Solución de problemas

Página principal de DNS público de Google

Si tienes problemas para resolver dominios con el DNS público de Google, primero consulta la página principal de DNS público de Google en https://dns.google/. Aquí se muestra un formulario de búsqueda de DNS simple.

Si tu navegador no encuentra el servidor dns.google o no responde, verifica que puedas acceder a los servidores DNS públicos de Google mediante el diagnóstico de la línea de comandos.

Escribe google.com (o cualquier nombre de dominio o dirección IP) y presiona Intro para ver una página detallada de resultados de DNS como la siguiente:

Página de detalles del DNS público de Google

Solución de problemas del DNS público de Google

Hay muchos tipos de problemas de resolución de DNS posibles; sigue las instrucciones bajo el encabezado que mejor coincidan con tu problema. Si necesitas informar un problema y obtener ayuda, incluye el resultado de cualquier comando o texto de páginas de diagnóstico en tu informe.

Problemas para resolver un dominio

Si el DNS público de Google tiene problemas para resolver un nombre de dominio determinado, ingrésalo en la página de detalles de dns.google. Si el problema es con un tipo de registro de recursos de DNS (RR) en particular, ingrésalo en el campo de texto "RR tipo (también puedes ingresar un número). Presione Intro o haga clic en Resolver para ver los resultados.

En los resultados detallados, puede haber una línea con "Comment": en la parte inferior con diagnósticos sobre tu consulta de DNS. Por ejemplo, es posible que veas
"DNSSEC validation failure. Check http://dnsviz.net/d/dnssec-failed.org/dnssec/ and http://dnssec-debugger.verisignlabs.com/dnssec-failed.org for errors"

Visita todas las URL de comentarios (no son vínculos, cópialas y pégalas en un navegador) para ver diagnósticos detallados que puedan identificar la causa de los problemas de resolución.

Si hay una línea de comentario que coincide con una de las siguientes entradas, haz clic en el vínculo correspondiente para ir directamente a un paso de diagnóstico específico o comienza con el primer paso de Solución de problemas del dominio.

DNSSEC validation failure
Si ves esto, inhabilita la validación haciendo clic en el botón de activación de DNSSEC y haz clic en Resolver para reintentar la consulta. Si eso tiene éxito ("Status": 0), hay un problema de DNSSEC; consulta Solución de problemas de DNSSEC. De lo contrario, consulte Solución de problemas del servidor de nombres.
Name servers
Consulte Solución de problemas del servidor de nombres.
Resolution failure o Lame delegation
Consulta Solución de problemas de delegación.

Si tienes problemas con los registros grandes (por lo general, las claves DNSSEC o los registros TXT), consulta la sección sobre problemas para obtener respuestas grandes.

Devolver las respuestas incorrectas para un dominio

Existen muchas razones por las que el DNS público de Google puede mostrar respuestas incorrectas; prueba cualquiera de las siguientes opciones que parecen posibles dado tu conocimiento del dominio.

Si los servidores de un dominio cambiaron recientemente

En particular, si el dominio tiene servidores DNS nuevos o un registrador DNS nuevo, es posible que el DNS público de Google muestre respuestas antiguas en caché (sin vencer). Usa Limpiar caché (documentación) para vaciar el dominio registrado y el nombre de dominio específico que muestra una respuesta inactiva.

Si aún obtienes respuestas inactivas después de la limpieza, consulta el tipo de RR de SOA para el dominio registrado en la página de detalles de dns.google y verifica el número de serie de la zona (el primer número en la respuesta &data"). Si a veces obtienes números de serie diferentes, es posible que algunos de los servidores de nombres autorizados entreguen datos obsoletos y que el operador DNS del dominio deba solucionar el problema.

Si las direcciones de un dominio de la red de distribución de contenidos (CDN) están lejos

Cuando hay una dirección más cercana que debería haberse mostrado, es posible que los servidores de nombres autorizados no implementen correctamente la subred de cliente de EDNS (ECS). Los operadores de DNS del dominio deben confirmar que siguen todos los lineamientos de esa página.

