Como soluciono problemas de resposta NXDOMAIN ao usar o Route 53 como serviço de DNS?
Estou recebendo uma resposta NXDOMAIN do resolvedor de DNS ou um erro DNS_PROBE_FINISHED_NXDOMAIN ao resolver registros do Amazon Route 53.
Resolução
Determine se o domínio está no estado ativo ou suspenso
1. Execute uma consulta whois no domínio.
Observação: certifique-se de que o whois esteja instalado antes de executar os comandos a seguir.
Para Windows: abra um prompt de comando do Windows e digite whois -v example.com.
Para Linux: abra seu cliente SSH. No prompt de comando, digite whois example.com.
Observação: se o domínio estiver registrado no Amazon Registrar, você poderá usar a ferramenta de busca de whois do Amazon Registrar.
2. Verifique o status do kubelet. Se o valor do status do domínio for clientHold, o domínio será suspenso.
Exemplo de saída whois:
whois example.com Domain Name: EXAMPLE.COM Registry Domain ID: 87023946\_DOMAIN\_COM-VRSN Registrar WHOIS Server: whois.godaddy.com Registrar URL: http://www.godaddy.com Updated Date: 2020-05-08T10:05:49Z Creation Date: 2002-05-28T18:22:16Z Registry Expiry Date: 2021-05-28T18:22:16Z Registrar: GoDaddy.com, LLC Registrar IANA ID: 146 Registrar Abuse Contact Email: abuse@godaddy.com Registrar Abuse Contact Phone: 480-624-2505 Domain Status: clientDeleteProhibited https://icann.org/epp#clientDeleteProhibited Domain Status: clientHold https://icann.org/epp#clientHold Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited Domain Status: clientUpdateProhibited https://icann.org/epp#clientUpdateProhibited Name Server: ns-1470.awsdns-55.org. Name Server: ns-1969.awsdns-54.co.uk. Name Server: ns-736.awsdns-28.net. Name Server: ns-316.awsdns-39.com.
Para tornar um domínio disponível na Internet novamente, remova-o do status suspenso. A seguir estão os motivos mais comuns pelos quais um domínio pode ser suspenso:
- Você registrou um novo domínio, mas não clicou no link do e-mail de confirmação.
- Você desativou a renovação automática do domínio e o domínio expirou.
- Você alterou o endereço de e-mail do contato do registrante, mas não verificou se o novo endereço de e-mail é válido.
Para obter mais informações, consulte Meu domínio está suspenso (o status é ClientHold).
Confirme se os servidores de nomes corretos estão configurados no registrador de domínio
1. Na saída whois, observe os Servidores de nomes que são autoritativos para seu domínio. Veja a saída whois anterior para ver um exemplo.
Você também pode usar o utilitário dig para verificar os servidores de nomes configurados.
Exemplo de saída dig +trace:
dig +trace example.com ; <<>> DiG 9.11.4-P2-RedHat-9.11.4-26.P2.amzn2.2 <<>> +trace example.com ;; global options: +cmd . 518400 IN NS H.ROOT-SERVERS.NET. . 518400 IN NS I.ROOT-SERVERS.NET. . 518400 IN NS J.ROOT-SERVERS.NET. . 518400 IN NS K.ROOT-SERVERS.NET. ;; Received 239 bytes from 10.0.0.2#53(10.0.0.2) in 0 ms com. 172800 IN NS a.gtld-servers.net. com. 172800 IN NS m.gtld-servers.net. com. 172800 IN NS h.gtld-servers.net. C41A5766 com. 86400 IN RRSIG DS 8 1 86400 20210329220000 20210316210000 42351 . ;; Received 1174 bytes from 192.112.36.4#53(G.ROOT-SERVERS.NET) in 104 ms example.com. 172800 IN NS ns-1470.awsdns-55.org. ------>Name servers of interest. example.com. 172800 IN NS ns-1969.awsdns-54.co.uk. example.com. 172800 IN NS ns-736.awsdns-28.net. example.com. 172800 IN NS ns-316.awsdns-39.com. ;; Received 732 bytes from 192.33.14.30#53(b.gtld-servers.net) in 91 ms example.com. 3600 IN A 104.200.22.130 example.com. 3600 IN A 104.200.23.95 example.com. 3600 IN NS ns-1470.awsdns-55.org. example.com. 3600 IN NS ns-1969.awsdns-54.co.uk. example.com. 3600 IN NS ns-736.awsdns-28.net. example.com. 3600 IN NS ns-316.awsdns-39.com. ;; Received 127 bytes from 173.201.72.25#53(ns-1470.awsdns-55.org) in 90 ms
2. Abra o console do Route 53.
3. No painel de navegação, escolha Zonas hospedadas.
4. Na página Zonas hospedadas, selecione o botão de rádio (não o nome) da zona hospedada. Escolha Exibir detalhes.
5. Na página de detalhes da zona hospedada, escolha Detalhes da zona hospedada.
6. Confirme se os Servidores de nomes listados nos detalhes da zona hospedada são idênticos aos Servidores de nomes na saída whois ou dig +trace.
Importante: se os servidores de nomes não forem idênticos, atualize-os no registrador de domínios. Se os domínios estiverem registrados no Route 53, consulte Como adicionar ou alterar servidores de nomes e registros cola para um domínio. Para domínios registrados com terceiros, consulte a documentação do provedor para obter as etapas sobre como atualizar os servidores de nomes.
