DNS: controlli rapidi quando un dominio non si risolve

DNS: controlli rapidi quando un dominio non si risolve

Quando un dominio non si apre, il problema non è sempre il sito: spesso è il DNS, cioè il sistema che traduce il nome del dominio nell’indirizzo IP del server. Se la risoluzione fallisce, il browser non sa dove connettersi e il risultato può essere una pagina bianca, un errore di timeout, un messaggio di dominio non trovato o un sito che apre solo da alcune reti.

In questi casi conviene muoversi con ordine: prima verificare se il nome esiste davvero nel DNS pubblico, poi capire se il record punta all’IP corretto, infine controllare se la propagazione o la cache locale stanno mostrando un dato vecchio. Questo approccio evita cambi inutili e permette di isolare rapidamente il punto di rottura.

Perché un dominio può smettere di risolversi

Le cause più comuni sono poche e quasi sempre verificabili. Un record A o AAAA errato, un cambio recente di provider DNS, un nameserver non raggiungibile, un record cancellato per errore o una cache ancora “vecchia” sul computer o sul router. In alcuni casi il dominio risolve solo in IPv6 o solo in IPv4, e questo può creare comportamenti diversi tra browser, rete mobile e rete aziendale.

Un altro caso frequente è il mismatch tra DNS e hosting: il dominio risolve correttamente, ma punta a un server non più attivo o a un IP sbagliato. In quel caso il DNS sembra funzionare, ma il sito continua a non aprirsi. Per questo è utile distinguere sempre tra problema di risoluzione e problema di raggiungibilità del server.

Controlli rapidi da fare subito

Prima di modificare qualsiasi cosa, conviene fare tre verifiche essenziali.

1. Controlla da più reti: prova il dominio da connessione diversa, per esempio rete mobile e rete fissa. Se funziona da una rete ma non dall’altra, il problema può essere la cache DNS locale o un resolver che non ha ancora aggiornato i dati.
2. Verifica la risposta DNS: usa un controllo pubblico per vedere se il dominio restituisce l’IP atteso. Se il record non compare o punta a un indirizzo errato, la causa è probabilmente nel pannello DNS o nel registrar.
3. Confronta IPv4 e IPv6: se il sito funziona solo con uno dei due protocolli, il record mancante o errato può spiegare l’anomalia. Questo è particolarmente utile quando alcuni utenti vedono il sito e altri no.

Se hai accesso a un terminale, questi controlli sono molto rapidi:

dig dominio.it A +short

Esito atteso: l’IP del server deve comparire correttamente. Se il comando non restituisce nulla, il record A potrebbe mancare o non essere propagato.

dig dominio.it AAAA +short

Esito atteso: se usi IPv6, deve comparire l’indirizzo corretto; se non usi IPv6, il record può anche essere assente senza problemi.

dig dominio.it NS +short

Esito atteso: i nameserver devono essere quelli previsti dal provider DNS o dal registrar. Se risultano nameserver vecchi, il dominio potrebbe essere ancora delegato altrove.

Come capire se il problema è nel DNS o nel server

Un controllo utile è separare il nome del dominio dall’IP. Se conosci l’IP del server, prova a verificare se il sito risponde direttamente su quell’indirizzo, anche solo temporaneamente. Se l’IP risponde ma il dominio no, il problema è quasi certamente nel DNS. Se nemmeno l’IP risponde, il guasto è probabilmente lato server, firewall, web server o applicazione.

Puoi fare un test veloce così:

curl -I http://IP_DEL_SERVER

Esito atteso: una risposta HTTP, anche solo un redirect, indica che il server è raggiungibile. Se invece ottieni connessione rifiutata o timeout, il problema non è solo DNS.

Se vuoi forzare la risoluzione verso un IP specifico senza modificare il DNS pubblico, puoi usare il file hosts in locale oppure un test con curl e intestazione Host. Questo aiuta a capire se il sito funziona quando il nome viene associato manualmente all’IP corretto.

curl -I http://IP_DEL_SERVER -H 'Host: dominio.it'

Esito atteso: se il server risponde correttamente, il problema è nel DNS o nella propagazione, non nell’applicazione web.

Controllo dei record più importanti

Per un dominio web standard, i record da controllare sono pochi ma fondamentali. Il record A deve puntare all’IPv4 corretto del server. Il record AAAA, se presente, deve puntare all’IPv6 corretto. Il record CNAME deve essere usato con attenzione, soprattutto per il dominio principale, perché in molti setup non è adatto alla zona apex. I record MX non influenzano l’apertura del sito, ma se il dominio è stato migrato conviene controllarli comunque per evitare disservizi email.

Se il dominio usa un CDN o un proxy come Cloudflare, verifica anche lo stato del proxy e l’IP origin. A volte il DNS sembra corretto perché il record è presente, ma il proxy non riesce a raggiungere l’origine. In quel caso il sintomo lato utente può essere un errore 5xx o una pagina di blocco, non necessariamente un classico “DNS fail”.

