本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # DNSSEC 簽署故障診斷 本節中的資訊可協助您解決 DNSSEC 簽署的問題,包括啟用、停用及金鑰簽署金鑰 (KSK)。 啟用 DNSSEC 在開始啟用 DNSSEC 簽署之前,請務必先閱讀 [在 Amazon Route 53 中設定 DNSSEC 簽署](dns-configuring-dnssec.md) 中的先決條件。 停用 DNSSEC 為了安全地停用 DNSSEC,Route 53 會檢查目標區域是否位於信任鏈中。其會檢查目標區域的父項是否具有目標區域的任何 NS 記錄以及目標區域的 DS 記錄。如果目標區域無法公開解析,例如,在查詢 NS 和 DS 時得到 SERVFAIL 回應,Route 53 就無法判斷停用 DNSSEC 是否安全。您可以聯絡您的父區域以修正這些問題,並於稍後再重試停用 DNSSEC。 KSK 狀態為 **Action needed (需採取動作)** 當 Route 53 DNSSEC 無法存取對應的 (由於許可 AWS KMS key 或刪除) 時,KSK 可以將其狀態變更為**所需的動作** AWS KMS key (或`ACTION_NEEDED`處於 [KeySigningKey](https://docs.aws.amazon.com/Route53/latest/APIReference/API_KeySigningKey.html) 狀態)。 如果 KSK 的狀態為 **Action needed** (需採取動作),意味著最終其將導致使用 DNSSEC 驗證解析器的客戶端發生區域中斷,而您必須快速採取行動以防止生產區域變得無法解析。 若要修正這個問題,請確定您 KSK 作為依據的客戶受管金鑰已啟用且具有正確的許可。如需所需許可的詳細資訊,請參閱[DNSSEC 簽署需要 Route 53 客戶受管金鑰許可](access-control-managing-permissions.md#KMS-key-policy-for-DNSSEC)。 修正 KSK 之後,請使用 主控台或 再次啟用它 AWS CLI,如 中所述[步驟 2:啟用 DNSSEC 簽署並建立 KSK](dns-configuring-dnssec-enable-signing.md#dns-configuring-dnssec-enable)。 若要避免未來發生此問題,請考慮新增 Amazon CloudWatch 指標,以追蹤 中建議的 KSK 狀態[在 Amazon Route 53 中設定 DNSSEC 簽署](dns-configuring-dnssec.md)。 KSK 狀態為 **Internal failure (內部故障)** 當 KSK 的狀態為 **Internal failure** (內部故障) (或在 [KeySigningKey](https://docs.aws.amazon.com/Route53/latest/APIReference/API_KeySigningKey.html) 狀態中為 `INTERNAL_FAILURE`) 時,在問題解決之前,您無法使用任何其他 DNSSEC 實體。您必須採取行動,才能使用 DNSSEC 簽署,包括使用此 KSK 或您的其他 KSK。 若要修正此問題,請再試一次啟用或停用 KSK。 若要在使用 API 時修正此問題,請嘗試啟用簽署 ([EnableHostedZoneDNSSEC](https://docs.aws.amazon.com/Route53/latest/APIReference/API_EnableHostedZoneDNSSEC.html)) 或停用簽署 ([ DisableHostedZoneDNSSEC](https://docs.aws.amazon.com/Route53/latest/APIReference/API_DisableHostedZoneDNSSEC.html))。 務必及時修正 **Internal failure (內部故障)** 問題。在修正此問題之前,除了修正 **Internal failure (內部故障)** 的操作之外,您無法對託管區域進行任何其他變更。