはドメインのアドレスレコード (A レコード) が含まれている必要があります。クエリしているドメイン名のレコードが存在しない場合は、NXDOMAIN エラーコードが返されます。

リソースレコードセットが公開されていることを確認する

手順については、「Amazon Route 53 パブリックホストゾーンのリソースレコードセットにインターネットからアクセスできることを確認する方法を教えてください」を参照してください。

ドメイン名レジストラの NS レコードを確認する

ドメインレジストラで設定されたネームサーバー (NS) が、ドメインの Route 53 パブリックホストゾーン内の 4 つの権限のある NS レコードと同じかどうかを確認します。

1. パブリックホストゾーンのネームサーバーを取得します。
2. 任意の WHOIS ユーティリティ (ドメイン登録検索ツール) を使用して、ウェブサイトのドメイン名を検索します。
3. WHOIS 出力のドメインの NS が Route 53 パブリックホストゾーンの同じ NS レコードと一致するかどうかを確認します。
4. NS レコードが一致せず、ドメインレジストラが Route 53 の場合は、Route 53 パブリックホストゾーンに割り当てられた 4 つの権限のある NS レコードに、レジストラにあるドメインのネームサーバーを更新します。
   **注:**サードパーティのレジストラに登録されているドメインの場合は、レジストラのドキュメントに従ってドメインの NS を変更してください。

**注:**以前のレジストラの NS が最上位ドメイン (TLD) から期限切れになるまで最大 48 時間の TTL がかかることがあります。この期間中、ドメインの DNS クエリが Route 53 と以前のレジストラの NS の両方に送信される可能性があります。Route 53 は、以前のレジストラの NS をキャッシュしていないリゾルバーからのドメインの DNS クエリに直ちに応答します。

DNSSEC の設定を確認する

ドメインでドメインネームシステムセキュリティ拡張 (DNSSEC) を使用している場合は、ドメインレジストラおよび DNS サービスプロバイダーレベルで DNSSEC を有効にする必要があります。

ドメインの DNSSEC がオンになっているものの、DNS サービスプロバイダーでオフになっている場合、DNSSEC 検証を実行するDNSリゾルバーはクライアントに SERVFAIL エラーを返します。この場合、クライアントが DNSSEC 検証を行う DNS リゾルバーを使用していると、クライアントはドメインにアクセスできません。

**例:**次のコマンドは、DNSSEC がドメインレベルで有効になっているものの、DNS サービスプロバイダーレベルでは有効になっていない場合に、SERVFAIL エラーを返します:

>> dig @8.8.8.8 www.example.com

DNSSEC 検証をバイパスするには、+cd フラグを使用して次のコマンドを実行します。
**注:**example.com は、ご自身のドメイン名に置き換えてください。

>> dig @8.8.8.8 example.com +cd

検証をバイパスした後でドメインを想定どおりに解決できた場合、通常は NS で DNSSEC の設定が間違っていることが考えられます。

**注:**Route 53 は、ドメイン登録と DNS サービスの両方で DNSSEC をサポートしています。詳細については、「Configuring DNSSEC for a domain」および「Configuring DNSSEC signing in Amazon Route 53」を参照してください。

他のDNSリゾルバーを使用しているときにDNS解決の問題が発生しないかどうかを確認する

ドメインの解決にあたって、パブリックリゾルバー (Googleリゾルバー (8.8.8.8)、Cloudflare (1.1.1.1)、OpenDNSなど) を使用してドメインの解決をテストします。特定のリゾルバーを使用しても問題が解決しない場合は、その特定のリゾルバーが問題の原因である可能性があります。または、リゾルバーが古い DNS 応答をキャッシュしている可能性があります。

次のコマンドを実行して、リゾルバーに対して DNS クエリを実行します:
**注:**example.com はご自身のドメインに、ResolverIP は使用しているリゾルバーの IP に置き換えてください。

>> dig example.com @<ResolverIP><br>>> nslookup example.com <ResolverIP>

リゾルバーが以前にドメインに対して否定的な応答を受け取った場合、リゾルバーはこの応答をキャッシュします。この場合、レコードが修正されたとしても、リゾルバーでのネガティブキャッシュのため、クライアントは引き続き NXDOMAIN/NODATA 応答を受け取る可能性があります。詳細については、「The start of authority (SOA) record」を参照してください。

ドメインの EPP ステータスコードを確認する

任意の WHOIS ユーティリティ (ドメイン登録検索ツール) でウェブサイトのドメイン名を検索します。次に、ドメインに DNS 内の非アクティブなドメインを示す拡張プロビジョニングプロトコル (EPP) ステータスコードが割り当てられていないことを確認します。serverHold、clientHold、inactive などのステータスコードは、ドメインが DNS でアクティブ化されておらず、解決できないことを示します。

Route 53 がドメインのレジストラである場合は、「ドメインが停止 (ステータスは ClientHold) しています」を参照してください。EPPステータスコードのリストについては、ICANN Webサイトの「EPP Status Codes」を参照してください。

---

関連情報

ドメインをインターネットで利用できません

Registering domain names using Amazon Route 53

Using Amazon Route 53 as the DNS service for subdomains without migrating the parent domain

Best practices for Amazon Route 53 DNS