本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 对 Route 53 全局解析器中的配置问题进行故障排除
<a name="gr-troubleshoot-configuration-issues"></a>

Route 53 Global Resolver 为 DNS 视图、身份验证和防火墙规则提供了广泛的配置选项，这有时会导致配置冲突或不匹配。识别并解决影响 DNS 解析的常见 Route 53 全局解析器配置问题。

## 身份验证问题
<a name="gr-authentication-problems"></a>

常见的身份验证问题和解决方案：

访问源规则不匹配  
+ 验证客户端设备的 IP 地址与配置的 CIDR 块相匹配
+ 检查更改源 IP 地址的 NAT 或代理设备
+ 确保访问源规则涵盖所有预期的客户端设备 IP 范围

令牌身份验证失败  
+ 验证客户端设备上的令牌配置是否正确
+ 查看代币到期日期和续订流程
+ 确保客户端设备时钟同步以进行令牌验证

协议不匹配  
+ 验证客户端设备是否使用访问源规则允许的协议
+ 检查 DoH 和 DoT 的配置是否与令牌协议匹配
+ 确保防火墙规则不会阻止所需的协议

## DNS 视图配置问题
<a name="gr-dns-view-configuration-issues"></a>

常见的 DNS 视图配置问题：

DNS 视图关联不正确  
+ 验证客户端设备是否已通过身份验证到预期的 DNS 视图
+ 检查私有托管区域是否与正确的 DNS 视图相关联
+ 查看应用于每个 DNS 视图的防火墙规则

DNS 设置冲突  
+ 查看 DNSSEC 验证设置是否与客户端设备兼容
+ 检查 EDNS 客户端子网设置，确保隐私和性能平衡
+ 验证防火墙失效打开行为是否符合安全要求

## 防火墙规则问题
<a name="gr-firewall-rule-issues"></a>

常见的防火墙规则配置问题：

规则优先级冲突  
+ 查看规则评估顺序并确保优先级分配正确
+ 检查是否存在优先级高于预期允许规则的屏蔽规则
+ 在生产部署之前，在受控环境中测试规则更改

域名列表不匹配  
+ 验证自定义域名列表中的域名规范
+ 检查通配符模式的语法和覆盖范围是否正确
+ 确保域名列表已更新和同步