NXDOMAIN vs SERVFAIL: qué significa cada error DNS
NXDOMAIN y SERVFAIL impiden una respuesta DNS normal, pero significan cosas diferentes. NXDOMAIN indica que el nombre no existe. SERVFAIL significa que el resolver no pudo obtener o validar una respuesta usable.
NXDOMAIN: el nombre no existe
Un servidor autoritativo, o una respuesta negativa cacheada, indica que el nombre consultado no existe. Puede ser normal si hay una errata o si el hostname aún no está publicado.
Un registro recién creado puede seguir devolviendo NXDOMAIN en resolvers que cachearon previamente su ausencia.
dig @1.1.1.1 missing.example.com A
dig missing.example.com SOASERVFAIL: la resolución no se pudo completar
SERVFAIL no afirma que el nombre esté ausente. Indica que el resolver encontró un fallo al seguir la delegación, contactar servidores autoritativos o validar DNSSEC.
Causas habituales: nameservers inaccesibles, delegación lame, respuestas inconsistentes, firmas caducadas o DS incorrecto.
dig @8.8.8.8 example.com A +dnssec
dig +trace example.com A
dig example.com DS +shortCómo diferenciarlos
- NXDOMAIN normalmente incluye un SOA usado para caché negativa.
- SERVFAIL puede variar entre resolvers validadores y no validadores.
- NXDOMAIN solo en un hostname puede ser un registro ausente; en todo el dominio puede indicar delegación o expiración.
- SERVFAIL en muchos resolvers requiere revisar autoritativos y DNSSEC antes de esperar propagación.
Errores de diagnóstico
Tratar SERVFAIL como propagación
Un fallo persistente de validación o delegación no se arregla esperando.
Probar solo un resolver
La política y caché del resolver pueden ocultar el patrón real.
Ignorar el FQDN completo
Puede existir example.com pero no www.example.com, o al revés.
Desactivar DNSSEC sin quitar DS
El DS del dominio padre puede seguir causando fallos de validación.