Comment puis-je résoudre les problèmes de résolution DNS avec les points de terminaison Route 53 Resolver ?

Date de la dernière mise à jour : 20/05/2021

Je ne parviens pas à résoudre les enregistrements DNS à l'aide d'un point de terminaison entrant ou sortant dans Amazon Route 53. Comment puis-je résoudre ces échecs de résolution DNS ?

Résolution

Résolution des problèmes liés aux points de terminaison entrants

Procédez de la manière suivante pour vous assurer que les résolveurs DNS sur votre réseau peuvent transférer des requêtes DNS vers Route 53 Resolver à l'aide de votre point de terminaison entrant.

  • Si vous avez besoin de votre serveur DNS sur site pour transférer les requêtes DNS au point de terminaison entrant pour vos domaines, vous devez créer une règle de transfert conditionnelle sur votre serveur DNS sur site. Cette configuration s'applique aux zones hébergées privées et aux domaines publics.
  • Confirmez que vous disposez d'une connectivité aux adresses IP des points de terminaison entrants du résolveur via la connexion AWS Direct Connect ou le VPN. Cette étape vérifie si vous pouvez atteindre l'adresse IP du point de terminaison entrant du résolveur à partir de votre réseau sur site. Utilisez la commande telnet suivante pour tester la connectivité entre l'adresse IP du point de terminaison entrant du résolveur sur le port 53 : telnet <adresse IP du point de terminaison entrant du résolveur> 53.
  • Vérifiez le groupe de sécurité associé au point de terminaison entrant du résolveur. Le groupe de sécurité doit autoriser le trafic sur les ports TCP et UDP 53 à partir de l'adresse IP du serveur DNS sur site.
  • Si vous utilisez des listes de contrôle d'accès réseau personnalisées (ACL réseau) avec le sous-réseau où le point de terminaison entrant a été créé, vérifiez que les ACL réseau permettent :
    • Le trafic entrant UPD et TCP à partir du serveur DNS sur site sur le port 53.
    • Le trafic sortant UDP et TCP vers le serveur DNS sur site sur la plage de ports de destination 1024-65535.
  • Vérifiez que la table de routage associée au sous-réseau où le résolveur de point de terminaison entrant a été créé inclut une route vers le réseau sur site. Vous pouvez configurer la route via une connexion Direct Connect ou un VPN. Cette route permet au résolveur de point de terminaison entrant de renvoyer une réponse de requête DNS.
  • Pour valider la résolution du domaine, effectuez une recherche de nom de domaine à partir du serveur DNS sur site ou de l'hôte sur site.
    • Pour Windows : nslookup <nom de domaine d'une zone hébergée privée>
    • Pour Linux ou macOS : dig <nom de domaine d'une zone hébergée privée>
  • Si les commandes précédentes ne parviennent pas à renvoyer un enregistrement, vous pouvez contourner votre serveur DNS sur site. Envoyez la requête DNS directement à l'adresse IP du point de terminaison entrant du résolveur à l'aide des commandes suivantes.
    • Pour Windows : nslookup <nom de domaine d'une zone hébergée privée> @ <adresse IP du point de terminaison entrant>
    • Pour Linux ou macOS : dig <nom de domaine d'une zone hébergée privée> @ <adresse IP du point de terminaison entrant>
  • Vérifiez que votre serveur DNS sur site envoie uniquement des requêtes récursives. Le résolveur entrant Route 53 ne prend pas en charge les requêtes itératives.
  • Si vous résolvez des enregistrements dans une zone hébergée privée, vérifiez que vos points de terminaison entrants du résolveur et votre zone hébergée privée sont associés au bon VPC.

Résolution des problèmes liés aux points de terminaison sortants

Procédez comme suit pour vous assurer que le résolveur Route 53 transfère conditionnellement les requêtes aux résolveurs de votre réseau à l'aide de votre point de terminaison sortant.

  • Confirmez que vous utilisez un DNS fourni par Amazon. Si vous utilisez des serveurs DNS personnalisés sur une instance de votre VPC, vous devez configurer les serveurs DNS pour acheminer les requêtes DNS privées vers l'adresse IP des serveurs DNS fournis par Amazon de votre VPC. Cette adresse IP est l'adresse IP située à la base de la plage réseau VPC plus deux.
  • Vérifiez que la règle de sortie du groupe de sécurité associé au point de terminaison sortant du résolveur autorise le trafic UDP et TCP sur le port 53 vers les adresses IP de votre serveur DNS sur site.
  • Si vous avez des règles personnalisées pour les ACL réseau correspondant aux sous-réseaux dans lesquels les interfaces de point de terminaison sortantes ont été créées, vérifiez que les règles permettent :
    • Trafic sortant UDP et TCP vers le serveur DNS sur site sur le port 53.
    • Le trafic entrant UDP et TCP depuis le serveur DNS sur site sur la plage de ports éphémères 1024-65535.
  • Vérifiez que la table de routage associée au sous-réseau du point de terminaison sortant du résolveur a une route vers votre serveur DNS sur site. La route peut être configurée via une connexion Direct Connect ou un VPN.
  • Déterminez si vos serveurs DNS sur site sont protégés par un pare-feu. Si les serveurs sont protégés par un pare-feu, vérifiez que le pare-feu autorise le trafic à partir des adresses IP des points de terminaison sortants du résolveur.
  • Notez que si vous disposez d'une zone hébergée privée et d'une règle de résolveur qui achemine le trafic vers votre réseau pour le même nom de domaine, la règle de résolveur a la priorité.
  • Notez que le résolveur achemine les requêtes DNS sortantes à l'aide de la règle qui contient le nom de domaine le plus spécifique. Pour plus d'informations, voir Comment le résolveur détermine si le nom de domaine d'une requête correspond à des règles.
  • Si vous utilisez une règle partagée, confirmez que la règle partagée est associée à votre VPC.
  • Utilisez le journaux de flux VPC pour capturer des informations de flux sur les interfaces réseau utilisées par les résolveurs. Filtrez par le nom du résolveur pour afficher les journaux de l'interface réseau Elastic du résolveur.

Cet article vous a-t-il été utile ?


Besoin d'aide pour une question technique ou de facturation ?