跳至內容
使用 AWS re:Post 即表示您同意 AWS re:Post 使用條款
AWS re:Postre:Post
關於 re:Post

使用 Route 53 作為 DNS 服務時,如何對 NXDOMAIN 回應進行疑難排解?

3 分的閱讀內容
0

當我嘗試解析 Amazon Route 53 中的記錄時,我收到了來自 DNS 解析器的 NXDOMAIN (不存在的網域) 回應或 DNS_PROBE_FINISHED_NXDOMAIN 錯誤。

簡短描述

當 DNS 解析器找不到要求的網域名稱時,您可能會收到 NXDOMAIN 回應或 DNS_PROBE_FINISHED_NXDOMAIN 錯誤。這可能是由於網域暫停、名稱伺服器設定錯誤或缺少 DNS 記錄造成的。

解決方法

檢查網域是否處於作用中狀態或已暫停狀態

若要檢查網域是否處於作用中狀態或暫停狀態,請完成下列步驟。

  1. 針對該網域執行 WHOIS 查詢。
    在執行以下命令之前,請確定已安裝 WHOIS
    **若是 Windows:**開啟 Windows 命令提示字元,然後輸入 whois -v example.com
    對於 Linux:開啟您的 SSH 用戶端。在命令提示字元中,輸入 whois example.com
    如果網域已透過 Amazon Registrar 註冊,則您可以使用 Amazon Registrar WHOIS 查詢工具
  2. 檢查網域的狀態。如果網域狀態的值為 clientHold,則表示該網域已暫停。

網域暫停的常見原因:

  • 網域註冊後,確認電子郵件未經驗證。
  • 自動續約已關閉,且網域已過期。
  • 註冊人的電子郵件地址已變更,但從未進行驗證。

如需詳細資訊,請參閱我的網域已暫停 (狀態為 ClientHold)

WHOIS 輸出範例:

whois example.com
   Domain Name: EXAMPLE.COM
   Registry Domain ID: 87023946_DOMAIN_COM-VRSN
   Registrar WHOIS Server: whois.godaddy.com
   Registrar URL: http://www.godaddy.com
   Updated Date: 2020-05-08T10:05:49Z
   Creation Date: 2002-05-28T18:22:16Z
   Registry Expiry Date: 2021-05-28T18:22:16Z
   Registrar: GoDaddy.com, LLC
   Registrar IANA ID: 146
   Registrar Abuse Contact Email: abuse@godaddy.com
   Registrar Abuse Contact Phone: 480-624-2505
   Domain Status: clientDeleteProhibited https://icann.org/epp#clientDeleteProhibited
   Domain Status: clientHold https://icann.org/epp#clientHold  
   Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited
   Domain Status: clientUpdateProhibited https://icann.org/epp#clientUpdateProhibited
   Name Server: ns-1470.awsdns-55.org.
   Name Server: ns-1969.awsdns-54.co.uk.
   Name Server: ns-736.awsdns-28.net.
   Name Server: ns-316.awsdns-39.com.

確認設定了正確的名稱伺服器

您可以使用 WHOIS 輸出或 dig +trace 命令查看授權名稱伺服器。

若要確認 Route 53 中的託管區域設定,請完成以下步驟:

  1. 開啟 Amazon Route 53 console (Amazon Route 53 主控台)。
  2. 在導覽窗格中,選擇 Hosted zones (託管區域)。
  3. 選擇所需的託管區域,然後選擇 View details (查看詳細資訊)。
  4. 選擇 Hosted zone details (託管區域詳細資訊)。
  5. 將列出的名稱伺服器與 WHOIS 或 dig +trace 輸出中的名稱伺服器進行比較。

