Route 53 ルールとアウトバウンドエンドポイントに関する逆引き DNS の問題をトラブルシュートする方法はありますか?

解決策

予想される DNS レスポンスと実際の DNS レスポンスを特定する

dig と nslookup を使用して、オンプレミス DNS サーバーの IP アドレスに直接クエリを実行します。これらのツールは正しいレコード名の解決を試みます。

dig で逆引き DNS 解決策を実行するには、-x パラメータを使用します。このパラメータを使用すると、dig は名前、クラス、および型引数を自動的に追加します。QUESTION SECTION を参照して、dig が正しい名前、クラス、レコードタイプを自動的にクエリしたかどうかを確認します。

たとえば、IP アドレス 172.31.2.23 を次の値で解決するとします。

名前: 23.2.31.172.in-addr.arpa.
クラス: IN
レコードタイプ: PTR

この例では、dig-x 172.31.2.23 コマンドは次の出力を返します。

; <<>> DiG 9.11.4-P2-RedHat-9.11.4-9.P2.amzn2.0.2 <<>> -x 172.31.2.23;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 58812
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;;
OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;23.2.31.172.in-addr.arpa.    IN    PTR

;;
ANSWER SECTION:
23.2.31.172.in-addr.arpa. 60    IN    PTR    example.com.

nslookup の場合、nslookup 172.31.2.23 コマンドは次の出力を返します。

23.2.31.172.in-addr.arpa.   name = example.com.

注: 予期しないレスポンスコードがあっても、ルールやエンドポイントの設定に問題があるとは限らないことに注意してください。

• NXDOMAIN は予想外ですが、有効な DNS レスポンスである可能性があります。このレスポンスは、クエリ対象のサーバーに、要求されたレコードが含まれていないことを示しています。
• SERVFAIL は、クエリのパスにタイムアウトまたはその他の問題があることを示します。このレスポンスにはさらに調査が必要です。
• ANSWER SECTION の予期しない回答は、別のルールを使用したことを示している可能性があります。

クエリが VPC DNS リゾルバーに到達したかどうかを確認する

クエリが VPC のルールと一致するには、クエリが VPC DNS リゾルバーに到達する必要があります。VPC 設定をチェックして、DNS サポートが有効になっていることを確認します。
リゾルバー IP アドレスを確認するには、dig または nslookup の サーバーフィールドを参照します。

dig

;; SERVER: 172.16.0.2#53(172.16.0.2)

nslookup

Server:        172.16.0.2

注: VPC の場合、VPC DNS は VPC CIDR に 2 を加えたものです。これらの例では、VPC の IP アドレスは 171.16.0.2 です。

一致している最も具体的なルールを検索する

クエリが VPC DNS リゾルバーに到達したら、その VPC のルールと一致する必要があります。ルールが評価されると、最も具体的なルールが一致します。このルールを見つけるには、次の手順を実行します。

1. VPC と接続されている VPC 上の自動定義ルールをすべて特定します。ピアリング接続された VPC またはトランジットゲートウェイ経由で接続している VPC がある場合 (かつ、DNS サポートが有効である場合)、接続された各 CIDR の逆解決策のために作成されたすべてのルールを書き留めます。
   注: DNS ホスト名が true に設定されている場合、リゾルバーはこれらの自動定義ルールを作成します。自動定義ルールをオーバーライドしたい場合は、同じドメイン名の条件付き転送ルールを作成できます。自動定義ルールを無効にすることもできます。
2. DNSSupport と DNSHostnames が有効になっている場合は、VPC に関連付けられているすべてのプライベートホストゾーンを書き留めておきます。
   注: リゾルバーフォワーダールールとプライベートホストゾーンが重複している場合、リゾルバールールが優先されます。この場合、クエリはオンプレミスサーバーに転送されます。
3. ルールと関連するプライベートホストゾーンのリストをクエリと比較して、どのルールが選択され、クエリがどこに進むかを判断します。

アウトバウンドエンドポイントのトラブルシューティング

アウトバウンドエンドポイントのトラブルシューティングを行うには、以下の設定を確認してください。

• アウトバウンドエンドポイントは、ルールで指定されているターゲット IP アドレスにクエリを送信する必要があります。リゾルバールールにオンプレミス DNS サーバーの正しい IP が含まれていることを確認してください。
• アウトバウンドエンドポイントで使用されるセキュリティグループが、オンプレミス DNS サーバーの IP アドレスとポートへのアウトバウンド TCP および UDP トラフィックを許可する必要があります。
• アクセスコントロールリスト (ACL) が、オンプレミス DNS サーバーの IP アドレスとポートへの TCP および UDP トラフィックを許可する必要があります。ACL は、エフェメラルポート (1024-65535) へのトラフィックも許可する必要があります。
• アウトバウンドエンドポイントのサブネットルートテーブルには、オンプレミスサーバーの IP アドレスから VPN または AWS Direct Connect 接続へのルートが必要です。

詳細とトラブルシューティング手順については、「How do I troubleshoot DNS resolution issues with Route 53 Resolver endpoints??」を参照してください。

アウトバウンドエンドポイントが、ルートテーブルで指定された接続を介してクエリを送信できるかどうかを確認します

VPN 接続または Direct Connect 接続で通信が許可されていることを確認します。これを行うには、オンプレミス DNS リゾルバーの IP アドレスに対して dig または nslookup コマンドを直接実行します。接続問題をさらにトラブルシューティングするには、インターネットコントロールメッセージプロトコル (ICMP) を許可するオンプレミスホストに ping を送信します。

注: このテストは、アウトバウンド エンドポイントと同じサブネット内にある EC2 インスタンスから実行する必要があります。