本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
診斷 Route 53 Global Resolver 的 DNS 連線問題
Route 53 Global Resolver 提供可靠的 DNS 解析,但連線問題偶爾會因為組態、身分驗證或網路問題而發生。當用戶端裝置無法使用 Route 53 Global Resolver 解析網域名稱時,請使用這些系統性方法來識別和解決連線問題。
用戶端裝置無法解析網域
請依照下列步驟來診斷解決失敗:
-
驗證查詢是否到達全域解析程式
-
檢查 DNS 查詢日誌是否有來自受影響用戶端裝置 IP 地址的查詢
-
確認用戶端裝置已設定正確的廣播 IP 地址
-
測試從用戶端裝置到任何廣播 IPs網路連線
-
-
檢查用戶端裝置身分驗證
-
確認用戶端裝置已驗證為正確的 DNS 檢視
-
檢查用戶端裝置的 IP 地址或 CIDR 區塊的存取來源規則
-
確認存取字符有效且未過期 (適用於字符型身分驗證)
-
-
檢閱防火牆規則
-
檢查防火牆規則是否封鎖查詢
-
檢閱規則優先順序,並確保允許規則的優先順序高於封鎖規則
-
驗證防火牆故障開啟行為設定
-
-
確認 DNS 檢視關聯
-
驗證內部網域的私有託管區域關聯
-
檢查相關聯的私有託管區域中是否存在 DNS 記錄
-
確保查詢中的網域名稱完全符合區域名稱
-
間歇性解析失敗
對於偶發 DNS 解析問題,請調查這些潛在原因:
- 驗證問題
-
-
檢查存取權杖過期和續約模式
-
檢閱身分驗證日誌是否有失敗的身分驗證嘗試
-
驗證用於權杖驗證的用戶端裝置時鐘同步
-
- 網路連線能力
-
-
監控網路路徑變更或路由問題
-
檢查防火牆或 NAT 裝置組態變更
-
驗證至最接近區域的一致 Anycast 路由
-
- 服務運作狀態
-
-
檢查 AWS 服務運作狀態儀表板是否有 Route 53 全域解析程式問題
-
檢閱 CloudWatch 指標是否有錯誤率峰值
-
監控私有託管區域關聯狀態
-
非預期的公有解決方案
當查詢解析為公有 DNS 而非私有託管區域時:
-
驗證私有託管區域組態
-
確認私有託管區域包含預期的 DNS 記錄
-
檢查記錄名稱是否完全符合查詢的網域
-
確認記錄類型符合查詢類型 (A、AAAA、CNAME 等)
-
-
檢查 DNS 檢視關聯
-
確認私有託管區域與正確的 DNS 檢視相關聯
-
確認用戶端裝置已通過 DNS 檢視的身分驗證
-
在主控台中檢查關聯狀態
-
-
檢閱防火牆規則
-
檢查可能封鎖私有區域查詢的防火牆規則
-
驗證規則評估順序和優先順序
-
檢閱防火牆動作的 DNS 查詢日誌
-
