Fehlerbehebung für DNSSEC

Die Informationen in diesem Abschnitt können Ihnen helfen, Probleme mit der DNSSEC-Signatur zu beheben, einschließlich der Aktivierung, Deaktivierung und mit Ihrer Schlüsselsignierungsschlüssel (KSKs).

Aktivieren der DNSSEC

Stellen Sie sicher, dass Sie die Voraussetzungen in Konfigurieren der DNSSEC-Signatur in Amazon Route 53 gelesen haben, bevor Sie mit der Aktivierung der DNSSEC-Signierung beginnen.

Deaktivieren der DNSSEC

Um DNSSEC sicher zu deaktivieren, überprüft Route 53, ob sich die Zielzone in der Vertrauenskette befindet. Es überprüft, ob das übergeordnete Element der Zielzone über NS-Datensätze der Zielzone und DS-Datensätze der Zielzone verfügt. Wenn die Zielzone nicht öffentlich auflösbar ist, z. B. wenn beim Abfragen nach NS und DS eine SERVFAIL-Antwort erhalten wird, kann Route 53 nicht feststellen, ob DNSSEC sicher deaktiviert werden kann. Sie können sich an Ihre übergeordnete Zone wenden, um diese Probleme zu beheben, und später erneut versuchen, DNSSEC zu deaktivieren.

KSK-Status lautetAktion erforderlich

Ein KSK kann seinen Status in Aktion erforderlich (oder ACTION_NEEDED in einem -KeySigningKeyStatus) ändern, wenn Route 53 DNSSEC den Zugriff auf eine entsprechende verliert AWS KMS key (aufgrund einer Änderung der Berechtigungen oder des AWS KMS key Löschens).

Wenn der Status eines KSK Action needed (Aktion erforderlich) ist, bedeutet dies, dass es schließlich zu einem Zonenausfall für Clients kommt, die DNSSEC-validierende Resolver verwenden, und Sie müssen schnell handeln, um zu verhindern, dass eine Produktionszone nicht mehr aufgelöst werden kann.

Um das Problem zu beheben, stellen Sie sicher, dass der vom Kunden verwaltete Schlüssel, auf dem Ihre KSK basiert, aktiviert ist und über die richtigen Berechtigungen verfügt. Weitere Informationen zu den erforderlichen Berechtigungen finden Sie unter Route 53 vom Kunden verwaltete Schlüsselberechtigungen für DNSSEC-Signierung erforderlich.

Nachdem Sie den KSK repariert haben, aktivieren Sie ihn erneut mithilfe der Konsole oder der AWS CLI, wie unter beschriebenSchritt 2: Aktivieren der DNSSEC-Signatur und Erstellen einer KSK.

Um dieses Problem in Zukunft zu vermeiden, sollten Sie eine - Amazon CloudWatch Metrik hinzufügen, um den Status des KSK zu verfolgen, wie in vorgeschlagenKonfigurieren der DNSSEC-Signatur in Amazon Route 53.

KSK-Status lautetInternal failure (Interner Fehler)

Wenn ein KSK den Status Interner Fehler (oder INTERNAL_FAILURE KeySigningKey Status ) hat, können Sie erst mit anderen DNSSEC-Entitäten zusammenarbeiten, wenn das Problem behoben ist. Sie müssen Maßnahmen ergreifen, bevor Sie mit der DNSSEC-Signatur arbeiten können, einschließlich der Arbeit mit dieser KSK oder Ihrer anderen KSK.

Um das Problem zu beheben, versuchen Sie erneut, KSK zu aktivieren oder zu deaktivieren.

Um das Problem bei der Arbeit mit den APIs zu beheben, versuchen Sie, die Signatur (EnableHostedZoneDNSSEC ) zu aktivieren oder die Signatur ( DisableHostedZoneDNSSEC ) zu deaktivieren.

Es ist wichtig, dass SieInternal failure (Interner Fehler)umgehend Probleme. Sie können keine weiteren Änderungen an der gehosteten Zone vornehmen, bis Sie das Problem behoben haben, mit Ausnahme der Vorgänge zum Beheben des Internal failure (Interner Fehler).

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

DNSSEC-Nachweise für Nichtvorhandensein in Route 53

Wird AWS Cloud Map zum Erstellen von Datensätzen und Zustandsprüfungen verwendet