Route 53 リゾルバーのエンドポイントに関する DNS 解決の問題をトラブルシューティングするにはどうすれば良いですか?

解決策

インバウンドエンドポイントのトラブルシューティング

以下の手順を実行して、ネットワーク上の DNS リゾルバー がインバウンドエンドポイントを使い DNS クエリを Route 53 Resolver に転送できることを確認します。

• オンプレミス DNS サーバーが DNS クエリをドメインのインバウンドエンドポイントに転送する必要がある場合は、条件付き転送ルールを作成します。条件付き転送ルールは、オンプレミスの DNS サーバーで作成する必要があります。この設定は、プライベートホストゾーンとパブリックドメインに適用されます。

• AWS Direct Connect 接続または VPN を介してインバウンドリゾルバーエンドポイント IP アドレスに接続できることを確認します。このステップでは、オンプレミスネットワークからインバウンドリゾルバーエンドポイント IP アドレスにアクセスできるかどうか検証します。次の telnet コマンドを使用して、ポート 53 の受信エンドポイントリゾルバー IP アドレス間の接続をテストします: telnet <inbound endpoint resolver IP address> 53。

• インバウンドリゾルバーエンドポイントに関連付けられているセキュリティグループを確認してください。セキュリティグループは、オンプレミスの DNS サーバーの IP アドレスからの TCP および UDP ポート 53 のトラフィックを許可する必要があります。

• インバウンドエンドポイントが作成されたサブネットで使われているカスタムネットワークアクセスコントロールリスト (ネットワーク ACL) で、以下のものが許可されていることを確認します。

• ポート 53 におけるオンプレミス DNS サーバーからのインバウンド UPD および TCP トラフィック。

• 宛先ポート範囲が 1024 ～ 65535 のオンプレミス DNS サーバーへのアウトバウンド UDP および TCP トラフィック。

• インバウンドエンドポイントリゾルバーが作成されたサブネットに関連付けられているルートテーブルに、オンプレミスネットワークへのルートが含まれていることを確認します。ルートは、ダイレクトコネクト接続または VPN を介して設定できます。このルートにより、インバウンドエンドポイントリゾルバーは DNS クエリ応答を返すことができます。

• ドメイン解決を検証するには、オンプレミスの DNS サーバーまたはローカルホストからドメイン名検索を行います。

• Windows の場合: nslookup <private hosted zone domain name>

• Linux または macOS の場合: dig <private hosted zone domain name>

• 上記のコマンドでレコードが返されない場合は、オンプレミスの DNS サーバーをバイパスできます。次のコマンドを使用して、DNS クエリをインバウンドリゾルバーのエンドポイントの IP アドレスに直接送信します。

• Windows の場合: nslookup <private hosted zone domain name> @ <inbound endpoint IP address>

• Linux または macOS の場合: dig <private hosted zone domain name> @ <inbound endpoint IP address>

• オンプレミスの DNS サーバーが再帰クエリのみを送信することを確認します。Route 53 インバウンドリゾルバーは反復クエリをサポートしません。

• プライベートホストゾーンで解決する場合は、インバウンドリゾルバーエンドポイントとプライベートホストゾーンが正しい VPC に関連付けられていることを確認してください。

アウトバウンドエンドポイントのトラブルシューティング

以下の手順を実行して、Route 53 リゾルバーがアウトバウンドエンドポイントを使いネットワーク上のリゾルバーにクエリを条件付きで転送するようにします。

• Amazon が提供する DNS を使用していることを確認します。VPC 内のインスタンスのカスタム DNS サーバーは、プライベート DNS クエリを、Amazon が提供する VPC の DNS サーバーの IP アドレスに転送する必要があります。Amazon が提供する DNS サーバーの IP アドレスは、VPC ネットワーク範囲のベースの IP アドレスに 2 を加えたものです。

• アウトバウンドリゾルバーエンドポイントに関連付けられているセキュリティグループのイングレスルールを確認します。イングレスルールでは、オンプレミス DNS サーバーの IP アドレスへの UDP および TCP ポート 53 のトラフィックを許可する必要があります。

• アウトバウンドエンドポイントインターフェイスが作成されたサブネットに対応するネットワーク ACL のカスタムルールで、以下が許可されていることを確認します。

• ポート 53 のオンプレミス DNS サーバーへのアウトバウンド UDP および TCP トラフィック。

• エフェメラルポート範囲が 1024 ～ 65535 のオンプレミス DNS サーバーからのインバウンド UDP および TCP トラフィック。

• アウトバウンドリゾルバーエンドポイントのサブネットに関連付けられているルートテーブルに、オンプレミス DNS サーバーへのルートがあることを確認します。ルートは、ダイレクトコネクト接続または VPN を介して設定できます。

• オンプレミスの DNS サーバーがファイアウォールで保護されているかどうか確認します。サーバーがファイアウォールで保護されている場合は、ファイアウォールがアウトバウンドリゾルバーエンドポイントの IP アドレスからのトラフィックを許可していることを確認します。

• 同じドメイン名のトラフィックをネットワークにルーティングするリゾルバールールは、プライベートホストゾーンよりも優先されることに注意してください。

• リゾルバーは、最も具体的なドメイン名を含むルールを使用してアウトバウンド DNS クエリをルーティングすることに注意してください。詳細については、「クエリ内のドメイン名がルールと一致するかどうかをリゾルバーが判断する方法」を参照してください。

• 共有ルールを使用している場合は、共有ルールが VPC に関連付けられていることを確認してください。

• VPC フローログを使用して、リゾルバーが使うネットワークインターフェースのフロー情報をキャプチャします。リゾルバーの名前でフィルタリングして、リゾルバーの Elastic Network Interface のログを表示します。