La propagación DNS no funciona? Checklist paso a paso
Cuando un cambio DNS parece atascado, esperar más no siempre es la solución. Si los autoritativos no coinciden, la delegación apunta al proveedor equivocado o DNSSEC está roto, el nuevo registro puede no hacerse visible de forma consistente.
1. Confirma los nameservers autoritativos
Empieza por la delegación. Este comando muestra qué nameservers se anuncian para el dominio sin depender de la caché normal de tu resolver.
dig +trace example.com NS
dig example.com NS +short2. Consulta cada servidor autoritativo directamente
Sustituye los nameservers de ejemplo por los de tu dominio. Todos deberían devolver el registro esperado y, normalmente, el mismo serial SOA.
dig @ns1.example.net example.com A +norecurse
dig @ns2.example.net example.com A +norecurse
dig @ns1.example.net example.com SOA +short
dig @ns2.example.net example.com SOA +short3. Compara resolvers recursivos
Si los autoritativos responden bien pero los recursivos difieren, normalmente queda caché pendiente. Compara valor y TTL entre varios proveedores.
dig @1.1.1.1 example.com A
dig @8.8.8.8 example.com A
dig @9.9.9.9 example.com A4. Revisa DNSSEC si aparece SERVFAIL
Un DS antiguo o una firma caducada puede hacer que resolvers validadores devuelvan SERVFAIL mientras otros caminos parecen funcionar.
dig example.com A +dnssec
dig example.com DS +short
dig +trace example.com ACausas habituales
Cambiar el registro en el proveedor incorrecto
La delegación activa puede apuntar a otro panel DNS.
Actualizar solo un autoritativo
Unos resolvers reciben datos nuevos y otros datos antiguos según qué servidor responda.
Mantener un DS antiguo
Los resolvers validadores pueden rechazar la zona si cambiaste o desactivaste DNSSEC.
Consultar otro nombre
Comprueba dominio raíz, www y subdominios por separado.
Caché negativa activa
Un registro recién creado puede seguir ausente hasta que expire el NXDOMAIN cacheado.