Problembehandlung beim Signieren DNSSEC - Amazon Route 53

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Problembehandlung beim Signieren DNSSEC

Die Informationen in diesem Abschnitt können Ihnen dabei helfen, Probleme beim DNSSEC Signieren zu lösen, einschließlich der Aktivierung und Deaktivierung von Signierschlüsseln (). KSKs

Aktivieren DNSSEC

Stellen Sie sicher, dass Sie die Voraussetzungen unter gelesen haben, Konfiguration der DNSSEC Anmeldung in Amazon Route 53 bevor Sie mit der Aktivierung des DNSSEC Signierens beginnen.

Deaktivierung DNSSEC

Zur sicheren Deaktivierung überprüft Route 53DNSSEC, ob sich die Zielzone in der Vertrauenskette befindet. Es überprüft, ob das übergeordnete Element der Zielzone über NS-Datensätze der Zielzone und DS-Datensätze der Zielzone verfügt. Wenn die Zielzone nicht öffentlich auflösbar ist, z. B. wenn bei der Abfrage nach NS und DS eine SERVFAIL Antwort angezeigt wird, kann Route 53 nicht feststellen, ob ihre Deaktivierung sicher ist. DNSSEC Sie können sich an Ihre übergeordnete Zone wenden, um diese Probleme zu beheben, und die Deaktivierung später erneut versuchen. DNSSEC

KSKDer Status lautet Aktion erforderlich

A KSK kann ihren Status in Aktion erforderlich (oder ACTION_NEEDED in einen KeySigningKeyStatus) ändern, wenn Route 53 den Zugriff auf eine entsprechende Nachricht DNSSEC verliert AWS KMS key (aufgrund einer Änderung der Berechtigungen oder AWS KMS key Löschung).

Wenn der Status von a „Aktion erforderlich“ KSK lautet, bedeutet dies, dass dies letztendlich zu einem Zonenausfall für Clients führt, die DNSSEC validierende Resolver verwenden, und Sie müssen schnell handeln, um zu verhindern, dass eine Produktionszone unlösbar wird.

Um das Problem zu beheben, stellen Sie sicher, dass der vom Kunden verwaltete Schlüssel, auf dem Ihr Schlüssel basiert, aktiviert KSK ist und über die richtigen Berechtigungen verfügt. Weitere Informationen zu den erforderlichen Berechtigungen finden Sie unter Für das Signieren sind vom Kunden verwaltete Schlüsselberechtigungen für Route 53 erforderlich DNSSEC.

Nachdem Sie das Problem behoben habenKSK, aktivieren Sie es erneut mithilfe der Konsole oder der AWS CLI, wie unter beschriebenSchritt 2: Aktivieren Sie die DNSSEC Signatur und erstellen Sie eine KSK.

Um dieses Problem in future zu vermeiden, sollten Sie erwägen, eine Amazon CloudWatch Metrik hinzuzufügen, um den Status von zu verfolgen, KSK wie unter vorgeschlagenKonfiguration der DNSSEC Anmeldung in Amazon Route 53.

KSKDer Status ist Interner Fehler

Wenn a den Status Interner Fehler KSK hat (oder sich INTERNAL_FAILURE in einem KeySigningKeyStatus befindet), können Sie mit keiner anderen DNSSEC Entität arbeiten, bis das Problem behoben ist. Sie müssen Maßnahmen ergreifen, bevor Sie mit dem DNSSEC Signieren arbeiten können, einschließlich der Arbeit mit dieser KSK oder Ihrer anderenKSK.

Versuchen Sie erneut, das zu aktivieren oder zu deaktivieren, um das Problem zu behebenKSK.

Um das Problem bei der Arbeit mit dem zu behebenAPIs, versuchen Sie, das Signieren zu aktivieren (EnableHostedZoneDNSSEC) oder das Signieren zu deaktivieren (DisableHostedZoneDNSSEC).

Es ist wichtig, dass SieInternal failure (Interner Fehler)umgehend Probleme. Sie können keine weiteren Änderungen an der gehosteten Zone vornehmen, bis Sie das Problem behoben haben, mit Ausnahme der Vorgänge zum Beheben des Internal failure (Interner Fehler).