Si tus aplicaciones ven diferentes direcciones de los resultados web de dns.google

Si el sitio web dns.google está bloqueado o muestra resultados muy diferentes, primero verifica si usas el DNS público de Google. Si lo haces, las diferentes respuestas pueden deberse a una usurpación de DNS a través de un portal Wi-Fi cautivo, un software malicioso en tu router, tu ISP o sus redes. Consulta las instrucciones de solución de problemas para el bloqueo y la usurpación.

La resolución de dominios es demasiado lenta

Si bien herramientas como traceroute y ping informan latencias de red, no miden la velocidad de la resolución de DNS y solo son útiles cuando intentan encontrar la ubicación de las demoras o confirmar la accesibilidad de la red. Google no bloquea el ICMP ni el UDP aleatorio con las direcciones IP de DNS público de Google, pero hay límites de frecuencia en las respuestas de error del ICMP y el tráfico ICMP puede tener menos prioridad en las redes de Google.

Para medir la velocidad de resolución de DNS, debes usar una herramienta de prueba de DNS, como farrokhi/dnsdiag (Python, GitHub) o dnsping (C#, SourceForge). Se pueden realizar mediciones más integrales con herramientas como Namebench o la comparativa de DNS de GRC (para Windows).

Determinar las áreas metropolitanas que atienden tus consultas

La distancia de red entre tu dispositivo y el agente de resolución de DNS público de Google contribuye directamente a la velocidad de resolución. Implementamos la Opción de identificador del servidor de nombres para informar el código de aeropuerto del área metropolitana en la que se maneja la consulta de DNS. Si la ubicación del área metropolitana está lejos de tu ubicación, la latencia de la consulta será mayor. Esto puede deberse a varios motivos, incluidos el enrutamiento subóptimo entre tu red y Google, o la falta de capacidad de entrega en un área metropolitana más cercana.

Para encontrar el código de aeropuerto, puedes realizar una consulta a nuestros agentes de resolución de DNS con el identificador de servidor de nombres (NSID) de la opción EDNS. La respuesta tendrá el formato gpdns-<airport code>. Ejecuta el siguiente comando para averiguar de qué área metropolitana proviene tu respuesta:

macOS o Linux

$ dig @dns.google. +nsid | grep NSID
; NSID: 67 70 64 6e 73 2d 63 68 73 ("gpdns-chs")
$ dig www.google.com @dns.google. +nsid | grep NSID
; NSID: 67 70 64 6e 73 2d 63 68 73 ("gpdns-chs")

La resolución en IPv6 es más lenta

Si las latencias de resolución en IPv6 son significativamente más largas que para IPv4, la conectividad IPv6 entre tu ISP y Google puede ser inferior a la óptima. Los ISP que intercambian tráfico con Google deben verificar si hay recuentos de saltos mucho más grandes en el resultado de traceroute de IPv6 (consulta cómo llegar a los servidores DNS públicos de Google) u otros problemas con el enrutamiento BGP que se muestra en su panel de ISP y enviar un correo electrónico al NOC de Google si su enrutamiento IPv6 parece llegar a un área diferente que IPv4.

No hay respuesta a (algunas de) mis consultas de DNS

Es normal que se descarte una fracción muy pequeña de las solicitudes de DNS de UDP, pero si ves caídas en uno o más de tus consultas, usa una herramienta de prueba de DNS como las de la sección anterior.

Si una herramienta de prueba de DNS muestra niveles altos de consultas sin responder (y en especial si ping y traceroute no muestran tasas de caída comparables), verifica si tu dirección IP genera más de 1,000 consultas por segundo, lo que puede activar el límite de frecuencia. Si es así, puedes solicitar un aumento del límite de frecuencia en nuestra Herramienta de seguimiento de errores.

