本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 使用 Route 53 全球解析器诊断 DNS 连接问题
<a name="gr-diagnose-connectivity-issues"></a>

Route 53 Global Resolver 提供可靠的 DNS 解析，但由于配置、身份验证或网络问题，偶尔会出现连接问题。当客户端设备无法使用 Route 53 全球解析器解析域名时，请使用这些系统的方法来识别和解决连接问题。

## 客户端设备无法解析域
<a name="gr-client-devices-cannot-resolve-domains"></a>

请按照以下步骤诊断解析故障：

1. **验证查询是否到达全局解析器**
   + 查看 DNS 查询日志，了解来自受影响客户端设备 IP 地址的查询
   + 确认客户端设备配置了正确的任播 IP 地址
   + 测试从客户端设备到 anycast 的网络连接 IPs

1. **检查客户端设备身份验证**
   + 验证客户端设备是否已通过身份验证以获得正确的 DNS 视图
   + 查看客户端设备的 IP 地址或 CIDR 块的访问源规则
   + 确认访问令牌有效且未过期（用于基于令牌的身份验证）

1. **查看防火墙规则**
   + 检查防火墙规则是否阻止了查询
   + 查看规则优先级并确保允许规则的优先级高于屏蔽规则
   + 验证防火墙失效打开行为设置

1. **确认 DNS 视图关联**
   + 验证内部域的私有托管区域关联
   + 检查关联的私有托管区域中是否存在 DNS 记录
   + 确保查询中的域名与区域名称完全匹配

## 间歇性解析失败
<a name="gr-intermittent-resolution-failures"></a>

对于零星的 DNS 解析问题，请调查以下潜在原因：

身份验证问题  
+ 检查访问令牌的到期时间和续订模式
+ 查看身份验证日志，查看失败的身份验证尝试
+ 验证客户端设备的时钟同步以进行令牌验证

网络连接  
+ 监控网络路径变化或路由问题
+ 检查防火墙或 NAT 设备配置是否有更改
+ 验证到最近区域的任播路由是否一致

服务运行状况  
+ 在 S AWS ervice Health Dashboard 中查看 Route 53 全球解决程序问题
+ 查看错误率峰值的 CloudWatch 指标
+ 监控私有托管区域关联状态

## 意想不到的公开决议
<a name="gr-unexpected-public-resolution"></a>

当查询解析到公有 DNS 而不是私有托管区域时：

1. **验证私有托管区域配置**
   + 确认私有托管区域包含预期的 DNS 记录
   + 检查记录名称是否与查询的域名完全匹配
   + 验证记录类型是否与查询类型（A、AAAA、CNAME 等）相匹配

1. **检查 DNS 视图关联**
   + 验证私有托管区域是否与正确的 DNS 视图相关联
   + 确认客户端设备已通过 DNS 视图的身份验证
   + 在控制台中查看关联状态

1. **查看防火墙规则**
   + 检查是否存在可能阻止私有区域查询的防火墙规则
   + 验证规则评估顺序和优先级
   + 查看 DNS 查询日志以了解防火墙操作