Domů Blog DNS od A do Z – kompletní průvodce
DNS
Bezpečnost
TOP článek

DNS od A do Z – kompletní průvodce

Vyčerpávající průvodce světem DNS pro studenty, ajťáky i zvědavce. Od toho, co se děje po napsání google.com, přes typy záznamů, DNSSEC, DoH/DoT, DNS leak až po firemní nasazení a diagnostiku příkazovou řádkou.

📅30. 4. 2026
✍️Filip
⏱️15 minut

Každý den odešleš tisíce DNS dotazů, aniž bys o tom věděl. DNS je tichý hrdina internetu – bez něj bys musel pamatovat IP adresu každého webu, na který chceš jít. Ale DNS je zároveň oblíbený cíl útočníků, nástroj cenzury i bezpečnostní filtr. Tento průvodce tě provede od základů až po pokročilá témata, která ocení student u zkoušky i správce sítě při nasazení.

Proč vůbec DNS?

Představ si, že bys musel místo google.com psát do prohlížeče 142.250.185.46. A místo naseit.cz nějakou jinou sérii čísel, která se navíc může kdykoli změnit. Přesně tenhle problém řeší Domain Name System (DNS) – distribuovaný systém, který překládá lidsky čitelná jména domén na IP adresy, s nimiž umí pracovat počítače.

DNS vznikl v roce 1983, kdy internet ještě nebyl veřejný. Před ním existoval jediný textový soubor HOSTS.TXT, který byl ručně aktualizován a distribuován na všechny počítače v síti. Jak internet rostl, bylo jasné, že tohle nemůže fungovat. Paul Mockapetris navrhl DNS jako hierarchický, decentralizovaný systém – a základní principy fungují dodnes.

DNS ale není jen telefonní seznam. Je to také bezpečnostní vrstva, nástroj pro správu e-mailů, způsob load balancingu i oblíbený vektor útoků. Kdo DNS rozumí, rozumí internetu.

1. Jak DNS funguje – cesta dotazu od A do Z

Zadáš do prohlížeče naseit.cz a stránka se načte za zlomek sekundy. Co se přitom stalo? Pojďme si projít celou cestu krok za krokem.

Krok 1 – Lokální cache a soubor hosts

Ještě než se tvůj počítač zeptá kohokoliv venku, podívá se nejdřív sám k sobě:

  1. Lokální DNS cache – prohlížeč si pamatuje nedávné odpovědi. Pokud jsi naseit.cz navštívil nedávno a záznam ještě nevypršel (viz TTL níže), odpověď je hned.
  2. Soubor hosts – speciální soubor v operačním systému (/etc/hosts na Linuxu/macOS, C:\Windows\System32\drivers\etc\hosts na Windows), kde lze ručně mapovat domény na IP adresy. Má přednost před DNS – toho využívají vývojáři i malware.
  3. Cache operačního systému – OS si také drží svou vlastní mezipaměť DNS odpovědí.

Teprve pokud nikde nic nenajde, pošle dotaz dál.

Krok 2 – Rekurzivní resolver (DNS Resolver)

Tvůj počítač se zeptá rekurzivního resolveru – DNS serveru, který typicky provozuje tvůj ISP (internet provider), zaměstnavatel nebo veřejná služba jako 1.1.1.1 (Cloudflare) či 8.8.8.8 (Google). Resolver má také svou cache – pokud se na naseit.cz někdo ptal nedávno, vrátí odpověď rovnou.

Pokud cache prázdná, resolver se pustí do rekurzivního dotazování – odtud název.

Krok 3 – Root servery

Resolver se zeptá jednoho z 13 skupin root serverů (pojmenovaných A až M), které jsou fyzicky distribuovány po celém světě ve stovkách lokalit díky technologii anycast. Root server nezná naseit.cz, ale ví, kdo je zodpovědný za zónu .cz – a tu adresu vrátí.

Zajímavost: Root serverů je technicky 13 skupin (omezení původního protokolu), ale fyzických instancí jsou tisíce rozmístěné po celém světě. Útok na „všechny root servery" je tak prakticky nemožný.

