本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用 Route 53 全球解析器诊断 DNS 连接问题
Route 53 Global Resolver 提供可靠的 DNS 解析,但由于配置、身份验证或网络问题,偶尔会出现连接问题。当客户端设备无法使用 Route 53 全球解析器解析域名时,请使用这些系统的方法来识别和解决连接问题。
客户端设备无法解析域
请按照以下步骤诊断解析故障:
-
验证查询是否到达全局解析器
-
查看 DNS 查询日志,了解来自受影响客户端设备 IP 地址的查询
-
确认客户端设备配置了正确的任播 IP 地址
-
测试从客户端设备到 anycast 的网络连接 IPs
-
-
检查客户端设备身份验证
-
验证客户端设备是否已通过身份验证以获得正确的 DNS 视图
-
查看客户端设备的 IP 地址或 CIDR 块的访问源规则
-
确认访问令牌有效且未过期(用于基于令牌的身份验证)
-
-
查看防火墙规则
-
检查防火墙规则是否阻止了查询
-
查看规则优先级并确保允许规则的优先级高于屏蔽规则
-
验证防火墙失效打开行为设置
-
-
确认 DNS 视图关联
-
验证内部域的私有托管区域关联
-
检查关联的私有托管区域中是否存在 DNS 记录
-
确保查询中的域名与区域名称完全匹配
-
间歇性解析失败
对于零星的 DNS 解析问题,请调查以下潜在原因:
- 身份验证问题
-
-
检查访问令牌的到期时间和续订模式
-
查看身份验证日志,查看失败的身份验证尝试
-
验证客户端设备的时钟同步以进行令牌验证
-
- 网络连接
-
-
监控网络路径变化或路由问题
-
检查防火墙或 NAT 设备配置是否有更改
-
验证到最近区域的任播路由是否一致
-
- 服务运行状况
-
-
在 S AWS ervice Health Dashboard 中查看 Route 53 全球解决程序问题
-
查看错误率峰值的 CloudWatch 指标
-
监控私有托管区域关联状态
-
意想不到的公开决议
当查询解析到公有 DNS 而不是私有托管区域时:
-
验证私有托管区域配置
-
确认私有托管区域包含预期的 DNS 记录
-
检查记录名称是否与查询的域名完全匹配
-
验证记录类型是否与查询类型(A、AAAA、CNAME 等)相匹配
-
-
检查 DNS 视图关联
-
验证私有托管区域是否与正确的 DNS 视图相关联
-
确认客户端设备已通过 DNS 视图的身份验证
-
在控制台中查看关联状态
-
-
查看防火墙规则
-
检查是否存在可能阻止私有区域查询的防火墙规则
-
验证规则评估顺序和优先级
-
查看 DNS 查询日志以了解防火墙操作
-
