翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Route 53 Global Resolver の設定問題のトラブルシューティング
Route 53 Global Resolver には、DNS ビュー、認証、ファイアウォールルールの広範な設定オプションが用意されており、設定の競合や不一致が発生する可能性があります。DNS 解決に影響する Route 53 Global Resolver の一般的な設定問題を特定して解決します。
認証の問題
一般的な認証の問題と解決策:
- アクセスソースルールの不一致
-
-
クライアントデバイスの IP アドレスが設定済み CIDR ブロックと一致することを確認する
-
ソース IP アドレスを変更する NAT またはプロキシデバイスを確認する
-
アクセスソースルールが、予想されるクライアントデバイスの IP 範囲をすべてカバーしていることを確認します。
-
- トークン認証の失敗
-
-
クライアントデバイスでトークンが正しく設定されていることを確認する
-
トークンの有効期限と更新プロセスを確認する
-
クライアントデバイスクロックがトークン検証用に同期されていることを確認します。
-
- プロトコルの不一致
-
-
クライアントデバイスがアクセスソースルールで許可されているプロトコルを使用していることを確認する
-
DoH と DoT の設定がトークンプロトコルと一致することを確認する
-
ファイアウォールルールが必要なプロトコルをブロックしないようにする
-
DNS ビュー設定の問題
DNS ビュー設定の一般的な問題:
- DNS ビューの関連付けが正しくない
-
-
クライアントデバイスが目的の DNS ビューに対して認証されていることを確認する
-
プライベートホストゾーンが正しい DNS ビューに関連付けられていることを確認します。
-
各 DNS ビューに適用されるファイアウォールルールを確認する
-
- DNS 設定の競合
-
-
DNSSEC 検証設定でクライアントデバイスとの互換性を確認する
-
EDNS クライアントサブネットの設定でプライバシーとパフォーマンスのバランスを確認する
-
ファイアウォールのフェイルオープン動作がセキュリティ要件と一致していることを確認する
-
ファイアウォールルールの問題
ファイアウォールルール設定の一般的な問題:
- ルールの優先度の競合
-
-
ルールの評価順序を確認し、正しい優先度の割り当てを確認する
-
意図した許可ルールよりも高い優先度のブロックルールを確認する
-
本番環境のデプロイ前に、制御された環境でルールの変更をテストする
-
- ドメインリストの不一致
-
-
カスタムドメインリストのドメイン仕様を検証する
-
ワイルドカードパターンで正しい構文とカバレッジを確認する
-
ドメインリストが更新され、同期されていることを確認する
-
