使用 Route 53 全球解析器诊断 DNS 连接问题 - Amazon Route 53
客户端设备无法解析域间歇性解析失败意想不到的公开决议
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用 Route 53 全球解析器诊断 DNS 连接问题

Route 53 Global Resolver 提供可靠的 DNS 解析,但由于配置、身份验证或网络问题,偶尔会出现连接问题。当客户端设备无法使用 Route 53 全球解析器解析域名时,请使用这些系统的方法来识别和解决连接问题。

客户端设备无法解析域

请按照以下步骤诊断解析故障:

  1. 验证查询是否到达全局解析器

    • 查看 DNS 查询日志,了解来自受影响客户端设备 IP 地址的查询

    • 确认客户端设备配置了正确的任播 IP 地址

    • 测试从客户端设备到 anycast 的网络连接 IPs

  2. 检查客户端设备身份验证

    • 验证客户端设备是否已通过身份验证以获得正确的 DNS 视图

    • 查看客户端设备的 IP 地址或 CIDR 块的访问源规则

    • 确认访问令牌有效且未过期(用于基于令牌的身份验证)

  3. 查看防火墙规则

    • 检查防火墙规则是否阻止了查询

    • 查看规则优先级并确保允许规则的优先级高于屏蔽规则

    • 验证防火墙失效打开行为设置

  4. 确认 DNS 视图关联

    • 验证内部域的私有托管区域关联

    • 检查关联的私有托管区域中是否存在 DNS 记录

    • 确保查询中的域名与区域名称完全匹配

间歇性解析失败

对于零星的 DNS 解析问题,请调查以下潜在原因:

身份验证问题

  • 检查访问令牌的到期时间和续订模式

  • 查看身份验证日志,查看失败的身份验证尝试

  • 验证客户端设备的时钟同步以进行令牌验证

网络连接

  • 监控网络路径变化或路由问题

  • 检查防火墙或 NAT 设备配置是否有更改

  • 验证到最近区域的任播路由是否一致

服务运行状况

  • 在 S Amazon ervice Health Dashboard 中查看 Route 53 全球解决程序问题

  • 查看错误率峰值的 CloudWatch 指标

  • 监控私有托管区域关联状态

意想不到的公开决议

当查询解析到公有 DNS 而不是私有托管区域时:

  1. 验证私有托管区域配置

    • 确认私有托管区域包含预期的 DNS 记录

    • 检查记录名称是否与查询的域名完全匹配

    • 验证记录类型是否与查询类型(A、AAAA、CNAME 等)相匹配

  2. 检查 DNS 视图关联

    • 验证私有托管区域是否与正确的 DNS 视图相关联

    • 确认客户端设备已通过 DNS 视图的身份验证

    • 在控制台中查看关联状态

  3. 查看防火墙规则

    • 检查是否存在可能阻止私有区域查询的防火墙规则

    • 验证规则评估顺序和优先级

    • 查看 DNS 查询日志以了解防火墙操作