¿Por qué auditar la salud DNS de tu dominio?
Un dominio bien configurado responde rápido y de forma predecible. Cuando la delegación al padre es exacta, cada servidor es accesible en IPv4 e IPv6, el SOA está sincronizado y los ajustes están limpios, las fallas desaparecen.
Problemas comunes detectados por la auditoría:
- Lame delegation → Un NS no responde como autoritativo, causando SERVFAIL intermitentes
- Glue obsoleto → La IP del NS cambió pero el padre sigue apuntando a la dirección antigua
- Discrepancia padre/zona → Los NS declarados difieren, creando resoluciones inconsistentes
- TCP bloqueado → Las respuestas DNSSEC o voluminosas se truncan
Cómo usar la auditoría DNS en 3 pasos
Paso 1: Introducir el dominio
Introduce tu nombre de dominio en el campo de búsqueda (ejemplo: captaindns.com). La auditoría se inicia automáticamente e interroga la cadena completa de resolución.
Paso 2: Analizar los resultados
El informe muestra:
- ❌ Errores (rojo): Problemas bloqueantes o degradación de la resolución
- ⚠️ Advertencias (naranja): Mejoras recomendadas
- ✅ Validado (verde): Configuración correcta
Cada elemento incluye una explicación y acción recomendada.
Paso 3: Corregir los problemas
Sigue las recomendaciones:
- Delegación → Corrige en el registrador
- Glue → Actualiza las IP de los NS en el registrador
- Zona → Corrige los registros NS en tu servidor DNS
- TCP → Abre el puerto 53 TCP en tus cortafuegos
¿Qué analiza exactamente la auditoría DNS?
Delegación y coherencia padre/zona
La auditoría comienza en el padre. Lee la lista de NS publicada en el registro y la compara con los NS declarados en tu zona. Una discrepancia = resoluciones aleatorias.
| Verificación | Descripción |
|---|---|
| NS en el padre | Lista de NS publicados en el registrador |
| NS en la zona | Lista de NS en el registro NS de tu zona |
| Comparación | Alerta si las listas difieren |
Glue records
Los glue son direcciones IP publicadas en el padre. Son necesarios cuando un NS está en el dominio que sirve (ns1.captaindns.com para captaindns.com).
Problemas detectados:
- Glue faltante → La resolución entra en bucle
- Glue obsoleto → La IP cambió, el padre apunta a la antigua
Accesibilidad de los NS
Cada servidor NS se prueba:
- IPv4: Respuesta en UDP y TCP
- IPv6: Respuesta si AAAA presente
- Autoridad: ¿El servidor responde como autoritativo?
- Recursión: Debe estar desactivada en un autoritativo
SOA y sincronización
El SOA (Start of Authority) contiene el serial y las temporizaciones. La auditoría verifica:
- Serial: Idéntico en todos los NS (sino un servidor está retrasado)
- Refresh: Frecuencia de verificación del primario por los secundarios
- Retry: Retraso antes de nuevo intento tras fallo
- Expire: Duración antes de que un secundario abandone la zona
DNSSEC (si está activado)
Si tu dominio está firmado, la auditoría verifica:
- DS en el padre: Presente y correspondiente con DNSKEY
- DNSKEY: Claves públicas en la zona
- Firmas: Válidas y no expiradas
Casos de uso concretos
Caso 1: Migración de proveedor DNS
Antes de la migración:
- Lanza la auditoría, anota el estado actual
- Reduce los TTL de los registros críticos
Durante la migración:
- Añade los nuevos NS
- Actualiza la delegación en el registrador
- Declara los glue si tus NS están en tu dominio
Después de la migración:
- Relanza la auditoría
- Verifica que padre y zona estén alineados
- Confirma que todos los NS responden como autoritativos
Caso 2: Resoluciones intermitentes
Síntoma: Algunos usuarios ven el sitio, otros tienen errores SERVFAIL aleatorios.
Diagnóstico con la auditoría:
- Verifica la coherencia padre/zona
- Busca una lame delegation
- Compara los serial SOA entre NS
Acción: Corrige la discrepancia identificada, resincroniza los NS.
Caso 3: Cambio de IP de un NS
Síntoma: Después de cambiar la IP de un NS, parte del tráfico va al lugar equivocado.
Diagnóstico con la auditoría:
- Verifica el glue en el padre
- La IP antigua puede seguir publicada
Acción: Actualiza el glue en el registrador.
FAQ - Preguntas frecuentes
P: ¿Qué verifica exactamente la auditoría DNS?
R: La auditoría controla la coherencia entre padre (registro) y zona, verifica que cada NS responda como autoritativo, prueba IPv4/IPv6, valida TCP, compara los serial SOA y detecta lame delegations, glue obsoletos y problemas DNSSEC.
P: ¿Qué es una lame delegation?
R: Una lame delegation ocurre cuando el padre apunta a un servidor NS que no responde como autoritativo para tu zona. Los resolvers pierden tiempo, a veces fallan con SERVFAIL. El término viene de "lame" (cojo) porque el servidor no puede servir la zona que se le pide.
P: ¿Qué son los glue records?
R: Los glue records son direcciones IP publicadas a nivel del padre (registro). Son necesarios cuando tu NS está dentro de tu propio dominio (ej: ns1.captaindns.com para captaindns.com). Sin ellos, la resolución entra en bucle porque para resolver ns1.captaindns.com, primero habría que consultar... ns1.captaindns.com.
P: ¿Por qué verificar la coherencia padre/zona?
R: Si padre y zona declaran NS diferentes, los resolvers siguen caminos diferentes según el cache. Algunos usuarios ven una respuesta, otros ven otra, o errores intermitentes. Alinea siempre ambos.
P: ¿Es obligatorio IPv6?
R: No, pero muy recomendado. Cada vez más redes prefieren IPv6. Un NS sin AAAA puede ser inaccesible para algunos visitantes, robots de indexación o servicios cloud.
Herramientas complementarias
| Herramienta | Utilidad |
|---|---|
| DNS Lookup | Verificar un registro específico (A, MX, TXT, etc.) |
| Test de propagación | Seguir la difusión de un cambio DNS |
| Inspector SPF | Verificar la autenticación de email |
| Probador de email | Probar SPF/DKIM/DMARC en condiciones reales |
Recursos útiles
- RFC 1034 - Domain Names Concepts (arquitectura DNS)
- RFC 1035 - Domain Names Implementation (especificación DNS)
- RFC 4033/4034/4035 - DNSSEC (seguridad DNS)
- ICANN - WHOIS Lookup (información del registrador)