Test DNS del Registro .IT: guida ai controlli, errori e requisiti

Premessa: il test del Registro .IT

Per i domini con estensione .it, il Registro richiede da sempre la presenza di almeno due nameserver. Non è quindi possibile registrare o mantenere un dominio .it senza deleghe DNS valide. I nameserver devono essere autoritativi per il dominio (cioè avere la zona configurata) e rispondere correttamente alle query, in conformità con le RFC.

  • Non devono esserci timeout o assenze di risposta.
  • Le query devono restituire risposte autoritative, senza "host not found" (NXDOMAIN).
  • Non sono accettati SERVFAIL o REFUSED.
  • Se i nameserver si trovano nella stessa zona del dominio, devono avere indirizzi IP diversi.

Procedura di cambio nameserver

Quando si richiede un cambio di nameserver, la richiesta viene inviata al Registro, che esegue immediatamente il test di validazione. Se il test ha esito positivo, il dominio viene aggiornato con i nuovi NS. In caso contrario, il dominio rimane invariato e viene inviata una notifica al registrar, che potrà inoltrarla al cliente, ad esempio tramite e-mail con i dettagli dell'errore.

I test ufficiali del Registro .IT

NameserversResolvableTest

Tutti gli hostname dei nameserver devono poter essere risolti in record A e/o AAAA.

Errori comuni: hostname errato, record DNS non presenti o deleghe non ancora propagate.

Mostra snippet PowerShell

NSQueryAnswerTest

Verifica che i nameserver rispondano con i record NS corretti del dominio e in modo autoritativo, con return-code NOERROR.

Mostra snippet PowerShell

IPSOATest

Verifica che ogni IP di un nameserver restituisca lo stesso seriale del record SOA.

Errori comuni: replica DNS non allineata tra IP dello stesso NS.

Mostra snippet PowerShell

NameserverReturnCodeTest

Verifica che ogni query inviata durante il test restituisca un return-code NOERROR.

Mostra snippet PowerShell

AATest

Verifica che i nameserver siano autoritativi per il dominio. Il flag AA (Authoritative Answer) deve essere impostato.

Mostra snippet PowerShell

NSCountTest

Il numero complessivo dei nameserver deve essere compreso tra 2 e 6.

Mostra snippet PowerShell

NSCompareTest

Confronta i nameserver indicati nella richiesta con i record NS effettivamente presenti nella zona.

Errori comuni:

  • Vecchi hostname non più in uso.
  • Omissione di un server nella richiesta.
  • Rebrand non configurati correttamente (es. ns1.miodominio.it che punta a un altro NS ma non è coerente con la zona).

Mostra snippet PowerShell

CNAMEHostTest

Gli hostname presenti nei record SOA, NS e (se presenti) MX non possono essere dei CNAME.

Mostra snippet PowerShell

IPCompareTest

Per nameserver subordinati (es. ns1.miodominio.it), gli IP dichiarati nel modulo devono coincidere con quelli risolti dai record A/AAAA.

Regola tecnica aggiuntiva: il Registro rifiuta a priori il cambio se un NS subordinato:
  • non ha un IPv4;
  • ha più di un IPv4;
  • ha più di un IPv6.

Mostra snippet PowerShell

MXQueryAnswerTest

I nameserver devono rispondere alle query MX in modo autoritativo e con return-code NOERROR.

Mostra snippet PowerShell

MXCompareTest

Tutti i nameserver devono restituire lo stesso insieme di record MX.

Mostra snippet PowerShell

MXRecordIsPresentTest

Verifica la presenza di record MX. Non sono obbligatori.

Mostra snippet PowerShell

SOAMasterCompareTest

Tutti i nameserver devono restituire lo stesso MNAME (primary nameserver) nel record SOA.

Mostra snippet PowerShell

SOAQueryAnswerTest

I nameserver devono rispondere alle query SOA con flag AA e return-code NOERROR.

Mostra snippet PowerShell

Errori pratici frequenti

  • Hosting non configurato: il dominio non è ancora presente nel pannello → zona assente → test fallisce.
  • Hosting multidominio: il dominio non è stato aggiunto → NS non rispondono correttamente.
  • Provider esteri: ignorano le regole del Registro .IT e non sanno interpretare gli errori.
  • Convalida inversa: alcuni chiedono di impostare i loro NS prima dell'attivazione → ma il Registro vuole NS già funzionanti.

Workaround possibile: creare record A/AAAA per dominio.it e www che puntino all’IP del futuro hosting.

Esempi di messaggi di errore reali

  • Test skipped for 'SERVFAIL' returncode o REFUSED: il NS ha rifiutato o non gestisce la zona.
  • Not authoritative answer: la zona non è configurata sul server.
  • NSCompareTest ... different to NS Records ...: delega e configurazione non corrispondono.

Mini-riassunto finale

TestCriterio di superamento
NameserversResolvableTestOgni NS ha record A o AAAA risolvibili
NSQueryAnswerTestRisposta autoritativa e NOERROR ai record NS
IPSOATestStesso seriale SOA su tutti gli IP dello stesso NS
NameserverReturnCodeTestTutte le query restituiscono NOERROR
AATestFlag AA = true nelle risposte
NSCountTestDa 2 a 6 nameserver
NSCompareTestDelega corrisponde ai record NS reali
CNAMEHostTestSOA/NS/MX non devono essere CNAME
IPCompareTestIP dichiarati = IP risolti (solo per subordinati)
MXQueryAnswerTestRisposta autoritativa con NOERROR
MXCompareTestRecord MX uguali su tutti i NS
MXRecordIsPresentTestLa presenza non è obbligatoria
SOAMasterCompareTestMNAME coerente su tutti i server
SOAQueryAnswerTestRisposte SOA con NOERROR e AA

Serve aiuto con il test del Registro .IT? Scopri i servizi DNS di GiDiNet