如何解決 VPC 端點服務的待驗證網域名稱問題?

上次更新日期:2022-03-23

我正在為我的 Amazon Virtual Private Cloud (Amazon VPC) 端點服務 (AWS PrivateLink) 配置私有 DNS 名稱,並設置 DNS TXT 記錄。網域驗證停留在待驗證狀態。如何對此進行疑難排解?

簡短描述

以下為網域驗證狀態停留在待驗證狀態的常見原因:

  • 您使用的網域名稱並非您或您的組織所有。
  • 您建立的 TXT 記錄是在私有區域檔案而非公有區域檔案中。
  • 網域註冊商提供了對您的網域而言是錯誤的名稱伺服器。

注意:有關為您的 VPC 端點服務設置私有 DNS 名稱的資訊,請參閲如何將我的 VPC 端點服務設為可以使用自訂私有 DNS 名稱?

解決方案

您正在使用的網域名稱並非您或您的組織所有

端點服務提供者只能使用您或您的組織擁有的網域名稱作為私有 DNS 名稱。例如,您不能使用 “amazonaws.com“ 作為私有 DNS 名稱,因為該網域為 Amazon 所有。

您建立的 TXT 記錄是在私有區域檔案而非公有區域檔案中

AWS 會驗證在端點服務下提供的網域名稱的所有權。藉由根據網域註冊商配置的授權公有名稱伺服器查詢 TXT 記錄來完成此操作。如果使用者是在私有區域檔案上配置 TXT 記錄,則會因為無法公開查詢而導致驗證失敗。

您可以使用 nslookup 命令檢查是否是在公開可驗證的網域中建立 TXT 記錄值。此命令同時適用於 Windows 和 Linux 機器:

nslookup -type=TXT _aksldja21i1.myexampleservice.com

如果 TXT 記錄是在可公開驗證的網域中所建立,則您將會收到建立 TXT 記錄時使用的網域驗證值作為輸出:

_aksldja21i1.myexampleservice.com text = "vpce:asjdakjshd78126eu21”

如果 TXT 記錄是在私有託管區域中所建立,則您會收到類似以下內容的輸出:

_aksldja21i1.myexampleservice.com = "v=spf1 -all”

注意: 您也可以使用任何第三方網站 (例如 whatsmydns) 驗證此資訊。

網域註冊商提供了對您的網域而言是錯誤的名稱伺服器

對於私有 DNS 驗證,AWS 會查詢註冊網域註冊商之下的公有名稱伺服器。因此,確保您公有區域檔案中的名稱伺服器與您在註冊商註冊的網域名稱伺服器相符非常重要。

注意:如果驗證狀態顯示待驗證很長一段時間,則可以嘗試手動啟動驗證流程。如需詳細資訊,請參閲 管理 VPC 端點服務的 DNS 名稱