翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Route 53 Global Resolver の DNS 問題のトラブルシューティング
Route 53 Global Resolver には包括的な DNS 解決機能がありますが、接続、パフォーマンス、または設定の問題をトラブルシューティングする必要がある場合があります。DNS ログ、モニタリングデータ、診断手法を使用して、Route 53 Global Resolver でクライアントデバイスの DNS 解決に影響する問題を特定して解決します。この章では、一般的な DNS 問題をトラブルシューティングし、パフォーマンスを最適化するための体系的なアプローチについて説明します。
**Topics**
+ [接続の問題の診断](gr-diagnose-connectivity-issues.md)
+ [パフォーマンスの問題を解決する](gr-resolve-performance-issues.md)
+ [設定のトラブルシューティング](gr-troubleshoot-configuration-issues.md)
+ [内部リソースアクセスのトラブルシューティング](#gr-troubleshooting-internal-access)
# Route 53 Global Resolver の DNS 接続の問題の診断
Route 53 Global Resolver は信頼性の高い DNS 解決を提供しますが、設定、認証、またはネットワークの問題が原因で接続の問題が発生することがあります。クライアントデバイスが Route 53 Global Resolver を使用してドメイン名を解決できない場合は、これらの体系的なアプローチを使用して接続の問題を特定して解決します。
## クライアントデバイスがドメインを解決できない
解決の失敗を診断するには、次の手順に従います。
1. **クエリがグローバルリゾルバーに到達することを確認する**
+ DNS クエリログで、影響を受けるクライアントデバイスの IP アドレスからのクエリを確認する
+ クライアントデバイスが正しいエニーキャスト IP アドレスで設定されていることを確認します。
+ クライアントデバイスからエニーキャスト IPs
1. **クライアントデバイスの認証を確認する**
+ クライアントデバイスが正しい DNS ビューに対して認証されていることを確認します。
+ クライアントデバイスの IP アドレスまたは CIDR ブロックのアクセスソースルールを確認する
+ アクセストークンが有効で有効期限が切れていないことを確認する (トークンベースの認証の場合)
1. **ファイアウォールルールを確認する**
+ ファイアウォールルールがクエリをブロックしているかどうかを確認する
+ ルールの優先度を確認し、許可ルールの優先度がブロックルールよりも高いことを確認します。
+ ファイアウォールのフェイルオープン動作設定を確認する
1. **DNS ビューの関連付けを確認する**
+ 内部ドメインのプライベートホストゾーンの関連付けを検証する
+ 関連付けられたプライベートホストゾーンに DNS レコードが存在することを確認する
+ クエリのドメイン名がゾーン名と完全に一致することを確認する
## 断続的な解決の失敗
散発的な DNS 解決の問題については、以下の潜在的な原因を調査します。
認証問題
+ アクセストークンの有効期限と更新パターンを確認する
+ 失敗した認証試行の認証ログを確認する
+ トークン検証のためにクライアントデバイスのクロック同期を検証する
ネットワーク接続
+ ネットワークパスの変更やルーティングの問題を監視する
+ ファイアウォールまたは NAT デバイスの設定変更を確認する
+ 最も近いリージョンへの一貫したエニーキャストルーティングを検証する
サービス状態
+ Route 53 Global Resolver の問題に関する AWS サービスヘルスダッシュボードの確認
+ エラー率の急増について CloudWatch メトリクスを確認する
+ プライベートホストゾーンの関連付けステータスをモニタリングする
## 予期しないパブリック解決
クエリがプライベートホストゾーンではなくパブリック DNS に解決される場合:
1. **プライベートホストゾーンの設定を確認する**
+ プライベートホストゾーンに予想される DNS レコードが含まれていることを確認する
+ レコード名がクエリされたドメインと完全に一致することを確認する
+ レコードタイプがクエリタイプ (A、AAAA、CNAME など) と一致することを確認する
1. **DNS ビューの関連付けを確認する**
+ プライベートホストゾーンが正しい DNS ビューに関連付けられていることを確認する
+ クライアントデバイスが DNS ビューに対して認証されていることを確認します。
+ コンソールで関連付けステータスを確認する
1. **ファイアウォールルールを確認する**
+ プライベートゾーンクエリをブロックしている可能性のあるファイアウォールルールを確認する
+ ルール評価の順序と優先度を検証する
+ ファイアウォールアクションの DNS クエリログを確認する
# Route 53 Global Resolver の DNS パフォーマンスの問題を解決する
Route 53 Global Resolver は、グローバルエニーキャストアーキテクチャで最適なパフォーマンスを実現するように設計されていますが、さまざまな要因が DNS 解決速度に影響を与える可能性があります。Route 53 Global Resolver を使用して、DNS 解決の遅延に対処し、クエリ応答時間を最適化してクライアントデバイスのパフォーマンスを向上させます。
## DNS 解決が遅い
遅い DNS 応答時間を診断して解決するには:
1. **クエリの応答時間を分析する**
+ DNS クエリログを使用して応答時間が長いクエリを特定する
+ 異なるドメインとクエリタイプ間で応答時間を比較する
