为什么我无法访问使用 Route 53 DNS 服务的网站？

2 分钟阅读

我将我的网站配置为使用 Amazon Route 53 提供 DNS 服务，但我无法从互联网访问我的网站。我如何解决此问题？

解决方法

检查网站的公共托管区资源记录集

验证您的网站的域名在 Route 53 中的公共托管区是否填充了正确的资源记录集。要更新记录集的值，请参阅编辑记录。要了解记录类型特定的值，请参阅您在创建或编辑 Amazon Route 53 记录时指定的值。

**重要信息：**公共托管区必须至少包含您的域的地址记录（A 记录）。如果您所查询的域名没有记录，将返回 NXDOMAIN 错误代码。

验证资源记录集是否可公开访问

有关说明，请参阅如何验证我的 Route 53 公共托管区中的资源记录集是否可以从互联网访问？

检查域名注册商的 NS 记录

检查域注册商处配置的名称服务器 (NS) 是否与域的 Route 53 公共托管区中的四个权威 NS 记录相同。

获取公共托管区的名称服务器。
使用您首选的 WHOIS 实用程序（域注册查找工具）搜索您的网站的域名。
验证 WHOIS 输出中您的域的 NS 是否与 Route 53 公共托管区中的 NS 记录匹配。
如果两个 NS 记录不匹配，且您的域注册商是 Route 53，将您的域在注册商处的名称服务器更新为分配给您的 Route 53 公共托管区的四个权威 NS 记录。
**注意：**对于在第三方注册商处注册的域，请按照注册商的文档更改域的 NS。

**注意：**前一个注册商的 NS 可能要等到 TTL（最长 48 小时）才会从顶级域 (TLD) 过期。在此期间，域的 DNS 查询可能会被同时发送到 Route 53 和前一个注册商的 NS。Route 53 会立即响应来自未缓存前一个注册商 NS 的解析器的域的 DNS 查询。

检查 DNSSEC 配置

如果您的域使用域名系统安全扩展 (DNSSEC)，则必须在域注册商和 DNS 服务提供商处启用 DNSSEC。

如果为域启用了 DNSSEC，但在 DNS 服务提供商处关闭，执行 DNSSEC 验证的 DNS 解析器会向客户端返回 SERVFAIL 错误。在这种情况下，如果客户端使用的是执行 DNSSEC 验证的 DNS 解析器，将无法访问域。

**例如：**如果在域级别启用了 DNSSEC，但未在 DNS 服务提供商级别启用，以下命令将返回 SERVFAIL 错误：

>> dig @8.8.8.8 www.example.com

要绕过 DNSSEC 验证，使用 +cd 标志运行此命令：
**注意：**将 example.com 替换为您的域名。

>> dig @8.8.8.8 example.com +cd

如果绕过验证后可以按预期解析域，通常表明 NS 的 DNSSEC 配置不正确。

**注意：**Route 53 对于域注册和 DNS 服务均支持 DNSSEC。有关更多信息，请参阅为域配置 DNSSEC 和在 Amazon Route 53 中配置 DNSSEC 签名。

检查使用其他 DNS 解析器时是否出现 DNS 解析问题

使用公共解析器（如 Google Resolver(8.8.8.8)、Cloudflare(1.1.1.1) 或 OpenDNS）解析您的域名，以此测试对您的域的解析。如果使用特定解析器时问题仍然存在，原因可能是该解析器出现问题。或者，该解析器可能已经缓存了较早的 DNS 响应。

运行以下命令对解析器执行 DNS 查询：
**注意：**将 example.com 替换为您的域，将 ResolverIP 替换为您在使用的解析器的 IP。

>> dig example.com @<ResolverIP><br>>> nslookup example.com <ResolverIP>

如果解析器之前收到了域的负响应，解析器会缓存此响应。在这种情况下，由于解析器上有负缓存，客户端仍可能收到 NXDOMAIN/NODATA 响应，即使记录已被更正。有关更多信息，请参阅授权开始 (SOA) 记录。

验证您的域的 EPP 状态代码

在您首选的 WHOIS 实用程序（域名注册查找工具）中搜索您网站的域名。然后，确认域未被分配可扩展供应协议 (EPP) 状态代码，这表示 DNS 中存在非活动域。诸如 serverHold、clientHold 或 inactive 等状态代码表示域未在 DNS 中激活，无法解析。

如果 Route 53 是您的域的注册商，请参阅我的域已暂停（状态为 ClientHold）。有关 EPP 状态代码的列表，请参阅 ICANN 网站上的 EPP 状态代码。