Solução de problemas

Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.

Página inicial do DNS público do Google

Se você tiver problemas para resolver domínios usando o DNS público do Google, primeiro verifique a página inicial do DNS público do Google em https://dns.google/. Ele tem um formulário simples de busca DNS, mostrado aqui.

Caso o navegador não encontre o servidor dns.google ou não responda, verifique se é possível acessar os servidores DNS públicos do Google usando os diagnósticos de linha de comando.

Digite google.com (ou qualquer nome de domínio ou endereço IP) e pressione Enter para ver uma página de resultados de DNS detalhada, como a seguinte:

Página de detalhes de DNS público do Google

Resolver problemas de DNS público do Google

Existem muitos tipos de problemas de resolução de DNS possíveis. Siga as instruções abaixo do título que mais se aproximam do seu problema. Se você precisar informar um problema e receber ajuda, inclua a saída de comandos ou textos de páginas de diagnóstico no relatório.

Problemas ao resolver um domínio

Se o DNS público do Google tiver problemas para resolver um determinado nome de domínio, digite-o na página de detalhes do dns.google. Se o problema for com um tipo específico de registro de recurso de DNS (RR, na sigla em inglês), digite-o no campo de texto "Tipo de RR" (também é possível inserir um número). Pressione Enter ou clique em Resolver para ver os resultados.

Nos resultados detalhados, pode haver uma linha com "Comment": na parte inferior com diagnósticos sobre sua consulta DNS. Por exemplo, você verá
"DNSSEC validation failure. Check http://dnsviz.net/d/dnssec-failed.org/dnssec/ and http://dnssec-debugger.verisignlabs.com/dnssec-failed.org for errors"

Acesse todos os URLs de comentários (não são links, copie e cole-os em um navegador) para ver diagnósticos detalhados que podem identificar a causa dos problemas de resolução.

Se houver uma linha de comentários que corresponda a uma das seguintes entradas, clique no link correspondente para acessar uma etapa de diagnóstico específica ou comece com a primeira etapa de Solução de problemas de domínio.

DNSSEC validation failure
Se você encontrar essa opção, desative a validação clicando no botão de DNSSEC e clique em Resolver para repetir a consulta. Se isso der certo ("Status": 0), há um problema com as DNSSEC. Consulte Solução de problemas de DNSSEC. Caso contrário, consulte Solução de problemas no servidor de nomes.
Name servers
Consulte Solução de problemas de servidor de nomes.
Resolution failure ou Lame delegation
Consulte Solução de problemas de delegação.

Se você tiver problemas com registros grandes (geralmente chaves DNSSEC ou registros TXT), leia sobre como resolver problemas de respostas grandes.

Retornar as respostas erradas para um domínio

Há muitos motivos para o DNS público do Google retornar respostas erradas. Tente um dos itens a seguir que parecem possíveis dado o seu conhecimento sobre o domínio.

Se os servidores de um domínio tiverem sido alterados recentemente

Especialmente se o domínio tiver novos servidores DNS ou um novo registrador de DNS, o DNS público do Google poderá retornar respostas em cache antigas, mas não expiradas. Use Limpar o cache (documentação) para limpar o domínio registrado e o nome de domínio específico que retorna uma resposta desatualizada.

Se você ainda receber respostas desatualizadas após a limpeza, consulte o tipo de RR SOA para o domínio registrado na página de detalhes do dns.google e verifique o número de série da zona (o primeiro número em "Resposta" "dados"). Às vezes, se você receber números de série diferentes, alguns dos servidores de nomes autoritativos poderão veicular dados desatualizados e o operador de DNS do domínio precisará corrigir o problema.

Se os endereços de um domínio da rede de fornecimento de conteúdo (CDN) estiverem distantes

Quando há um endereço mais próximo que deveria ter sido retornado, é possível que os servidores de nomes autoritativos não implementem corretamente a sub-rede de cliente EDNS (ECS, na sigla em inglês). Os operadores de DNS do domínio precisam confirmar que estão seguindo todas as diretrizes da página.

Caso os aplicativos vejam endereços diferentes dos resultados da Web do dns.google

Se o site do dns.google estiver bloqueado ou mostrar resultados muito diferentes, primeiro verifique se você está usando o DNS público do Google. Se estiver, respostas diferentes podem ser causadas por invasão de DNS por um portal Wi-Fi cativo, malware no roteador, no ISP ou nas redes dele. Veja as instruções de solução de problemas para bloqueio e invasão.

A solução de domínios é muito lenta

Ferramentas como traceroute e ping informam latências de rede, mas não medem a velocidade de resolução de DNS e são úteis apenas ao tentar encontrar o local de atrasos ou para confirmar a acessibilidade da rede. O Google não bloqueia o ICMP ou o UDP aleatório nos endereços IP de DNS público do Google, mas há limites de taxa em respostas de erro do ICMP, e o tráfego ICMP pode perder a prioridade nas redes do Google.

Para medir a velocidade de resolução de DNS, use uma ferramenta de teste de DNS, como farrokhi/dnsdiag (Python, GitHub) oudnsping (C#, SourceForge). É possível realizar medições mais abrangentes com ferramentas como o Namebench ou o comparativo de mercado de DNS do GRC (para Windows).

Determinar a área metropolitana que atende suas consultas

A distância da rede entre o dispositivo e o resolvedor de DNS público do Google contribui diretamente para a velocidade de resolução. Implementamos a opção de identificador de servidor de nomes para informar o código do aeroporto da área metropolitana em que a consulta de DNS é processada. Se a localização da área metropolitana estiver muito longe do seu local, a latência da consulta será maior. Isso pode ocorrer por vários motivos, incluindo roteamento não ideal entre sua rede e o Google, ou a falta de capacidade de veiculação em uma área metropolitana mais próxima.

