Para que serve o número de série (serial)?

O serial permite aos servidores secundários saber se existe uma versão mais recente da zona. Deve ser incrementado a cada modificação da zona.

Que formato devo usar para o serial?

O formato recomendado é AAAAMMDDNN (ano, mês, dia, número). Por exemplo 2025012801 para a primeira modificação de 28 de janeiro de 2025.

O que significam refresh, retry e expire?

Refresh indica quando um secundário verifica o primário. Retry é o tempo entre tentativas após falha. Expire define quando um secundário abandona a zona se não conseguir sincronizar.

O que é o minimum TTL no SOA?

O minimum TTL (ou negative TTL) define quanto tempo as respostas negativas (domínio inexistente) são mantidas em cache. Não é o TTL padrão dos outros registos.

Pode haver vários SOA numa zona?

Não, existe apenas um registo SOA por zona, sempre no apex. Os subdomínios delegados têm o seu próprio SOA na sua zona dedicada.

Pesquisa registo SOA (Start of Authority)

Analise os metadados e a sincronização da sua zona DNS

Problemas de sincronização DNS? Verifique o registo SOA para compreender os parâmetros da sua zona e diagnosticar problemas de replicação.

Host

Tipo

Resolvedor

Rastreamento iterativo

No modo de rastreamento iterativo, o resolvedor é ignorado.

Teste de propagação

Consulta vários resolvedores públicos para comparar as respostas.

Metadados da zona

Consulte o servidor primário, o contacto administrativo e o número de série que identifica a versão da sua zona.

Multi-resolvedor

Compare as respostas do Google, Cloudflare e Quad9 para detetar problemas de propagação do serial.

Parâmetros de sincronização

Analise os valores refresh, retry e expire que controlam a sincronização entre servidores primário e secundários.

TTL e cache negativa

Verifique o minimum TTL que define a duração da cache das respostas negativas (NXDOMAIN).

Gratuito e ilimitado

Teste quantos domínios precisar. Sem registo necessário.

Como utilizar corretamente as diferentes opções do motor de pesquisa DNS?

O que é a traçado iterativa?

A traçado executa a resolução passo a passo. O resolvedor consulta primeiro os servidores raiz, depois os do TLD (.com, .br, .pt) e, por fim, os servidores autoritativos da zona pretendida. Em cada etapa, a página mostra o servidor consultado, a resposta, o RCODE e a latência.

1. Raiz
Descoberta dos servidores do TLD para o nome solicitado.
2. TLD
Referência aos NS da zona (delegação).
3. Autoritativos
Resposta final (ou erro) com TTL e latência.

Para que serve?

Comparar respostas entre resolvedores e regiões
Detetar um cache quente, um TTL demasiado longo ou uma delegação incompleta
Explicar diferenças de latência ou um RCODE inesperado

Dica: deixe a traçado desativada para verificações rápidas; ative-a durante investigações ou para preparar um ticket/post-mortem.

O que é a traçado clássica?

A traçado clássica consulta apenas o resolvedor selecionado (UDP ou DoH) e mostra a resposta tal como é percecionada a partir desse ponto da rede. Obtém o RCODE, as secções da resposta e a latência do percurso cliente → resolvedor.

1. Resolvedor escolhido
Use o preset ou a configuração personalizada para lançar a consulta exatamente como o seu serviço faria.
2. Protocolo preservado
Respeita o transporte selecionado (UDP, TCP ou DoH) para reproduzir o comportamento real.
3. Resposta detalhada
Mostra as secções question, answer e authority/additional quando existirem, com TTL e metadados úteis.

Porque utilizá-la?

Verificar a visão de um resolvedor específico antes de suspeitar de delegação
Confirmar valores em cache e o impacto de um TTL ou de um flush
Documentar uma resolução tal como a vê um cliente ou microserviço

Dica: mantenha a traçado iterativa desativada quando auditar um resolvedor específico; ative-a depois para comparar com o percurso raiz → TLD → autoritativo.

Como funciona o teste de propagação?

O teste consulta em paralelo um conjunto de resolvedores públicos (Google, Cloudflare, Quad9, OpenDNS, ISP…) e agrupa as respostas por conteúdo e RCODE. Vê imediatamente quem já aplicou a atualização.