Bloqueo y usurpación de DNS

Si no obtienes ninguna respuesta a las consultas de DNS (pero la página dns.google funciona), es posible que se bloqueen o usurpen las consultas UDP y TCP. Ejecute estos comandos para verificar si las consultas UDP y TCP llegan al DNS público de Google:

Windows

nslookup -debug -type=TXT test.dns.google.com. dns.google.
nslookup -debug -type=TXT -vc locations.dns.google.com. dns.google.

macOS o Linux

dig -t TXT test.dns.google.com. '@dns.google.'
dig -t TXT +tcp locations.dns.google.com. '@dns.google.'

Si el primer resultado del comando muestra "Thanks for using Google Public DNS.", tus consultas UDP llegan al DNS público de Google; si el resultado del segundo comando incluye locations.publicdns.goog., tus consultas de TCP también llegan a Google.

Si el resultado muestra NXDOMAIN, significa que estás llegando a otro agente de resolución de DNS. Si el resultado muestra un tiempo de espera, se bloquearán las consultas de DNS al DNS público de Google. Usa los comandos de route trace o UDP en la siguiente sección para ver en qué lugar puede ocurrir la usurpación o el bloqueo.

Verifica que estés llegando a los servidores DNS públicos de Google

Si no puedes abrir la página principal de dns.google, es posible que haya un problema de red o un bloqueo que te impida acceder al DNS público de Google.

Si tu sistema está configurado para usar el DNS público de Google como su agente de resolución de DNS, es posible que debas reemplazar el nombre dns.google en los siguientes comandos por las direcciones IP de DNS público de Google. Prueba con el nombre y, si falla, usa 8.8.8.8 u otra dirección.

Abre una ventana de terminal con un símbolo del sistema y ejecuta estos comandos traceroute:

Windows

Enrutamiento de seguimiento con solicitud de eco ICMP:

tracert -d -w 2000 dns.google

Para probar la conectividad de IPv6, sigue estos pasos:

tracert -6 -d -w 2000 dns.google

macOS o Linux

Enrutamiento de seguimiento con paquetes UDP que no son de DNS:

/usr/sbin/traceroute -n -w 2 -m 30 dns.google

Para probar la conectividad de IPv6, sigue estos pasos:

/usr/sbin/traceroute6 -n -w 2 -m 30 dns.google

Si el sistema indica que no tienes permiso para ejecutar traceroute, usa el comando sudo a fin de ejecutarlo:

sudo /usr/sbin/traceroute -n -w 2 -m 30 dns.google

Si la última línea del resultado no muestra una dirección IP de DNS público de Google (8.8.8.8, 8.8.4.4 o una dirección IPv6 que comience con 2001:4860:4860), es posible que haya un problema de red que te impide acceder a Google.

En sistemas que no sean Windows, repite los comandos anteriores con una opción -I o -U para usar paquetes ICMP o paquetes UDP que no sean de DNS enviados al puerto DNS (53). Si no se reconoce la opción -I, prueba el comando ping para enviar ICMP:

macOS o Linux

ping -c 2 dns.google

El comando dnstraceroute de las herramientas de prueba de DNS de farrokhi/dnsdiag que se describen en la sección sobre cómo resolver dominios es demasiado lento se puede usar para hacer un seguimiento de la ruta de las consultas de DNS reales (incluso en Windows).

Si algunos de estos comandos funcionan y otros muestran errores de red o tiempos de espera, es posible que el filtrado de red te impida alcanzar el DNS público de Google. Comunícate con tu administrador de red o con el ISP para confirmarlo.

Si ninguno de estos comandos funciona, comunícate con tu ISP (ascendente), o si eres un ISP que intercambia tráfico con Google, comunícate con el NOC de Google. La última línea del resultado de traceroute que no tiene tres estrellas * * * (que muestra tiempos de espera coherentes) puede indicar dónde está ocurriendo el problema.