**重要:**如果名稱伺服器不同,請在您的網域註冊機構進行更新。

dig +trace 輸出範例:

dig +trace example.com  
; <<>> DiG 9.11.4-P2-RedHat-9.11.4-26.P2.amzn2.2 <<>> +trace example.com
;; global options: +cmd
.                       518400  IN      NS      H.ROOT-SERVERS.NET.
.                       518400  IN      NS      I.ROOT-SERVERS.NET.
.                       518400  IN      NS      J.ROOT-SERVERS.NET.
.                       518400  IN      NS      K.ROOT-SERVERS.NET.
;; Received 239 bytes from 10.0.0.2#53(10.0.0.2) in 0 ms

com.                    172800  IN      NS      a.gtld-servers.net.
com.                    172800  IN      NS      m.gtld-servers.net.
com.                    172800  IN      NS      h.gtld-servers.net.
C41A5766
com.                    86400   IN      RRSIG   DS 8 1 86400 20210329220000 20210316210000 42351 .
;; Received 1174 bytes from 192.112.36.4#53(G.ROOT-SERVERS.NET) in 104 ms

example.com.         172800  IN      NS      ns-1470.awsdns-55.org.  	------>Name servers of interest.
example.com.         172800  IN      NS      ns-1969.awsdns-54.co.uk.
example.com.         172800  IN      NS      ns-736.awsdns-28.net.
example.com.         172800  IN      NS      ns-316.awsdns-39.com.

;; Received 732 bytes from 192.33.14.30#53(b.gtld-servers.net) in 91 ms

example.com.         3600    IN      A       104.200.22.130
example.com.         3600    IN      A       104.200.23.95
example.com.         3600    IN      NS      ns-1470.awsdns-55.org.
example.com.         3600    IN      NS      ns-1969.awsdns-54.co.uk.
example.com.         3600    IN      NS      ns-736.awsdns-28.net.
example.com.         3600    IN      NS      ns-316.awsdns-39.com.

;; Received 127 bytes from 173.201.72.25#53(ns-1470.awsdns-55.org) in 90 ms

確認請求的記錄存在

在託管區域中,檢查請求的記錄是否存在。

如果您使用的是 CNAME,請確認目標網域 (正規名稱) 也存在且可解析。

例如,如果 example.com CNAME 記錄設定了 blog.example.com 的值,請確認記錄 blog.example.com 是否存在且可解析。

檢查子網域委派問題

若要檢查子網域委派問題,請考慮以下動作:

  • 在父託管區域中尋找該網域的 NS 記錄。例如,如果 www.example.com 有 NS 記錄,則該記錄已委派。
  • 如果委派有效,請將記錄新增至委派區域。
  • 如果委派無效,請刪除 NS 記錄並將記錄新增至父區域。

注意: DNS 解析器中的 QNAME 最小化可能會導致深度子網域委派出現 NXDOMAIN 錯誤。如需詳細資訊,請參閱 Route 53 中的懸空委派記錄保護

判斷 DNS 解析問題是否僅存在於 VPC 中

檢查您的作業系統上是否設定了 DNS 解析器。

  • 若是 Linux: 開啟 /etc/resolv.conf 檔案。
  • 若是 Windows: 在命令提示字元中執行以下命令:ipconfig /all

尋找 DNS 解析器位址。若虛擬私有雲端 (VPC) CIDR 為 10.0.0.0/8,則解析器應為 10.0.0.2

如果您使用 Amazon Virtual Private Cloud (Amazon VPC) 解析器,請查看以下情境:

情境 A: 您同時擁有解析器規則和私有託管區域

  • 解析器規則具有優先權。
  • DNS 查詢會轉送到解析器規則中的 IP 位址。

如需詳細資訊,請參閱使用私有託管區域

情境 B: 您只有一個私有託管區域

  • VPC 內的用戶端無法解析公有區域中的記錄。
  • 此組態稱為水平分割 DNS

情境 C: 您只有解析器規則

  • DNS 查詢轉送至已設定的 IP 位址。
  • 在這種情況下,不會使用預設公有解析器。

檢查問題是否由負面快取導致

如果負面快取處於作用中狀態,則解析器可能會快取 NXDOMAIN 回應。
情境範例:

  • 您查詢 neg.example.com,但它不存在。
  • 解析器快取 NXDOMAIN 結果。
  • 您稍後建立記錄,但解析器仍傳回 NXDOMAIN。

解析器使用以下內容來決定快取負面回應的時間:

  • SOA 記錄中的最小 TTL
  • SOA 記錄的 TTL (以較低者為準)

若要確認負面快取是否處於作用中狀態,請直接向名稱伺服器傳送查詢以取得回應,例如下列範例:

dig www.example.com @ns-1470.awsdns-55.org
主題
Networking & Content Delivery
標籤
Amazon Route 53
語言
中文 (繁體)
AWS 官方已更新 1 年前
沒有評論

相關內容