Warum kann ich nicht auf meine Website zugreifen, die Route 53-DNS-Dienste verwendet?

Lesedauer: 5 Minute

Ich habe meine Website so konfiguriert, dass Amazon Route 53 für DNS-Dienste verwendet wird, aber ich kann nicht über das Internet auf meine Website zugreifen. Wie behebe ich dieses Problem?

Behebung

Überprüfen Sie die Ressourcendatensätze für öffentlich gehostete Zonen der Website

Stellen Sie sicher, dass die öffentlich gehostete Zone für den Domain-Namen Ihrer Website in Route 53 mit den entsprechenden Ressourcendatensätzen gefüllt ist. Informationen zum Aktualisieren der Werte für Datensatzgruppen finden Sie unter Datensätze bearbeiten. Datensatztypspezifische Werte finden Sie unter Werte, die Sie angeben, wenn Sie Amazon Route 53-Datensätze erstellen oder bearbeiten.

**Wichtig:**Die öffentlich gehostete Zone muss mindestens einen Adressdatensatz (A-Datensatz) für Ihre Domain enthalten. Wenn für den Domain-Namen, den Sie abfragen, kein Datensatz existiert, wird ein NXDOMAIN-Fehlercode zurückgegeben.

Stellen Sie sicher, dass die Ressourcendatensätze öffentlich zugänglich sind

Anweisungen finden Sie unter Wie überprüfe ich, ob Ressourcendatensätze in einer öffentlich gehosteten Amazon Route 53-Zone über das Internet zugänglich sind?

Überprüfen Sie die NS-Einträge des Domain-Namen-Registrars

Überprüfen Sie, ob es sich bei den beim Domain-Registrar konfigurierten Nameservern (NS) um dieselben vier autoritativen NS-Einträge in der öffentlich gehosteten Route 53-Zone der Domain handelt.

Ruft die Namenserver für eine öffentlich gehostete Zone ab.
Suchen Sie mit Ihrem bevorzugten WHOIS-Programm (Tool zur Suche nach Domain-Registrierungen) nach dem Domain-Namen Ihrer Website.
Überprüfen Sie, ob der NS für Ihre Domain in der WHOIS-Ausgabe mit denselben NS-Einträgen in Ihrer öffentlich gehosteten Route 53-Zone übereinstimmt.
Wenn die NS-Einträge nicht übereinstimmen und Ihr Domain-Registrar Route 53 ist, aktualisieren Sie die Namenserver für Ihre Domain beim Registrar auf die vier autoritativen NS-Einträge, die Ihrer öffentlich gehosteten Route 53-Zone zugewiesen sind.
**Hinweis:**Folgen Sie bei Domains, die bei Drittanbieter-Registraren registriert sind, der Dokumentation Ihres Registrars, um den NS der Domain zu ändern.

**Hinweis:**Es kann bis zur TTL (bis zu 48 Stunden) dauern, bis die NS des vorherigen Registrars für die Top-Level-Domain (TLD) abläuft. Während dieses Zeitraums können DNS-Abfragen für die Domain sowohl an Route 53 als auch an den NS des vorherigen Registrars gesendet werden. Route 53 reagiert sofort auf DNS-Anfragen für die Domain von Resolvern, die den NS des vorherigen Registrars nicht zwischengespeichert haben.

Überprüfen Sie Ihre DNSSEC-Konfiguration

Wenn Ihre Domain Domain Name System Security Extensions (DNSSEC) verwendet, muss DNSSEC auf der Ebene des Domain-Registrars und des DNS-Dienstanbieters aktiviert werden.

Wenn DNSSEC für die Domain aktiviert, aber beim DNS-Dienstanbieter deaktiviert ist, geben DNS-Resolver, die eine DNSSEC-Validierung durchführen, einen SERVFAIL-Fehler an die Clients zurück. In diesem Fall können Kunden nicht auf die Domain zugreifen, wenn sie einen DNS-Resolver verwenden, der eine DNSSEC-Validierung durchführt.

**Zum Beispiel:**Der folgende Befehl gibt einen SERVFAIL-Fehler zurück, wenn DNSSEC auf Domain-Ebene, aber nicht auf Ebene des DNS-Dienstanbieters aktiviert ist:

>> dig @8.8.8.8 www.example.com

Um die DNSSEC-Validierung zu umgehen, führen Sie diesen Befehl mit dem Flag +cd aus:
**Hinweis:**Ersetzen Sie example.com durch Ihren Domain-Namen.

>> dig @8.8.8.8 example.com +cd

Wenn Sie die Domain nach Umgehung der Validierung erwartungsgemäß auflösen können, deutet das in der Regel auf eine DNSSEC-Fehlkonfiguration am NS hin.

**Hinweis:**Route 53 unterstützt DNSSEC sowohl für die Domain-Registrierung als auch für den DNS-Dienst. Weitere Informationen finden Sie unter Konfiguration von DNSSEC für eine Domain und Konfiguration der DNSSEC-Signierung in Amazon Route 53.

Überprüfen Sie, ob das DNS-Auflösungsproblem auftritt, wenn Sie andere DNS-Resolver verwenden

Testen Sie die Auflösung für Ihre Domain mit öffentlichen Resolvern (wie Google Resolver (8.8.8.8), Cloudflare (1.1.1.1) oder OpenDNS), um Ihre Domain aufzulösen. Wenn das Problem bei der Verwendung eines bestimmten Resolvers weiterhin besteht, liegt die Ursache möglicherweise an einem Problem mit diesem bestimmten Resolver. Oder der Resolver hat möglicherweise ältere DNS-Antworten zwischengespeichert.

Führen Sie die folgenden Befehle aus, um eine DNS-Abfrage für einen Resolver durchzuführen:
**Hinweis:**Ersetzen Sie example.com durch Ihre Domain und ResolverIP durch die IP des Resolvers, den Sie verwenden.

>> dig example.com @<ResolverIP><br>>> nslookup example.com <ResolverIP>

Wenn der Resolver zuvor eine negative Antwort für die Domain erhalten hat, speichert der Resolver diese Antwort im Cache. In diesem Fall erhält ein Client möglicherweise immer noch die NXDOMAIN/NODATA-Antwort, da der Resolver negativ zwischengespeichert wurde, auch wenn der Datensatz korrigiert wurde. Weitere Informationen finden Sie unter Der Start of Authority (SOA)-Datensatz.

Verifizieren Sie den EPP-Statuscode für Ihre Domain

Suchen Sie in Ihrem bevorzugten WHOIS-Programm (Tool zur Suche nach Domain-Registrierungen) nach dem Domain-Namen Ihrer Website. Stellen Sie dann sicher, dass der Domain kein EPP-Statuscode (Extensible Provisioning Protocol) zugewiesen ist, der auf eine inaktive Domain im DNS hinweist. Statuscodes wie serverHold, clientHold oder inactive weisen darauf hin, dass die Domain im DNS nicht aktiviert ist und nicht aufgelöst werden kann.

Wenn Route 53 der Registrar für Ihre Domain ist, finden Sie weitere Informationen unter Meine Domain ist gesperrt (Status ist clientHold). Eine Liste der EPP-Statuscodes finden Sie unter EPP-Statuscodes auf der ICANN-Website.