Comment résoudre les problèmes de résolution DNS liés aux points de terminaison Route 53 Resolver ?

Lecture de 5 minute(s)
0

Je n'arrive pas à résoudre les enregistrements DNS à l'aide d'un point de terminaison entrant ou sortant dans Amazon Route 53.

Résolution

Résoudre les problèmes liés aux points de terminaison entrants

Procédez comme suit pour vérifier que les résolveurs DNS de votre réseau peuvent transmettre les requêtes DNS au résolveur Route 53 par le biais de votre point de terminaison entrant :

  • Si votre serveur DNS local doit transférer les requêtes DNS vers le point de terminaison entrant pour vos domaines, créez une règle de transfert conditionnelle. La règle de transfert conditionnel doit être créée sur votre serveur DNS local. Cette configuration s'applique aux zones hébergées privées et aux domaines publics.

  • Vérifiez que vous êtes connecté aux adresses IP du point de terminaison du résolveur entrant via la connexion AWS Direct Connect ou le VPN. Cette étape permet de vérifier si vous pouvez accéder à l'adresse IP du point de terminaison du résolveur entrant depuis votre réseau local. Utilisez la commande telnet suivante pour tester la connectivité entre l'adresse IP du résolveur de points de terminaison entrant sur le port 53 :** telnet <inbound endpoint resolver IP address> 53**.

  • Vérifiez le groupe de sécurité associé au point de terminaison du résolveur entrant. Le groupe de sécurité doit autoriser le trafic sur les ports TCP et UDP 53 à partir de l'adresse IP de votre serveur DNS local.

  • Vérifiez que les listes de contrôle d'accès réseau personnalisées (ACL réseau) utilisées avec le sous-réseau sur lequel le point de terminaison entrant a été créé autorisent les opérations suivantes :

  • Trafic UPD et TCP entrant en provenance du serveur DNS local sur le port 53.

  • Trafic UDP et TCP sortant vers le serveur DNS local sur la plage de ports de destination 1024-65535.

  • Vérifiez que la table de routage associée au sous-réseau sur lequel le résolveur de points de terminaison entrant a été créé inclut un itinéraire vers le réseau local. Vous pouvez configurer l'itinéraire via une connexion Direct Connect ou un VPN. Cet itinéraire permet au résolveur de points de terminaison entrants de renvoyer une réponse à une requête DNS.

  • Pour valider la résolution du domaine, effectuez une recherche de nom de domaine à partir du serveur DNS local ou de l'hôte local.

  • Pour Windows :** nslookup <private hosted zone domain name>**

  • Pour Linux ou macOS :** dig <private hosted zone domain name>**

  • Si les commandes précédentes ne renvoient aucun enregistrement, vous pouvez contourner votre serveur DNS local. Envoyez la requête DNS directement à l'adresse IP du point de terminaison du résolveur entrant à l'aide des commandes suivantes.

  • Pour Windows :** nslookup <private hosted zone domain name> @ <inbound endpoint IP address>**

  • Pour Linux ou macOS :** dig <private hosted zone domain name> @ <inbound endpoint IP address>**

  • Vérifiez que votre serveur DNS local envoie uniquement des requêtes récursives. Le résolveur entrant Route 53 ne prend pas en charge les requêtes itératives.

  • Si vous effectuez une résolution dans une zone hébergée privée, vérifiez que les points de terminaison de votre résolveur entrant et votre zone hébergée privée sont associés au VPC qui convient.

Résoudre les problèmes liés aux terminaux sortants

Procédez comme suit pour vous assurer que le résolveur Route 53 transfère de manière conditionnelle les requêtes aux résolveurs de votre réseau par votre point de terminaison sortant :

  • Vérifiez que vous utilisez un DNS fourni par Amazon. Les serveurs DNS personnalisés sur les instances de votre VPC doivent acheminer les requêtes DNS privées vers l'adresse IP des serveurs DNS de votre VPC fournis par Amazon. L'adresse IP du serveur DNS fournie par Amazon est l'adresse IP à la base de la plage du réseau VPC plus deux.

  • Confirmez la règle de sortie du groupe de sécurité associé au point de terminaison du résolveur sortant. La règle de sortie doit autoriser le trafic UDP et TCP des ports 53 vers les adresses IP de votre serveur DNS local.

  • Vérifiez que les règles personnalisées pour les ACL réseau correspondant aux sous-réseaux sur lesquels les interfaces de point de terminaison sortantes ont été créées autorisent les opérations suivantes :

  • Trafic UDP et TCP sortant vers le serveur DNS local sur le port 53.

  • Trafic UDP et TCP entrant en provenance du serveur DNS local sur la plage de ports éphémères 1024-65535.

  • Vérifiez l’existence d’un itinéraire vers votre serveur DNS local sur la table de routage associée au sous-réseau du point de terminaison du résolveur sortant. L'itinéraire peut être configuré via une connexion Direct Connect ou un VPN.

  • Déterminez si vos serveurs DNS locaux sont protégés par un pare-feu. Si les serveurs sont protégés par un pare-feu, vérifiez que celui-ci autorise le trafic provenant des adresses IP des points de terminaison sortants du résolveur.

  • Notez qu'une règle de résolution qui achemine le trafic vers votre réseau pour le même nom de domaine a priorité sur les zones hébergées privées.

  • Notez que Resolver achemine les requêtes DNS sortantes sur la base de la règle qui contient le nom de domaine le plus spécifique. Pour en savoir plus, voir Comment Resolver détermine si le nom de domaine d'une requête correspond à des règles.

  • Si vous utilisez une règle partagée, vérifiez que la règle partagée est associée à votre VPC.

  • Utilisez les journaux de flux VPC pour capturer les informations de flux sur les interfaces réseau utilisées par les résolveurs. Filtrez sur la base du nom du résolveur pour afficher les journaux de l'interface réseau élastique du résolveur.

AWS OFFICIEL
AWS OFFICIELA mis à jour il y a un an