¿Por qué no se resuelve el registro de alias que apunta a mi distribución de CloudFront?

Breve descripción

Los siguientes motivos pueden impedir que resuelva el registro de alias que apunta a una distribución de CloudFront:

• El registro de alias que corresponde a la distribución de CloudFront está mal configurado.
• La distribución de CloudFront no aparece en el menú desplegable Registro de alias de la consola de Route 53.
• No se ha creado el registro de alias en la zona alojada autorizada del dominio.
• El estado del dominio es inactive, serverHold o clientHold.
• Hay una comprobación de estado incorrecta asociada al registro de alias.
• El registro no se propaga a nivel mundial.
• Cuando DNSSEC está activado en el dominio, los registros de Delegation Signer (DS) son incorrectos.

Resolución

Comprobación del tipo de registro del alias

Si ha configurado mal el registro de alias, el registro DNS no se puede resolver. Debe configurar los tipos de registro de alias de CloudFront como Type A en lugar de CNAME.

Para confirmar el tipo de registro del alias de Route 53, complete los siguientes pasos:

1.    Abra la consola de Route 53.

2.    En el panel de navegación, elija Zonas alojadas.

3.    Seleccione la zona alojada de su dominio.

4.    Seleccione el registro de alias de Route 53 de su dominio.

5.    En Editar el conjunto de registros, confirme que el Tipo de registro del Registro de alias esté configurado como A. Si el tipo de registro no está configurado como A, actualice el registro.

6.    Elija Guardar el conjunto de registros.

Creación del registro si la distribución de CloudFront no aparece en el menú desplegable de Registro de alias

Para crear un registro de alias que apunte a su distribución de CloudFront, esta debe incluir un nombre de dominio alternativo que coincida con el nombre del registro. Por ejemplo, si el nombre del registro es abc.example.com, la distribución de CloudFront debe incluir abc.example.com como uno de los nombres de dominio alternativos.

1.    Inicie sesión en la consola de CloudFront.

2.    Navegue hasta su distribución de CloudFront.

3.    Elija General, Configuración, Editar.

4.    En la página Configuración, añada abc.example.com como nombre de dominio alternativo (CNAME).

Nota: Si añade un registro CNAME que ya existe, recibirá el siguiente error:

«One or more of the CNAMEs you provided are already associated with a different resource»

Para resolver el error anterior, añada el registro a la zona alojada de Route 53. A continuación, elija Alias de la distribución de CloudFront para crear el registro de alias para abc.example.com. El nombre del dominio de la distribución de CloudFront aparece en el menú desplegable.

Comprobación de los servidores de nombres de dominio que están configurados en el registrador

Al crear una zona alojada para su dominio, Route 53 asigna un conjunto de cuatro servidores de nombres a la zona alojada. La zona alojada se utiliza para la resolución de su dominio solo si sus servidores de nombres están especificados en el registrador del dominio.

Confirme que su registrador devuelva los mismos cuatro servidores de nombres autorizados que los que están asignados a la zona alojada en la que creó el registro de alias. Para comprobar los servidores de nombres que están configurados en el registrador, ejecute el siguiente comando para realizar una búsqueda whois en su dominio:

$ whois domain-name |grep 'Name Server'

Revise los servidores de nombres asignados a su zona alojada. Si los servidores de nombres no coinciden con los resultados de la búsqueda whois, significa que su zona alojada no se utiliza para la resolución de dominios. Tiene que actualizar los servidores de nombres en el registrador de dominios.

Si el dominio está registrado en Route 53, consulte Adding or changing name servers and glue records for a domain. Si el dominio está registrado con un tercero, consulte la documentación de terceros para obtener información sobre cómo actualizar los servidores de nombres.

Si los servidores de nombres no están configurados correctamente en el registrador de AWS, siga estos pasos:

1.    Abra la consola de Route 53.

2.    Elija Dominios registrados.

3.    Seleccione su dominio.

4.    Elija Añadir/editar servidor de nombres.

5.    Sustituya los servidores de nombres actuales por los siguientes. En los siguientes ejemplos, sustituya los marcadores xxx por los valores correctos para sus servidores de nombres.
ns-xxx.awsdns-xx.org.
ns-xxx.awsdns-xx.com.
ns-xxx.awsdns-xx.net.
ns-xxx.awsdns-xx.co.uk.

6.    Elija Guardar.

Comprobación del estado del dominio

Si el estado del dominio es inactive, ServerHold o clientHold, el dominio no se puede resolver. Puede ejecutar el comando de búsqueda whois para comprobar el estado del dominio:

$ whois domain-name |grep 'Domain Status'

Verificación de las comprobaciones de estado asociadas al registro de alias

Si hay una comprobación de estado asociada al registro de alias, verifique el estado de la comprobación de estado. El valor que se devuelve durante la búsqueda de DNS depende de las políticas de direccionamiento y de la configuración de la comprobación de estado del registro.

Comprobación de la propagación del registro

Por lo general, Route 53 propaga las actualizaciones de los registros DNS a la red global de servidores DNS autorizados de Route 53 en 60 segundos. Sin embargo, el almacenamiento en caché de los solucionadores de DNS está fuera del alcance de Route 53. Por lo tanto, Amazon Route 53 almacena en caché los conjuntos de registros de recursos según su valor de TTL.

El solucionador local almacena en caché el valor del registro anterior durante el TTL configurado. En algunos casos, puede haber un almacenamiento en caché negativo en el que los solucionadores almacenan en caché los resultados de NXDOMAIN de servidores de nombres autorizados. Para comprobar si hay un almacenamiento en caché negativo, envíe una consulta directamente al servidor de nombres que está asignado a la zona alojada de su dominio para comprobar si hay una respuesta. El siguiente es un comando de ejemplo para comprobar si hay un almacenamiento en caché negativo:

$ dig domain-name @ns-2041.awsdns-63.co.uk

Comprobación de los registros DS cuando DNSSEC esté activado

Un registro DS establece una cadena de confianza entre las zonas alojadas principal y secundaria cuando DNSSEC está activado. Este registro contiene un resumen de las claves de firma de clave (KSK) públicas utilizadas para firmar la clave de firma de zona (ZSK) de una zona DNS y el tipo de algoritmo de firma. Tiene que agregar el registro DS a la zona principal de una delegación. El registro DS son datos autorizados de la zona principal.

Por ejemplo, el registro DS de «example.com» se almacena en la zona «.com» (zona principal), no en la zona «example.com» (zona secundaria).

Proporcione la KSK pública y el tipo de algoritmo de firma a su registrador de dominios para crear un registro DS. El registrador de dominios reenvía la KSK pública y el tipo de algoritmo al registro del dominio de nivel superior.