Pourquoi la résolution de l'enregistrement d'alias pointant vers ma distribution CloudFront échoue-t-elle ?

Date de la dernière mise à jour : 20/05/2021

J'ai configuré un enregistrement d'alias pointant vers ma distribution Amazon CloudFront dans une zone hébergée publique Amazon Route 53. Mais je ne parviens pas à résoudre l'enregistrement sur Internet. Comment puis-je remédier à ce problème ?

Brève description

Les clients peuvent rencontrer des problèmes lors de la résolution d'un enregistrement d'alias pointant vers une distribution CloudFront si :

  • L'enregistrement d'alias correspondant à la distribution CloudFront est mal configuré
  • L'enregistrement d'alias n'a pas été créé dans la zone hébergée de référence du domaine
  • Le statut du domaine est inactive, ServerHold ou clientHold
  • Une vérification d'état associée à l'enregistrement d'alias indique qu'il n'est pas sain
  • L'enregistrement n'a pas été propagé à l'échelle mondiale
  • Enregistrements DS incorrects lorsque DNSSEC est activé pour le domaine

Solution

Vérifier le type d'enregistrement d'alias

Si l'enregistrement d'alias est mal configuré, l'enregistrement DNS ne sera pas résolu comme prévu. Les types d'enregistrements d'alias CloudFront doivent être configurés en tant qu'enregistrements de Type A (et non CNAME).

Pour vérifier le type d'enregistrement d'alias Route 53 :

1.    Ouvrez la console Route 53.

2.    Dans le volet de navigation, sélectionnez Zones hébergées.

3.    Sélectionnez la zone hébergée de votre domaine.

4.    Choisissez l'enregistrement d'alias Route 53 de votre domaine.

5.    Dans le volet Modifier un jeu d'enregistrements, vérifiez que le Type d'enregistrement de l'Enregistrement d'alias est défini sur A. Si ce n'est pas le cas, mettez l'enregistrement à jour.

6.    Choisissez Enregistrer le jeu d'enregistrements.

Vérifier les serveurs de noms de domaine configurés sur le serveur d'inscriptions

Lorsque vous créez une zone hébergée pour votre domaine, Route 53 attribue un ensemble de quatre serveurs de noms à la zone hébergée. La zone hébergée n'est utilisée pour la résolution de votre domaine que si ses serveurs de noms sont spécifiés sur le serveur d'inscriptions du domaine.

Vérifiez si votre serveur d'inscriptions renvoie les quatre mêmes serveurs de noms de référence que ceux attribués à la zone hébergée dans laquelle vous avez créé l'enregistrement d'alias. Pour vérifier les serveurs de noms configurés sur le serveur d'inscriptions, effectuez une recherche whois sur votre domaine à l'aide de la commande suivante :

$ whois domain-name |grep 'Name Server'

Vérifiez les serveurs de noms attribués à votre zone hébergée. Si les serveurs de noms ne correspondent pas aux résultats de la recherche whois, cela signifie que votre zone hébergée n'est pas utilisée pour la résolution de domaine. Vous devez mettre à jour les serveurs de noms sur le serveur d'inscriptions du domaine. Si le domaine est enregistré auprès de Route 53, consultez Ajout ou modification de serveurs de noms et d'enregistrements de type glue pour un domaine. Si le domaine est enregistré auprès d'un tiers, reportez-vous à la documentation de celui-ci pour savoir comment mettre à jour les serveurs de noms.

Vérifier le statut du domaine

Si le statut du domaine est inactive, ServerHold ou clientHold, le domaine ne sera pas résolu. Vous pouvez vérifier le statut du domaine à l'aide de la commande de recherche whois :

$ whois domain-name |grep 'Domain Status'

Contrôler les vérifications d'état associées à l'enregistrement d'alias

Si une vérification d'état est associée à l'enregistrement d'alias, contrôlez le statut de celle-ci. La valeur renvoyée lors de la recherche DNS dépend des stratégies de routage et de la configuration de la vérification d'état de l'enregistrement.

Vérifier la propagation de l'enregistrement

Dans des conditions normales, Route 53 propage les modifications que vous apportez à vos enregistrements DNS sur son réseau mondial de serveurs DNS de référence en l'espace de 60 secondes. En revanche, la mise en cache des résolveurs DNS n'est pas du ressort du service Route 53 ; vos jeux d'enregistrements de ressources sont donc mis en cache en fonction de leur valeur TTL.

Le résolveur local met en cache la valeur de l'enregistrement précédent pour la durée TTL configurée. En cas de mise en cache négative, les résultats NXDOMAIN des serveurs de noms de référence sont mis en cache par les résolveurs. Pour déterminer si une mise en cache négative peut poser problème dans votre scénario, envoyez une requête au serveur de noms attribué à la zone hébergée de votre domaine pour voir si vous obtenez une réponse. Par exemple :

$ dig domain-name @ns-2041.awsdns-63.co.uk

(Si DNSSEC est activé) Vérifier les enregistrements DS

Un enregistrement DS (Délégation Signer) établit une chaîne de confiance entre les zones hébergées parent et enfant lorsque DNSSEC est activé. Cet enregistrement contient un résumé des clés de signature de clé (KSK) publiques utilisées pour signer la clé de signature de zone (ZSK) d'une zone DNS et le type d'algorithme de signature. L'enregistrement DS doit être ajouté à la zone parent d'une délégation. L'enregistrement DS fait autorité dans la zone parent.

Par exemple, l'enregistrement DS d'« example.com » est stocké dans la zone « .com » (la zone parent) et non dans la zone « example.com » (zone enfant). Vous pouvez créer un enregistrement DS en fournissant la clé KSK publique et le type d'algorithme de signature à votre serveur d'inscriptions de domaine. Le serveur d'inscriptions de domaine transmet la clé KSK publique et le type d'algorithme au serveur d'inscriptions du domaine de premier niveau.


Cet article vous a-t-il été utile ?


Besoin d'aide pour une question technique ou de facturation ?