クライアントデバイスがドメインを解決できない断続的な解決の失敗予期しないパブリック解決

Route 53 Global Resolver の DNS 接続の問題の診断

Route 53 Global Resolver は信頼性の高い DNS 解決を提供しますが、設定、認証、またはネットワークの問題が原因で接続の問題が発生することがあります。クライアントデバイスが Route 53 Global Resolver を使用してドメイン名を解決できない場合は、これらの体系的なアプローチを使用して接続の問題を特定して解決します。

クライアントデバイスがドメインを解決できない

解決の失敗を診断するには、次の手順に従います。

クエリがグローバルリゾルバーに到達することを確認する
- DNS クエリログで、影響を受けるクライアントデバイスの IP アドレスからのクエリを確認する
- クライアントデバイスが正しいエニーキャスト IP アドレスで設定されていることを確認します。
- クライアントデバイスからエニーキャスト IPs
クライアントデバイスの認証を確認する
- クライアントデバイスが正しい DNS ビューに対して認証されていることを確認します。
- クライアントデバイスの IP アドレスまたは CIDR ブロックのアクセスソースルールを確認する
- アクセストークンが有効で有効期限が切れていないことを確認する (トークンベースの認証の場合)
ファイアウォールルールを確認する
- ファイアウォールルールがクエリをブロックしているかどうかを確認します。
- ルールの優先度を確認し、許可ルールの優先度がブロックルールよりも高いことを確認します。
- ファイアウォールのフェイルオープン動作設定を確認する
DNS ビューの関連付けを確認する
- 内部ドメインのプライベートホストゾーンの関連付けを検証する
- 関連付けられたプライベートホストゾーンに DNS レコードが存在することを確認する
- クエリのドメイン名がゾーン名と完全に一致することを確認する

断続的な解決の失敗

散発的な DNS 解決の問題については、以下の潜在的な原因を調査します。

認証問題

アクセストークンの有効期限と更新パターンを確認する
失敗した認証試行の認証ログを確認する
トークン検証のためにクライアントデバイスのクロック同期を検証する

ネットワーク接続

ネットワークパスの変更やルーティングの問題を監視する
ファイアウォールまたは NAT デバイスの設定変更を確認する
最も近いリージョンへの一貫したエニーキャストルーティングを検証する

サービス状態

Route 53 Global Resolver の問題に関する AWS サービスヘルスダッシュボードの確認
エラー率の急増について CloudWatch メトリクスを確認する
プライベートホストゾーンの関連付けステータスをモニタリングする

予期しないパブリック解決

クエリがプライベートホストゾーンではなくパブリック DNS に解決される場合:

プライベートホストゾーンの設定を確認する
- プライベートホストゾーンに予想される DNS レコードが含まれていることを確認する
- レコード名がクエリされたドメインと完全に一致することを確認する
- レコードタイプがクエリタイプ (A、AAAA、CNAME など) と一致することを確認する
DNS ビューの関連付けを確認する
- プライベートホストゾーンが正しい DNS ビューに関連付けられていることを確認する
- クライアントデバイスが DNS ビューに対して認証されていることを確認します。
- コンソールで関連付けステータスを確認する
ファイアウォールルールを確認する
- プライベートゾーンクエリをブロックしている可能性のあるファイアウォールルールを確認する
- ルール評価の順序と優先度を検証する
- ファイアウォールアクションの DNS クエリログを確認する

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

DNS の問題のトラブルシューティング

パフォーマンスの問題を解決する