Cómo solucionar errores DNS SERVFAIL
SERVFAIL significa que un resolver recursivo no pudo producir una respuesta fiable. A diferencia de NXDOMAIN, no quiere decir que el hostname falte. La forma más rápida de arreglarlo es identificar en qué fase de la resolución falla.
Reproduce el fallo con varios resolvers
dig @1.1.1.1 example.com A
dig @8.8.8.8 example.com A
dig @9.9.9.9 example.com ATraza la delegación
Un trace sigue el camino desde la raíz hasta la zona autoritativa. Busca glue ausente, nameservers inaccesibles, timeouts o delegación hacia un proveedor equivocado.
dig +trace example.com A
dig example.com NS +traceConsulta autoritativos directamente
dig @ns1.example.net example.com A +norecurse
dig @ns2.example.net example.com A +norecurse
dig @ns1.example.net example.com SOA +short
dig @ns2.example.net example.com SOA +shortValida DNSSEC
Si el fallo afecta a resolvers validadores, revisa el DS del dominio padre y los DNSKEY/RRSIG de la zona hija. Un DS antiguo tras cambiar de proveedor DNS es una causa frecuente.
dig example.com DS +dnssec
dig example.com DNSKEY +dnssec
dig example.com A +dnssec +cdflagCausas frecuentes
Nameserver inaccesible por UDP o TCP 53
Comprueba firewall, routing y ambos transportes DNS.
Delegación lame
Todo servidor delegado debe responder autoritativamente para la zona.
DS antiguo
Actualiza o elimina el DS en el registrador para que coincida con el DNSKEY activo.
Firmas DNSSEC caducadas
Restaura la firma y publica RRSIG válidos.
Versiones de zona diferentes
Sincroniza autoritativos y compara seriales SOA.