Route 53 リゾルバーのエンドポイントに関する DNS 解決の問題をトラブルシューティングするにはどうすれば良いですか?

最終更新日: 2021 年 5 月 20 日

Amazon Route 53 でインバウンドまたはアウトバウンドのエンドポイントを使用して DNS レコードを解決できません。これらの DNS 解決の失敗をトラブルシューティングする方法を教えてください。

解決方法

インバウンドエンドポイントに関する問題のトラブルシューティング

次の手順を実行して、ネットワーク上の DNS リゾルバーが、インバウンドエンドポイントを使用して Route 53 リゾルバーに DNS クエリを転送できることを確認します。

  • オンプレミス DNS サーバーが、ドメインのインバウンドエンドポイントに DNS クエリを転送する必要がある場合は、オンプレミス DNS サーバーで条件付き転送ルールを作成する必要があります。この設定は、プライベートホストゾーンとパブリックドメインに適用されます。
  • AWS Direct Connect 接続または VPN 経由でインバウンドリゾルバーのエンドポイントの IP アドレスに接続していることを確認します。この手順では、オンプレミスネットワークからインバウンドリゾルバーのエンドポイントの IP アドレスに到達できるかどうかを検証します。ポート 53 のインバウンドエンドポイントリゾルバー IP アドレスとの接続をテストするには、次の telnet コマンドを使用します: telnet <inbound endpoint resolver IP address> 53
  • インバウンドリゾルバーのエンドポイントに関連付けられているセキュリティグループを確認します。セキュリティグループでは、オンプレミス DNS サーバーの IP アドレスからの TCP および UDP ポート 53 のトラフィックが許可されている必要があります。
  • インバウンドエンドポイントが作成されたサブネットでカスタムネットワークアクセスコントロールリスト (ネットワーク ACL) を使用している場合は、ネットワーク ACL で次のことが許可されていることを確認します。
    • ポート 53 のオンプレミス DNS サーバーからのインバウンド UPD および TCP トラフィック。
    • 送信先ポート範囲 1024-65535 のオンプレミス DNS サーバーへのアウトバウンド UDP および TCP トラフィック。
  • インバウンドエンドポイントリゾルバーが作成されたサブネットに関連付けられたルートテーブルに、オンプレミスネットワークへのルートが含まれていることを確認します。Direct Connect 接続または VPN 経由でルートを設定できます。このルートにより、インバウンドエンドポイントリゾルバーは DNS クエリ応答を返すことができます。
  • ドメイン解決を検証するには、オンプレミス DNS サーバーまたはローカルホストからのドメイン名ルックアップを完了します。
    • Windows の場合: nslookup <private hosted zone domain name>
    • Linux または macOS の場合: dig <private hosted zone domain name>
  • 上記のコマンドでレコードが返されない場合は、オンプレミス DNS サーバーをバイパスできます。次のコマンドを使用して、DNS クエリをインバウンドリゾルバーのエンドポイントの IP アドレスに直接送信します。
    • Windows の場合: nslookup <private hosted zone domain name> @ <inbound endpoint IP address>
    • Linux または macOS の場合: dig <private hosted zone domain name> @ <inbound endpoint IP address>
  • オンプレミス DNS サーバーが再帰クエリのみを送信することを確認します。Route 53 インバウンドリゾルバーは、繰り返されるクエリをサポートしていません。
  • プライベートホストゾーンのレコードを解決する場合は、インバウンドリゾルバーのエンドポイントとプライベートホストゾーンが正しい VPC に関連付けられていることを確認します。

アウトバウンドエンドポイントに関する問題のトラブルシューティング

次の手順を実行して、Route 53 リゾルバーが、アウトバウンドエンドポイントを使用してネットワーク上のリゾルバーに条件付きでクエリを転送できることを確認します。

  • Amazon が提供する DNS を使用していることを確認します。VPC 内のインスタンスでカスタム DNS サーバーを使用している場合は、プライベート DNS クエリを VPC の Amazon が提供する DNS サーバーの IP アドレスにルーティングするように DNS サーバーを設定する必要があります。この IP アドレスは、VPC ネットワーク範囲のベースに 2 を加えた IP アドレスです。
  • アウトバウンドリゾルバーのエンドポイントに関連付けられたセキュリティグループの送信ルールで、オンプレミス DNS サーバーの IP アドレスへの UDP および TCP ポート 53 トラフィックが許可されていることを確認します。
  • アウトバウンドエンドポイントインターフェイスが作成されたサブネットに対応するネットワーク ACL のカスタムルールがある場合は、ルールで次のことが許可されていることを確認します。
    • ポート 53 のオンプレミス DNS サーバーへのアウトバウンド UDP および TCP トラフィック。
    • エフェメラルポート範囲 1024-65535 のオンプレミス DNS サーバーからのインバウンド UDP および TCP トラフィック。
  • アウトバウンドリゾルバーのエンドポイントのサブネットに関連付けられたルートテーブルに、オンプレミス DNS サーバーへのルートがあることを確認します。ルートは Direct Connect 接続または VPN を介して設定できます。
  • オンプレミス DNS サーバーがファイアウォールで保護されているかどうかを判断します。サーバーがファイアウォールで保護されている場合は、ファイアウォールがアウトバウンドリゾルバーのエンドポイントの IP アドレスからのトラフィックを許可していることを確認します。
  • プライベートホストゾーンと、同じドメイン名でトラフィックをネットワークにルーティングするリゾルバールールがある場合は、リゾルバールールが優先されることに注意してください。
  • リゾルバーは、最も限定的なドメイン名を含むルールを使用してアウトバウンド DNS クエリをルーティングすることに注意してください。詳細については、「リゾルバーがクエリのドメイン名がどのルールにも一致するかどうかを判断する方法」を参照してください。
  • 共有ルールを使用している場合は、共有ルールが VPC に関連付けられていることを確認します。
  • VPC フローログを使用して、リゾルバーが使用するネットワークインターフェイスのフロー情報を取得します。リゾルバーの名前でフィルタリングして、リゾルバーの Elastic Network Interface のログを表示します。

この記事は役に立ちましたか?


請求に関するサポートまたは技術サポートが必要ですか?