本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 診斷 Route 53 Global Resolver 的 DNS 連線問題
<a name="gr-diagnose-connectivity-issues"></a>

Route 53 Global Resolver 提供可靠的 DNS 解析，但連線問題偶爾會因為組態、身分驗證或網路問題而發生。當用戶端裝置無法使用 Route 53 Global Resolver 解析網域名稱時，請使用這些系統性方法來識別和解決連線問題。

## 用戶端裝置無法解析網域
<a name="gr-client-devices-cannot-resolve-domains"></a>

請依照下列步驟來診斷解決失敗：

1. **驗證查詢是否到達全域解析程式**
   + 檢查 DNS 查詢日誌是否有來自受影響用戶端裝置 IP 地址的查詢
   + 確認用戶端裝置已設定正確的廣播 IP 地址
   + 測試從用戶端裝置到任何廣播 IPs網路連線

1. **檢查用戶端裝置身分驗證**
   + 確認用戶端裝置已驗證為正確的 DNS 檢視
   + 檢查用戶端裝置的 IP 地址或 CIDR 區塊的存取來源規則
   + 確認存取字符有效且未過期 （適用於字符型身分驗證）

1. **檢閱防火牆規則**
   + 檢查防火牆規則是否封鎖查詢
   + 檢閱規則優先順序，並確保允許規則的優先順序高於封鎖規則
   + 驗證防火牆故障開啟行為設定

1. **確認 DNS 檢視關聯**
   + 驗證內部網域的私有託管區域關聯
   + 檢查相關聯的私有託管區域中是否存在 DNS 記錄
   + 確保查詢中的網域名稱完全符合區域名稱

## 間歇性解析失敗
<a name="gr-intermittent-resolution-failures"></a>

對於偶發 DNS 解析問題，請調查這些潛在原因：

驗證問題  
+ 檢查存取權杖過期和續約模式
+ 檢閱身分驗證日誌是否有失敗的身分驗證嘗試
+ 驗證用於權杖驗證的用戶端裝置時鐘同步

網路連線  
+ 監控網路路徑變更或路由問題
+ 檢查防火牆或 NAT 裝置組態變更
+ 驗證至最接近區域的一致 Anycast 路由

服務運作狀態  
+ 檢查 AWS 服務運作狀態儀表板是否有 Route 53 全域解析程式問題
+ 檢閱 CloudWatch 指標是否有錯誤率峰值
+ 監控私有託管區域關聯狀態

## 非預期的公有解決方案
<a name="gr-unexpected-public-resolution"></a>

當查詢解析為公有 DNS 而非私有託管區域時：

1. **驗證私有託管區域組態**
   + 確認私有託管區域包含預期的 DNS 記錄
   + 檢查記錄名稱是否完全符合查詢的網域
   + 確認記錄類型符合查詢類型 (A、AAAA、CNAME 等）

1. **檢查 DNS 檢視關聯**
   + 確認私有託管區域與正確的 DNS 檢視相關聯
   + 確認用戶端裝置已通過 DNS 檢視的身分驗證
   + 在主控台中檢查關聯狀態

1. **檢閱防火牆規則**
   + 檢查可能封鎖私有區域查詢的防火牆規則
   + 驗證規則評估順序和優先順序
   + 檢閱防火牆動作的 DNS 查詢日誌