+ 時間の経過に伴う応答時間の傾向をモニタリングする
1. **クエリボリュームが多いかどうかを確認する**
+ クエリボリュームの急増について CloudWatch メトリクスをモニタリングする
+ 過剰なクエリを生成するクライアントデバイスまたは DNS ビューを特定する
+ 設定ミスを示す可能性のあるクエリパターンを探す
1. **キャッシュパフォーマンスを確認する**
+ 頻繁にクエリされるドメインのキャッシュヒット率を分析する
+ DNS レコードの TTL 設定を確認する
+ クエリパターンに基づいて TTL 値を調整することを検討してください
1. **最適なリージョンの選択を検証する**
+ グローバルリゾルバーリージョンがクライアントデバイスのロケーションに近いことを確認する
+ エニーキャストルーティングをモニタリングして、クエリが最寄りのリージョンに到達することを確認する
+ クライアントデバイスが地理的に離れている場合は、リージョンの追加を検討してください。
## パフォーマンス最適化戦略
DNS パフォーマンスを最適化するには、次の戦略を使用します。
キャッシュの最適化
+ クエリパターンと変更頻度に基づいて TTL 値を調整する
+ 安定したレコードTTLs を使用し、頻繁に変化するレコードには短い TTLsを使用します。
+ キャッシュヒット率をモニタリングし、それに応じて TTLsを調整する
リージョンの最適化
+ クライアントデバイスの濃度に最も近いリージョンにグローバルリゾルバーをデプロイする
+ リージョン別のクエリルーティングパターンと応答時間をモニタリングする
+ 地理的カバレッジを向上させるためにリージョンの追加を検討する
プロトコルの最適化
+ セキュリティとパフォーマンスの要件に基づいて適切な DNS プロトコルを選択する
+ キャッシュの利点がある暗号化された接続に DNS-over-HTTPS (DoH) を検討する
+ オーバーヘッドの少ない暗号化された接続に DNS-over-TLS (DoT) を使用する
ルールの最適化
+ ファイアウォールルールの優先度と複雑さを確認して最適化する
+ 頻繁に一致するルールを優先度の高い順序で配置する
+ 可能な場合は複雑なルール条件を簡素化する
# Route 53 Global Resolver の設定問題のトラブルシューティング
Route 53 Global Resolver には、DNS ビュー、認証、ファイアウォールルールの広範な設定オプションが用意されており、設定の競合や不一致が発生する可能性があります。DNS 解決に影響する Route 53 Global Resolver の一般的な設定問題を特定して解決します。
## 認証の問題
一般的な認証の問題と解決策:
アクセスソースルールの不一致
+ クライアントデバイスの IP アドレスが設定済み CIDR ブロックと一致することを確認する
+ ソース IP アドレスを変更する NAT またはプロキシデバイスを確認する
+ アクセスソースルールが、予想されるクライアントデバイスの IP 範囲をすべてカバーしていることを確認します。
トークン認証の失敗
+ クライアントデバイスでトークンが正しく設定されていることを確認する
+ トークンの有効期限と更新プロセスを確認する
+ クライアントデバイスクロックがトークン検証用に同期されていることを確認します。
プロトコルの不一致
+ クライアントデバイスがアクセスソースルールで許可されているプロトコルを使用していることを確認する
+ DoH と DoT の設定がトークンプロトコルと一致することを確認する
+ ファイアウォールルールが必要なプロトコルをブロックしないようにする
## DNS ビュー設定の問題
DNS ビュー設定の一般的な問題:
DNS ビューの関連付けが正しくない
+ クライアントデバイスが目的の DNS ビューに対して認証されていることを確認する
+ プライベートホストゾーンが正しい DNS ビューに関連付けられていることを確認します。
+ 各 DNS ビューに適用されるファイアウォールルールを確認する
DNS 設定の競合
+ DNSSEC 検証設定でクライアントデバイスとの互換性を確認する
+ EDNS クライアントサブネットの設定でプライバシーとパフォーマンスのバランスを確認する
+ ファイアウォールのフェイルオープン動作がセキュリティ要件と一致していることを確認する
## ファイアウォールルールの問題
ファイアウォールルール設定の一般的な問題:
ルールの優先度の競合
+ ルールの評価順序を確認し、正しい優先度の割り当てを確認する
+ 意図した許可ルールよりも高い優先度のブロックルールを確認する
+ 本番環境のデプロイ前に、制御された環境でルールの変更をテストする
ドメインリストの不一致
+ カスタムドメインリストのドメイン仕様を検証する
+ ワイルドカードパターンで正しい構文とカバレッジを確認する
+ ドメインリストが更新され、同期されていることを確認する
## 内部リソースアクセスのトラブルシューティング
内部リソースアクセスを管理する際の一般的な問題と解決策:
クライアントデバイスがプライベートゾーンレコードに解決されない
+ プライベートホストゾーンが正しい DNS ビューに関連付けられていることを確認する
+ クライアントデバイスが正しい DNS ビューに対して認証されていることを確認します。
+ クエリのドメイン名がゾーン名と完全に一致することを確認します。
+ DNS レコードがプライベートホストゾーンに存在することを確認する
断続的な解決の失敗
+ コンソールで関連付けステータスを確認する
+ DNS クエリログでエラーパターンを確認する
+ Route 53 Global Resolver と Amazon Route 53 間のネットワーク接続を検証する
予期しないパブリック解決
+ プライベートホストゾーンに予想されるレコードが含まれていることを確認する
+ クエリをブロックしている可能性のあるファイアウォールルールを確認する
+ クエリが DNS ビューに関連付けられたクライアントデバイスから送信されていることを確認します。