¿Por qué usar herramientas DNS?
El DNS es el primer paso de toda conexión a Internet. Un problema DNS = sitio inaccesible, emails no entregados, certificados SSL imposibles de validar. Sin visibilidad sobre tu configuración DNS, trabajas a ciegas.
Tres situaciones donde estas herramientas son indispensables:
- Migración de servidor → Verificar que el nuevo A/AAAA esté propagado antes de apagar el antiguo
- Problema de correo → Confirmar que MX, SPF, DKIM, DMARC están correctamente publicados
- Sitio inaccesible → Diagnosticar si el problema viene del DNS, del servidor o de la red
Cómo diagnosticar un problema DNS en 3 pasos
Paso 1: Ejecutar una búsqueda DNS
Accede al DNS Lookup, introduce tu dominio y selecciona el tipo de registro:
- A: dirección IPv4 del servidor
- AAAA: dirección IPv6
- MX: servidores de correo
- TXT: SPF, DKIM, DMARC, verificaciones
- NS: servidores de nombres autoritativos
Compara las respuestas de Google DNS, Cloudflare, Quad9 y del servidor autoritativo.
Paso 2: Auditar la salud DNS
Usa la Auditoría DNS para un análisis completo:
- Coherencia padre/zona
- Delegación y glue records
- Accesibilidad IPv4 e IPv6
- Soporte TCP (obligatorio para respuestas voluminosas)
- Sincronización SOA entre servidores
Paso 3: Seguir la propagación
Después de una modificación, el Test de propagación compara las respuestas de decenas de resolvers públicos. Ves instantáneamente quién tiene el nuevo valor y quién mantiene el antiguo.
¿Qué es el DNS?
El DNS (Domain Name System) traduce los nombres de dominio en direcciones IP. Cuando escribes captaindns.com, tu navegador consulta un resolver DNS que sigue la cadena:
- Servidores raíz → Indican dónde encontrar el TLD (.com)
- Servidores TLD → Indican los NS del dominio
- Servidores autoritativos → Proporcionan la respuesta final
Ejemplo de resolución:
Consulta: captaindns.com A
→ Raíz: "El .com está gestionado por a.gtld-servers.net"
→ TLD: "captaindns.com está delegado a ns1.provider.com"
→ Autoritativo: "A = 203.0.113.50, TTL 3600"
Tipos de registros DNS analizados
| Tipo | Función | Ejemplo |
|---|---|---|
| A | Dirección IPv4 | 203.0.113.50 |
| AAAA | Dirección IPv6 | 2001:db8::1 |
| CNAME | Alias hacia otro nombre | www → captaindns.com |
| MX | Servidores de correo | 10 mail.captaindns.com |
| TXT | Texto libre (SPF, DKIM, etc.) | v=spf1 include:_spf.google.com -all |
| NS | Servidores de nombres | ns1.captaindns.com |
| SOA | Autoridad de zona | Serial, refresh, retry, expire, minimum |
| CAA | Autoridades de certificación | issue "letsencrypt.org" |
| PTR | Resolución inversa | IP → nombre |
Casos de uso concretos
Incidente 1: Sitio inaccesible después de migración
Síntoma: El sitio funciona para algunos usuarios, no para otros.
Diagnóstico:
- Ejecuta un DNS Lookup en el registro A
- Compara las respuestas: Google tiene la nueva IP, algunos ISP mantienen la antigua
Acción: Esperar la expiración del TTL o bajar el TTL antes de la próxima migración.
Incidente 2: Emails rechazados después de cambio de proveedor
Síntoma: Los emails salientes son rechazados con "SPF fail".
Diagnóstico:
- Verifica el TXT con DNS Lookup
- El antiguo include sigue presente, el nuevo falta
Acción: Corregir el registro SPF, esperar la propagación, volver a probar.
Incidente 3: Certificado SSL imposible de generar
Síntoma: Let's Encrypt falla con "DNS problem".
Diagnóstico:
- Ejecuta la auditoría DNS del dominio
- Un NS está en lame delegation (no responde como autoritativo)
Acción: Corregir la delegación en el registrar, esperar la propagación.
FAQ - Preguntas frecuentes
P: ¿Cómo funciona la búsqueda DNS?
R: La herramienta consulta el resolver seleccionado (Google, Cloudflare o el servidor autoritativo) y muestra la respuesta bruta con TTL, secciones answer/authority/additional y latencia. Puedes activar la traza iterativa para ver cada paso de la resolución.
P: ¿Qué es la propagación DNS?
R: La "propagación" se refiere al tiempo necesario para que los caches de los resolvers expiren y obtengan el nuevo valor. Depende del TTL: un TTL de 3600 significa que algunos resolvers pueden mantener el valor antiguo hasta 1 hora después de tu cambio.
P: ¿Por qué los resultados difieren entre resolvers?
R: Cada resolver tiene su propio cache. Si un resolver consultó tu zona antes de tu cambio, mantiene la respuesta en cache hasta que expire el TTL. Por eso los cambios no son instantáneos en todas partes.
P: ¿Qué verifica la auditoría DNS?
R: La auditoría controla la coherencia entre padre (registro) y zona, verifica que cada NS responda como autoritativo, prueba IPv4/IPv6, valida TCP, compara los serial SOA y detecta lame delegations o glue obsoletos.
P: ¿Cómo reducir el tiempo de propagación?
R: Baja el TTL del registro a modificar 24-48h antes del cambio (por ejemplo, a 300 segundos). Realiza la modificación. Una vez estable, sube el TTL a su valor normal para optimizar el rendimiento.
Herramientas complementarias
| Herramienta | Utilidad |
|---|---|
| Inspector SPF | Verificar y corregir tu registro SPF |
| Inspector DKIM | Validar tu firma y clave DKIM |
| Inspector DMARC | Configurar y probar tu política DMARC |
| Probador de email | Probar SPF/DKIM/DMARC desde tu servidor |
Recursos útiles
- RFC 1035 - Domain Names (especificación DNS original)
- RFC 8499 - DNS Terminology (glosario DNS oficial)
- Google Public DNS Documentation (guía de uso)
- Cloudflare DNS Learning Center (tutoriales DNS)