如何疑難排解 Route 53 解析器端點的 DNS 解析問題？

解決方法

疑難排解輸入端點

請完成下列步驟，確定網路上的 DNS 解析器可以使用輸入端點將 DNS 查詢轉送至 Route 53 解析器：

• 如果您的內部部署 DNS 伺服器必須將 DNS 查詢轉寄至網域的輸入端點，請建立條件式轉送規則。必須在內部部署 DNS 伺服器上建立條件式轉送規則。此設定適用於私人託管區域和公用網域。

• 確認您已透過 AWS 直接連接連線或 VPN 連線到傳入解析器端點 IP 地址。此步驟會驗證您是否可以從內部部署網路連線到輸入解析器端點 IP 位址。使用下列 telnet 命令來測試連接埠 53 上輸入端點解析程式 IP 位址之間的連線：telnet <inbound endpoint resolver IP address> 53。

• 檢查與輸入解析器端點關聯的安全群組。安全群組必須允許來自內部部署 DNS 伺服器 IP 位址的 TCP 和 UDP 連接埠 53 上的流量。

• 確認與建立輸入端點的子網路搭配使用的自訂網路存取控制清單 (網路 ACL) 允許下列作業：

• 來自連接埠 53 上內部部署 DNS 伺服器的輸入 UPD 和 TCP 流量。

• 傳送至目的地通訊埠範圍 1024-65535 上內部部署 DNS 伺服器的輸出 UDP 和 TCP 流量。

• 確認與建立輸入端點解析程式的子網路相關聯的路由表包含前往內部部署網路的路由。您可以透過直接連線或 VPN 設定路由。此路由可讓輸入端點解析程式傳回 DNS 查詢回應。

• 若要驗證網域解析，請從內部部署 DNS 伺服器或本機主機完成網域名稱查閱。

• 若是 Windows：nslookup <private hosted zone domain name>

• 若是 Linux 或 macOS：dig <private hosted zone domain name>

• 如果先前的命令無法傳回記錄，則您可以略過內部部署 DNS 伺服器。使用下列命令將 DNS 查詢直接傳送至輸入解析器端點 IP 位址。

• 若是 Windows：nslookup <private hosted zone domain name> @ <inbound endpoint IP address>

• 若是 Linux 或 macOS：dig <private hosted zone domain name> @ <inbound endpoint IP address>

• 確認您的內部部署 DNS 伺服器僅傳送遞迴查詢。Route 53 入站解析器不支持迭代查詢。

• 如果您要在私有託管區域中進行解析，請確認您的入站解析器端點和私有託管區域與正確的 VPC 相關聯。

疑難排解輸出端

完成下列步驟，以確保 Route 53 解析器使用輸出端點有條件地將查詢轉發給網路上的解析器：

• 確認您使用的是 Amazon 提供的 DNS。VPC 中執行個體上的自訂 DNS 伺服器必須將私有 DNS 查詢路由到您 VPC Amazon 提供的 DNS 伺服器的 IP 位址。Amazon 提供的 DNS 伺服器 IP 地址是 VPC 網路範圍基礎上的 IP 地址加上兩個。

• 確認與輸出解析程式端點相關聯之安全群組的輸出規則。輸出規則必須允許 UDP 和 TCP 連接埠 53 流量傳輸到內部部署 DNS 伺服器的 IP 位址。

• 確認與建立輸出端點介面之子網路對應之網路 ACL 的自訂規則允許下列作業：

• 連接埠 53 上的內部部署 DNS 伺服器的輸出 UDP 和 TCP 流量。

• 暫時連接埠範圍 1024-65535 上來自內部部署 DNS 伺服器的輸入 UDP 和 TCP 流量。

• 確認與輸出解析器端點子網路相關聯的路由表具有前往內部部署 DNS 伺服器的路由。路由可透過直接連線或 VPN 進行設定。

• 判斷您的內部部署 DNS 伺服器是否受防火牆保護。如果伺服器受防火牆保護，請確認防火牆允許來自輸出解析器端點 IP 位址的流量。

• 請注意，針對相同網域名稱將流量路由到網路的 Resolver 規則優先於私有託管區域。

• 請注意，解析器會使用包含最特定網域名稱的規則路由輸出 DNS 查詢。如需詳細資訊，請參閱解析器如何判斷查詢中的網域名稱是否符合任何規則。

• 如果您使用的是共用規則，請確認共用規則已與您的 VPC 相關聯。

• 使用 VPC 流程日誌擷取解析器使用之網路介面的流程資訊。按解析器的名稱進行篩選，以查看解析器彈性網路接口的日誌。