Route 53 DNS 서비스를 사용하는 웹 사이트에 액세스할 수 없는 이유는 무엇인가요?

4분 분량

DNS 서비스에 Amazon Route 53을 사용하도록 웹 사이트를 구성했지만 인터넷에서 웹 사이트에 액세스할 수 없습니다. 이 문제를 해결하려면 어떻게 해야 하나요?

해결 방법

웹 사이트의 퍼블릭 호스팅 영역 리소스 레코드 세트 확인

Route 53에서 웹 사이트의 도메인 이름에 대한 퍼블릭 호스팅 영역이 적절한 리소스 레코드 세트로 채워져 있는지 확인합니다. 레코드 집합의 값을 업데이트하려면 레코드 편집을 참조하세요. 레코드 유형별 값은 Amazon Route 53 레코드를 생성하거나 편집할 때 지정하는 값을 참조하세요.

중요: 퍼블릭 호스팅 영역에는 최소한 도메인에 대한 주소 레코드(A 레코드)가 포함되어 있어야 합니다. 쿼리하는 도메인 이름에 대한 레코드가 없으면 NXDOMAIN 오류 코드가 반환됩니다.

리소스 레코드 집합에 공개적으로 액세스할 수 있는지 확인

지침을 보려면 Amazon Route 53 퍼블릭 호스팅 영역의 리소스 레코드 세트가 인터넷에서 액세스할 수 있는지 확인하려면 어떻게 해야 하나요?를 참조하세요.

도메인 이름 등록기관의 NS 레코드 확인

도메인 등록기관에 구성된 이름 서버(NS)가 도메인의 Route 53 퍼블릭 호스팅 영역에 있는 4개의 신뢰할 수 있는 NS 레코드와 동일한지 확인합니다.

퍼블릭 호스팅 영역의 이름 서버를 가져옵니다.
선호하는 WHOIS 유틸리티(도메인 등록 조회 도구)를 사용하여 웹사이트의 도메인 이름을 검색합니다.
WHOIS 출력의 도메인에 대한 NS가 Route 53 퍼블릭 호스팅 영역의 동일한 NS 레코드와 일치하는지 확인합니다.
NS 레코드가 일치하지 않고 도메인 등록기관이 Route 53인 경우, 등록기관의 도메인 이름 서버를 Route 53 퍼블릭 호스팅 영역에 할당된 4개의 신뢰할 수 있는 NS 레코드로 업데이트합니다.
참고: 타사 등록기관에 등록된 도메인의 경우 등록기관의 설명서에 따라 도메인의 NS를 변경합니다.

참고: 이전 등록기관의 NS가 최상위 도메인(TLD)에서 만료되는 데 TTL(최대 48시간)까지 걸릴 수 있습니다. 이 기간 동안 도메인에 대한 DNS 쿼리가 Route 53과 이전 등록기관의 NS 모두로 전송될 수 있습니다. Route 53은 이전 등록기관의 NS를 캐시하지 않은 해석기의 도메인에 대한 DNS 쿼리에 즉시 응답합니다.

DNSSEC 구성 확인

도메인에서 DNSSEC(Domain Name System Security Extensions)를 사용하는 경우 도메인 등록기관 및 DNS 서비스 공급자 수준에서 DNSSEC를 설정해야 합니다.

도메인에 대해 DNSSEC가 켜져 있지만 DNS 서비스 공급자에서 꺼져 있는 경우 DNSSEC 검증을 수행하는 DNS 해석기는 클라이언트에 SERVFAIL 오류를 반환합니다. 이 경우 클라이언트는 DNSSEC 검증을 수행하는 DNS 해석기를 사용하는 경우 도메인에 액세스할 수 없습니다.

예: 다음 명령은 DNSSEC가 도메인 수준에서 켜져 있지만 DNS 서비스 공급자 수준에서는 켜져 있지 않은 경우 SERVFAIL 오류를 반환합니다.

>> dig @8.8.8.8 www.example.com

DNSSEC 유효성 검사를 우회하려면 +cd 플래그를 사용하여 다음 명령을 실행합니다.
참고: example.com을 사용자의 도메인 이름으로 바꿉니다.

>> dig @8.8.8.8 example.com +cd

검증을 우회한 후 예상대로 도메인을 확인할 수 있는 경우 일반적으로 NS에서 DNSSEC가 잘못 구성되었음을 나타냅니다.

참고: Route 53은 도메인 등록과 DNS 서비스 모두에 대해 DNSSEC를 지원합니다. 자세한 내용을 보려면 도메인에 대한 DNSSEC 구성 및 Amazon Route 53에서 DNSSEC 서명 구성을 참조하세요.

다른 DNS 해석기를 사용할 때 DNS 확인 문제가 발생하는지 확인

퍼블릭 해석기(예: Google Resolver(8.8.8.8), Cloudflare(1.1.1.1) 또는 OpenDNS)를 사용하여 도메인에 대한 확인을 테스트하여 도메인을 확인합니다. 특정 해석기를 사용할 때 문제가 지속되면 해당 특정 해석기의 문제일 수 있습니다. 또는 해석기가 이전 DNS 응답을 캐시했을 수 있습니다.

다음 명령을 실행하여 해석기에 대해 DNS 쿼리를 수행합니다.
참고: example.com을 사용자의 도메인으로 바꾸고 ResolverIP를 사용 중인 해석기의 IP로 바꿉니다.

>> dig example.com @<ResolverIP><br>>> nslookup example.com <ResolverIP>

해석기가 이전에 도메인에 대해 부정적인 응답을 받은 경우 해석기는 이 응답을 캐시합니다. 이 경우 레코드가 수정된 경우에도 해석기의 부정 캐싱으로 인해 클라이언트가 NXDOMAIN/NODATA 응답을 계속 받을 수 있습니다. 자세한 정보를 보려면 SOA(권한 시작) 레코드의 내용을 참조하세요.

도메인의 EPP 상태 코드 확인

선호하는 WHOIS 유틸리티(도메인 등록 조회 도구)에서 웹사이트의 도메인 이름을 검색합니다. 그런 다음 도메인에 DNS의 비활성 도메인을 나타내는 EPP(Extensible Provisioning Protocol) 상태 코드가 할당되지 않았는지 확인합니다. serverHold, clientHold 또는 inactive와 같은 상태 코드는 도메인이 DNS에서 활성화되지 않았으며 확인할 수 없음을 나타냅니다.

Route 53이 도메인의 등록기관인 경우 내 도메인이 일시 중지됨(상태: ClientHold)을 참조하세요. EPP 상태 코드 목록은 ICANN 웹 사이트에서 EPP 상태 코드를 참조하세요.