Para encontrar o código do aeroporto, faça uma consulta a nossos resolvedores de DNS com o identificador do servidor de nomes (NSID, na sigla em inglês) da opção EDNS definido. A resposta estará no formato gpdns-<airport code>. Execute o seguinte comando para descobrir de qual área metropolitana vem a resposta:

macOS ou Linux

$ dig @dns.google. +nsid | grep NSID
; NSID: 67 70 64 6e 73 2d 63 68 73 ("gpdns-chs")
$ dig www.google.com @dns.google. +nsid | grep NSID
; NSID: 67 70 64 6e 73 2d 63 68 73 ("gpdns-chs")

A resolução por IPv6 é mais lenta

Se as latências de resolução por IPv6 forem significativamente mais longas do que no IPv4, a conectividade IPv6 entre seu ISP e o Google poderá não ser a ideal. Os ISPs que fazem peering com o Google precisam verificar contagens de saltos muito maiores na saída de traceroute do IPv6 (consulte como alcançar os servidores DNS públicos do Google) ou outros problemas com o roteamento do BGP mostrado no painel do ISP e enviar um e-mail para o NOC do Google se o roteamento do IPv6 estiver pousando em uma área metropolitana diferente do IPv4.

Nenhuma resposta a algumas das minhas consultas DNS

É normal que uma fração muito pequena de solicitações de DNS UDP seja descartada, mas se houver quedas em 1% ou mais das suas consultas, use uma ferramenta de teste de DNS como as da seção anterior.

Se uma ferramenta de teste de DNS mostrar altos níveis de consultas não respondidas, especialmente se ping e traceroute não mostrarem taxas de queda comparáveis, verifique se o endereço IP está gerando mais de 1.000 consultas por segundo, o que aciona a limitação de taxa. Nesse caso, solicite um aumento do limite de taxa no nosso Issue Tracker.

Bloqueio e invasão de DNS

Se você não receber qualquer resposta a consultas DNS (mas a página dns.google funciona), as consultas UDP e TCP poderão ter sido bloqueadas ou invadidas. Execute estes comandos para verificar se as consultas UDP e TCP chegam ao DNS público do Google:

Windows

nslookup -debug -type=TXT test.dns.google.com. dns.google.
nslookup -debug -type=TXT -vc locations.dns.google.com. dns.google.

macOS ou Linux

dig -t TXT test.dns.google.com. '@dns.google.'
dig -t TXT +tcp locations.dns.google.com. '@dns.google.'

Se a saída do primeiro comando mostrar "Thanks for using Google Public DNS.", suas consultas UDP estão alcançando o DNS público do Google. Se a saída do segundo comando incluir locations.publicdns.goog., suas consultas TCP também estão chegando ao Google.

Se a saída mostrar NXDOMAIN, você está alcançando outro resolvedor de DNS. Se o resultado mostrar um tempo limite, as consultas DNS ao DNS público do Google serão bloqueadas. Use os comandos traceroute do UDP ou do DNS na seção a seguir para ver onde a invasão ou o bloqueio pode estar acontecendo.

Verifique se você está alcançando os servidores DNS públicos do Google

Se não for possível abrir a página inicial do dns.google, pode haver um problema de rede ou bloqueio que impeça você de acessar o DNS público do Google.

Caso o sistema esteja configurado para usar o DNS público do Google como resolvedor de DNS, talvez seja necessário substituir o nome dns.google nos seguintes comandos com os Endereços IP do DNS público do Google. Tente usar o nome primeiro e, em caso de falha, use 8.8.8.8 ou outro endereço.

Abra uma janela do terminal com um prompt de comando e execute estes comandos traceroute:

Windows

Roteamento de trace com a solicitação de eco ICMP:

tracert -d -w 2000 dns.google

Para testar a conectividade do IPv6, faça o seguinte:

tracert -6 -d -w 2000 dns.google

macOS ou Linux

Roteamento de trace com pacotes UDP não DNS:

/usr/sbin/traceroute -n -w 2 -m 30 dns.google

Para testar a conectividade do IPv6, faça o seguinte:

/usr/sbin/traceroute6 -n -w 2 -m 30 dns.google

Se o sistema disser que você não tem permissão para executar traceroute, use o comando sudo para executá-lo:

sudo /usr/sbin/traceroute -n -w 2 -m 30 dns.google

Se a última linha da saída não mostrar um endereço IP de DNS público do Google (8.8.8.8, 8.8.4.4 ou um endereço IPv6 começando com 2001:4860:4860), pode haver um problema de rede que impede você de alcançar o Google.

Em sistemas que não são Windows, repita os comandos acima com uma opção -I ou -U para usar pacotes ICMP ou pacotes UDP não DNS enviados para a porta DNS (53). Se a opção -I não for reconhecida, tente o comando ping para enviar ICMP:

macOS ou Linux

ping -c 2 dns.google

O comando dnstraceroute das ferramentas de teste de DNS farrokhi/dnsdiag descritas em A solução de domínios é muito lenta pode ser usado para rastrear a rota de consultas DNS reais (mesmo no Windows).

Se alguns desses comandos funcionarem e outros retornarem erros de rede ou tempos limite, a filtragem de rede poderá estar impedindo que você alcance o DNS público do Google. Entre em contato com o administrador da rede ou com o suporte do ISP para confirmar.

Se nenhum desses comandos for bem-sucedido, entre em contato com o ISP (upstream) ou, se for um ISP que faz peering com o Google, entre em contato com o NOC. A última linha da saída de traceroute que não tem três estrelas * * * (mostrando tempos limite consistentes) pode indicar onde o problema está ocorrendo.