Pourquoi est-ce que je ne peux pas accéder à mon site Web qui utilise les services DNS Route 53 ?

Date de la dernière mise à jour : 08/06/2022

J'ai configuré mon site Web de façon à utiliser les services DNS Amazon Route 53, mais je ne peux pas y accéder depuis internet. Comment puis-je résoudre ce problème ?

Solution

Vérifier les jeux d'enregistrements de ressources de la zone hébergée publique du site Web

Vérifiez que la zone hébergée publique du nom de domaine de votre site Web dans Route 53 est remplie avec les jeux d'enregistrements de ressources appropriés. Pour mettre à jour les valeurs des jeux d'enregistrements, consultez Modification des enregistrements. Pour accéder aux valeurs d'enregistrements spécifiques aux types, consultez Valeurs à spécifier lorsque vous créez ou modifiez des enregistrements Amazon Route 53.

Important : au minimum, la zone hébergée publique doit contenir un enregistrement d'adresse (enregistrement A) pour votre domaine. S'il n'existe aucun enregistrement pour le nom de domaine que vous interrogez, un code d'erreur NXDOMAIN est renvoyé.

Vérifier que les jeux d'enregistrements de ressources sont accessibles publiquement

Pour connaître les instructions, consultez Comment puis-je vérifier que les ensembles d'enregistrements de ressources d'une zone hébergée publique Amazon Route 53 sont accessibles depuis Internet ?

Vérifier les enregistrements NS du bureau d'enregistrement de noms de domaine

Vérifiez si les serveurs de noms (NS) configurés au bureau d'enregistrement de domaine sont les mêmes quatre enregistrements NS faisant autorité dans la zone hébergée publique Route 53 du domaine.

  1. Obtenez les serveurs de noms pour une zone hébergée publique.
  2. Recherchez le nom de domaine de votre site Web à l'aide de l'utilitaire WHOIS de votre choix (outil de recherche d'enregistrement de domaine).
  3. Vérifiez si le NS de votre domaine dans la sortie WHOIS correspond aux mêmes enregistrements NS dans votre zone hébergée publique Route 53.
  4. Si les enregistrements NS ne correspondent pas et que votre bureau d'enregistrement de domaine est Route 53, mettez à jour les serveurs de noms de votre domaine auprès du bureau d'enregistrement avec les quatre enregistrements NS faisant autorité attribués à votre zone hébergée publique Route 53.
    Remarque : pour les domaines enregistrés auprès de bureaux d'enregistrement tiers, suivez la documentation de votre bureau d'enregistrement pour modifier le NS du domaine.

Remarque : il peut s'écouler jusqu'à 48 heures (la durée de vie) pour que le NS du bureau d'enregistrement précédent expire à partir du domaine de premier niveau (TLD). Pendant cette période, les requêtes DNS du domaine peuvent être envoyées à la fois à Route 53 et au NS du bureau d'enregistrement précédent. Route 53 répond immédiatement aux requêtes DNS du domaine provenant de résolveurs qui n'ont pas mis en cache le NS du bureau d'enregistrement précédent.

Vérifier votre configuration DNSSEC

Si votre domaine utilise des extensions de sécurité DNS (DNSSEC), le DNSSEC doit être activé au niveau du bureau d'enregistrement de domaine et du fournisseur de services DNS.

Si le DNSSEC est activé pour le domaine, mais qu'il est désactivé chez le fournisseur de services DNS, les résolveurs DNS qui effectuent la validation DNSSEC renvoient une erreur SERVFAIL aux clients. Dans ce cas, les clients ne peuvent pas accéder au domaine s'ils utilisent un résolveur DNS qui effectue une validation DNSSEC.

Par exemple : la commande suivante renvoie une erreur SERVFAIL si le DNSSEC est activé au niveau du domaine, mais pas au niveau du fournisseur de services DNS :

>> dig @8.8.8.8 www.example.com

Pour contourner la validation DNSSEC, exécutez cette commande à l'aide de l'indicateur +cd :
Remarque : remplacez example.com par votre nom de domaine.

>> dig @8.8.8.8 example.com +cd

Si vous pouvez résoudre le domaine comme prévu après avoir contourné la validation, cela indique généralement une mauvaise configuration DNSSEC au niveau du NS.

Remarque : Route 53 prend en charge le DNSSEC à la fois pour l'enregistrement de domaine et le service DNS. Pour plus d'informations, consultez Configuration du protocole DNSSEC pour un domaine et Configuration de la signature DNSSEC dans Amazon Route 53.

Vérifier si le problème de résolution DNS se produit lors de l'utilisation d'autres résolveurs DNS

Testez la résolution de votre domaine à l'aide de résolveurs publics (tels que Google Resolver(8.8.8.8), Cloudflare(1.1.1.1) ou OpenDNS) pour résoudre votre domaine. Si le problème persiste lors de l'utilisation d'un résolveur spécifique, cela peut être dû à un problème avec ce résolveur particulier. Il se peut également que le résolveur ait mis en cache d'anciennes réponses DNS.

Exécutez les commandes suivantes pour effectuer une requête DNS sur un résolveur :
Remarque : remplacez example.com par votre domaine et ResolverIP par l'adresse IP du résolveur que vous utilisez.

>> dig example.com @<ResolverIP><br>>> nslookup example.com <ResolverIP>

Si le résolveur a déjà reçu une réponse négative pour le domaine, il met cette réponse en cache. Dans ce cas, un client peut toujours recevoir la réponse NXDOMAIN/NODATA en raison d'une mise en cache négative au niveau du résolveur même si l'enregistrement a été corrigé. Pour plus d'informations, consultez la page The start of authority (SOA) record.

Vérifier le code d'état EPP de votre domaine

Recherchez le nom de domaine de votre site Web dans l'utilitaire WHOIS de votre choix (outil de recherche d'enregistrement de domaine). Vérifiez ensuite que le domaine ne s'est pas vu attribuer de code d'état EPP (Extensible Provisioning Protocol), ce qui indique un domaine inactif dans le DNS. Les codes d'état tels que serverHold, clientHold ou inactive indiquent que le domaine n'est pas activé dans le DNS et ne peut pas être résolu.

Si Route 53 est le bureau d'enregistrement de votre domaine, consultez Mon domaine est suspendu (l'état est ClientHold). Pour obtenir la liste des codes d'état EPP, consultez Codes d'état EPP.