1. Resolvedores multiponto
Ative os presets de propagação para consultar vários atores distribuídos pelo mundo.
2. Comparação automática
Agrupa respostas idênticas e assinala divergências ou erros específicos de cada resolvedor.
3. Resumo acionável
Apresenta um resumo claro, a lista de resolvedores, latências e estado de cada grupo.

Quando usar?

Acompanhar a difusão de uma alteração DNS à escala global
Identificar caches ainda antigos e decidir um flush direcionado
Partilhar um estado de propagação num ticket ou post-mortem

Dica: durante o teste de propagação, a seleção de resolvedor fica bloqueada. Desative o modo para voltar ao diagnóstico unitário.

O que é um registo SOA?

Um registo SOA (Start of Authority) define a autoridade de uma zona DNS. Contém as informações essenciais da zona: servidor primário, contacto administrativo, número de série e parâmetros de sincronização.

Estrutura de um registo SOA:

Campo	Descrição	Exemplo
MNAME	Servidor DNS primário	`ns1.provider.com.`
RNAME	Contacto administrativo (email)	`hostmaster.captaindns.com.`
Serial	Número de versão da zona	`2025012801`
Refresh	Intervalo de verificação (seg)	`7200`
Retry	Tempo após falha (seg)	`900`
Expire	Abandono da zona (seg)	`1209600`
Minimum	Cache negativa (seg)	`3600`

Exemplo de registo SOA

captaindns.com.  3600  IN  SOA  ns1.provider.com. hostmaster.captaindns.com. (
    2025012801  ; Serial
    7200        ; Refresh (2 horas)
    900         ; Retry (15 minutos)
    1209600     ; Expire (14 dias)
    3600        ; Minimum TTL (1 hora)
)

Explicação do contacto RNAME

O contacto escreve-se como um nome DNS: hostmaster.captaindns.com. corresponde ao email hostmaster@captaindns.com. O primeiro ponto substitui a arroba.

Valores recomendados

Parâmetro	Valor recomendado	Explicação
Refresh	3600-7200	Verificação a cada 1-2 horas
Retry	600-900	Nova tentativa após 10-15 minutos
Expire	604800-1209600	Abandono após 1-2 semanas
Minimum	300-3600	Cache negativa de 5 min a 1 hora

Formato do serial

O formato AAAAMMDDNN é recomendado:

2025012801 = 28 janeiro 2025, modificação n°1
2025012802 = 28 janeiro 2025, modificação n°2

Regras importantes

Unicidade do SOA

Regra	Explicação
Um só SOA	Sempre no apex da zona
Com os NS	SOA e NS coexistem no apex
Sem CNAME	O apex não pode ser um CNAME

Boas práticas

Prática	Porquê
Incrementar o serial	Obrigatório a cada modificação
Contacto válido	Para receber notificações
Expire suficiente	Evita perda da zona nos secundários

Problemas comuns

Serial não incrementado

Os secundários não se atualizam porque o serial não mudou.

Incremente o serial na zona
Recarregue a zona no primário
Verifique a propagação

Sincronização falhada

Um servidor secundário mostra um serial antigo.

Verifique o acesso de rede entre primário e secundário
Controle as permissões de transferência de zona
Aguarde um ciclo de refresh

Zona abandonada por um secundário

O secundário ultrapassou o tempo de expiração.

Verifique se o primário está acessível
Aumente o valor expire se necessário
Force uma transferência de zona

Verificação em linha de comandos

Linux/Mac

dig SOA captaindns.com

Comparar seriais em diferentes servidores:

dig SOA captaindns.com @ns1.provider.com +short
dig SOA captaindns.com @ns2.provider.com +short

Windows

nslookup -type=soa captaindns.com

Ferramentas complementares

Ferramenta	Utilidade
Pesquisa NS	Verificar os servidores autoritativos
Pesquisa A	Verificar o IP do servidor primário
Propagação DNS	Verificar a propagação mundial

Recursos úteis

RFC 1035 - Especificação DNS (formato SOA)
RFC 2308 - Negative Caching (minimum TTL)