Segnali tipici da interpretare

• NXDOMAIN: il dominio o il record non esiste nei DNS interrogati.
• Servfail: il resolver ha trovato un problema nel rispondere, spesso per configurazione errata o nameserver non raggiungibile.
• Timeout: il server DNS non risponde entro il tempo previsto, possibile guasto o blocco di rete.
• IP errato: il record esiste, ma punta al server sbagliato o a un indirizzo vecchio.

Propagazione e cache: quando il DNS sembra “giusto” ma non lo è ancora

Dopo una modifica ai record, non tutti i resolver vedono subito il cambiamento. La propagazione dipende dal TTL, dalla cache dei resolver pubblici e dalla cache locale del dispositivo. Se hai appena cambiato l’IP, è normale che per un po’ alcuni utenti vedano il vecchio server e altri il nuovo. Questo non significa per forza che il DNS sia sbagliato: può essere solo in fase di aggiornamento.

Il TTL basso aiuta a ridurre l’attesa nelle migrazioni future, ma non annulla del tutto la cache. Se devi spostare un sito, il metodo più sicuro è abbassare il TTL con anticipo, verificare la nuova configurazione e solo dopo completare il cambio di IP o di nameserver.

Per verificare cosa vede un resolver pubblico, puoi interrogare un DNS esterno:

dig @8.8.8.8 dominio.it A +short

Esito atteso: l’IP corretto. Se il resolver pubblico mostra ancora il vecchio valore mentre il pannello DNS è già aggiornato, il problema può essere solo di propagazione.

Controlli dal pannello di hosting o registrar

Se gestisci i DNS dal pannello del provider, entra nella zona DNS del dominio e verifica che i record siano coerenti con l’hosting attuale. In genere basta controllare questi elementi: indirizzo IP del record A, eventuale record AAAA, nameserver assegnati al dominio, eventuali record CNAME per www e presenza di record duplicati o confliggenti.

Se il dominio è gestito dal registrar ma il sito è su un hosting separato, assicurati che la delega ai nameserver sia corretta. Un cambio di hosting senza aggiornare i nameserver è una delle cause più frequenti di dominio irraggiungibile.

Nel caso di cPanel, Plesk o FastPanel, è utile verificare anche che la zona DNS sia stata aggiornata automaticamente dopo la migrazione. Alcuni ambienti mantengono una zona locale che non si allinea da sola con il nuovo server, soprattutto se il dominio è stato trasferito o clonato.

Soluzione consigliata quando il dominio non risolve

Se hai identificato un record errato o mancante, la soluzione più sicura è correggere prima il DNS e verificare la risposta con un controllo esterno. Se possibile, non eliminare subito i vecchi record: meglio sostituirli o aggiornarli in modo controllato, così da ridurre il rischio di disservizi collaterali.

1. Aggiorna il record A o AAAA con l’IP corretto del server. Esito atteso: il dominio deve risolvere verso la nuova destinazione entro il TTL.
2. Controlla il record www e verifica se usa un CNAME o un A coerente con il dominio principale. Esito atteso: www.dominio.it deve comportarsi come il dominio base.
3. Verifica i nameserver presso il registrar. Se sono sbagliati, correggili con quelli del provider DNS attuale. Esito atteso: la zona DNS interrogata deve essere quella effettivamente in uso.
4. Attendi la propagazione e ricontrolla da più resolver pubblici. Esito atteso: la risposta deve allinearsi in modo stabile su più punti di rete.

Se vuoi un test rapido di verifica dopo la correzione:

dig dominio.it A +short && dig www.dominio.it A +short

Esito atteso: entrambi i nomi devono restituire l’IP corretto o la catena di record prevista.

Quando serve un rollback

Se dopo una modifica il dominio smette di risolversi o alcuni utenti vedono un indirizzo sbagliato, il rollback più semplice è ripristinare il record precedente noto come funzionante. È una misura reversibile e spesso più rapida di una diagnosi lunga in produzione. Conservare uno screenshot o un export della zona DNS prima di intervenire aiuta molto in caso di ripristino.

Se hai cambiato anche nameserver o proxy, torna temporaneamente alla configurazione precedente solo se era stabile e documentata. Questo riduce il rischio di restare con una zona DNS incompleta o incoerente durante la risoluzione del problema.

Controlli finali

Dopo il fix, conferma sempre questi punti:

• il dominio risolve dall’esterno con DNS pubblico e non solo dalla tua rete;
• dominio.it e www.dominio.it puntano alla stessa destinazione prevista;
• non ci sono record duplicati o vecchie zone ancora attive presso altri provider;
• il sito risponde correttamente anche dopo aver svuotato la cache del browser o provato una rete diversa.

Se il dominio continua a non risolversi ma i record sono corretti, il passo successivo è controllare lo stato dei nameserver, i log del provider DNS e l’eventuale blocco lato registrar o firewall. In molti casi il problema non è nel sito, ma nella catena di delega del dominio.

Assunzione: il dominio è già delegato a un provider DNS attivo e hai accesso almeno al pannello DNS o al registrar per verificare i record.