Confirme se o registro solicitado existe
Verifique se a zona hospedada do domínio contém o registro solicitado. Por exemplo, se você estiver recebendo uma resposta NXDOMAIN ao tentar resolver www.example.com, verifique o registro www.example.com na zona hospedada example.com. Para ver as etapas sobre como listar registros no Route 53, consulte Listando registros.
Se você tiver um registro CNAME apontando para outro nome de domínio, verifique se o nome canônico existe e pode ser resolvido.
Exemplo
O registro CNAME example.com é configurado com um valor de blog.example.com. Nesse caso, verifique se o registro blog.example.com existe e pode ser resolvido.
Verifique se há problemas de delegação de subdomínios
1. Verifique na zona hospedada principal um registro de servidor de nomes (NS) para o nome de domínio que você está resolvendo. Se existir um registro NS para um subdomínio, a autoridade para o domínio e seus subdomínios será delegada a outra zona. Por exemplo, se existir um registro NS para www.example.com, a autoridade para www será delegada aos servidores de nomes no registro NS. Se a delegação for válida, você deverá criar o registro para o domínio na zona delegada, não na zona principal de example.com.
2. Se a delegação não for válida, exclua o registro NS do domínio. Confirme se a zona hospedada principal (exemplo.com) contém um registro para o nome de domínio que você está tentando resolver.
- Os resolvedores que implementam a minimização do QNAME incluem detalhes mínimos em cada consulta, conforme necessário para essa etapa do processo de resolução. Isso pode causar um problema de NXDOMAIN em alguns resolvedores. Ao configurar vários níveis de delegação de subdomínio, siga a delegação rigorosa em todos os níveis. Para obter mais informações, consulte Roteamento de tráfego para níveis adicionais de subdomínios.
Determine se o problema de resolução de DNS existe somente na VPC
1. Verifique o endereço IP do resolvedor que está configurado no sistema operacional (SO) do cliente. Para Linux, verifique o arquivo /etc/resolv.conf. Para Windows, verifique os servidores DNS na saída ipconfig /all. Procure o resolvedor de DNS padrão de nuvem privada virtual (VPC) (VPC CIDR+2). Por exemplo, se o CIDR da VPC for 10.0.0.0/8, o endereço IP do resolvedor de DNS será 10.0.0.2. Se você não vê o resolvedor de DNS da VPC em /etc/resolv.conf, verifique o resolvedor de DNS personalizado.
2. Se você estiver usando o resolvedor de DNS da VPC, verifique as zonas hospedadas privadas e as regras do resolvedor do Route 53.
Ao usar regras de resolução e zonas hospedadas privadas
Se a regra do resolvedor e o nome de domínio da zona hospedada privada corresponderem, a regra do resolvedor terá precedência. Para obter mais informações, consulte Considerações ao trabalhar com uma zona hospedada privada. Nesse caso, a consulta de DNS é enviada para o endereço IP de destino que está configurado como o destino na regra do resolvedor.
Ao usar uma zona hospedada privada e nenhuma regra de resolução
Verifique se há uma zona hospedada privada com nomes de domínio correspondentes associados à VPC. Por exemplo, você pode ter uma zona hospedada pública e uma zona hospedada privada para o domínio associado a uma VPC. Esse é um DNS de visualização dividida ou horizonte dividido. Nesse caso, os clientes na VPC não podem resolver registros criados na zona hospedada pública. Se o registro não estiver presente na zona hospedada privada, o DNS da VPC não retornará à zona hospedada pública.
Ao usar apenas regras de resolução e nenhuma zona hospedada privada
Verifique as regras do resolvedor do Route 53. Se houver uma regra que corresponda ao nome do domínio, a consulta do domínio será direcionada para os endereços IP de destino configurados. Isso significa que a consulta não é roteada para os resolvedores públicos padrão.
Determine se o problema é resultado de um cache negativo
O cache negativo é o processo de armazenar uma resposta negativa de um servidor de nomes autorizado no cache. Uma resposta NXDOMAIN é considerada uma resposta negativa. Considere o exemplo a seguir:
Um cliente faz uma consulta de DNS para neg.example.com e recebe um código de resposta de NXDOMAIN porque o registro neg.example.com não existe.
Esse usuário também é dono de example.com, então ele cria um novo registro para neg.example.com. O usuário continua recebendo uma resposta NXDOMAIN quando usuários em outras redes conseguem resolver o registro com êxito.
Quando o usuário faz uma consulta em neg.example.com antes de criar o novo registro, ele recebe uma resposta NXDOMAIN. Se o usuário ativou o cache negativo nas configurações do resolvedor, o resolvedor armazenará essa resposta em cache. Depois que o usuário cria o novo registro, ele faz a consulta novamente. O resolvedor recebeu anteriormente essa consulta e a armazenou em cache, então retornou a resposta do cache.
Não há registro retornado na resposta de uma resposta negativa, então não há valor de Time to Live (TTL) em comparação com uma resposta positiva. Nesse caso, o resolvedor usa o menor valor do seguinte:
- O valor mínimo de TTL do registro Start of Authority (SOA).
- O valor TTL do registro SOA para armazenar em cache a resposta NXDOMAIN.
Para confirmar esse problema, envie uma consulta diretamente para o servidor de nomes para ver se você está recebendo uma resposta. Por exemplo:
dig www.example.com @ns-1470.awsdns-55.org
Conteúdo relevante
- AWS OFICIALAtualizada há um ano
- AWS OFICIALAtualizada há um ano
- AWS OFICIALAtualizada há 10 meses
- AWS OFICIALAtualizada há 10 meses