Krok 4 – TLD server (Top-Level Domain)

Resolver se zeptá serveru zodpovědného za .cz – ten provozuje sdružení CZ.NIC. TLD server ví, který jmenný server (nameserver, NS) je autoritativní pro doménu naseit.cz, a vrátí jeho adresu.

Krok 5 – Autoritativní nameserver

Resolver se zeptá autoritativního NS pro naseit.cz. Tento server zná vše o dané doméně – všechny záznamy, adresy, e-mailové servery. Vrátí IP adresu a resolver ji předá tvému počítači.

Celá tato cesta trvá typicky 20–100 ms při prvním dotazu. Díky cachování je každý další dotaz na stejnou doménu okamžitý.

TTL – Time To Live

Každý DNS záznam má nastavenu hodnotu TTL (Time To Live) v sekundách. Říká resolverům a klientům, jak dlouho smí odpověď cachovat, než se musí zeptat znovu. Typické hodnoty:

  • 300 s (5 minut) – dynamické záznamy, časté změny
  • 3 600 s (1 hodina) – běžné webové záznamy
  • 86 400 s (24 hodin) – stabilní záznamy, NS záznamy

2. Typy DNS záznamů – přehled a použití

DNS nepřekládá jen domény na IP adresy. Existuje celá řada typů záznamů, každý pro jiný účel.

A a AAAA – základní adresní záznamy

A záznam mapuje doménu na IPv4 adresu (např. naseit.cz → 185.104.176.10). AAAA záznam (quad-A) dělá totéž pro IPv6 adresu (naseit.cz → 2606:4700::6810:1234). Jedna doména může mít více A/AAAA záznamů – DNS pak odpovídá různými adresami střídavě (round-robin load balancing).

CNAME – alias

CNAME (Canonical Name) je alias – říká, že tato doména je jen jiné jméno pro jinou doménu. Například www.naseit.cz může být CNAME pro naseit.cz. Resolver pak přeloží cíl CNAME záznamu.

Pozor: CNAME nelze použít pro apex doménu – tedy pro samotnou kořenovou doménu bez prefixu (např. naseit.cz bez www). Na apexu musí stát přímo A nebo AAAA záznam s IP adresou. Někteří DNS poskytovatelé tento problém obcházejí proprietárními záznamy (ALIAS, ANAME nebo tzv. CNAME flattening).

MX – e-mailové servery

MX (Mail Exchanger) záznamy říkají, kam doručovat e-maily pro danou doménu. Mají prioritu – čím nižší číslo, tím vyšší priorita. Například: 

naseit.cz.  MX  10  mail1.naseit.cz.
naseit.cz.  MX  20  mail2.naseit.cz.

Mail server odesílatele se nejprve pokusí doručit na mail1, při selhání zkusí mail2.

TXT – textové záznamy

TXT záznamy slouží k uložení libovolného textu a využívají je různé služby pro ověření identity nebo konfiguraci. Nejčastější využití:

  • SPF, DKIM, DMARC pro zabezpečení e-mailu (viz níže)
  • Ověření vlastnictví domény (Google Search Console, certifikáty)
  • Různé cloudové služby (MS 365, Cloudflare apod.)

NS – jmenné servery

NS (Name Server) záznamy říkají, které servery jsou autoritativní pro danou doménu. Nastavují se u registrátora domény a mění se jen při přesunu DNS hostingu.

PTR – reverzní překlad

PTR záznam funguje obráceně – z IP adresy zjistí doménu. Používá ho například e-mailový server pro ověření, že IP odesílatele odpovídá doméně (rDNS lookup). Bez správného PTR záznamu e-maily padají do spamu.

SRV – service záznamy

SRV záznamy slouží k lokalizaci služeb – protokol, port, priorita, váha. Využívají je například VoIP systémy, SIP, XMPP nebo Microsoft Teams pro autodiscovery.

CAA – certifikační autority

CAA (Certification Authority Authorization) záznamy určují, které certifikační autority smí vydávat SSL/TLS certifikáty pro danou doménu. Jednoduchá, ale účinná obrana před neoprávněným vydáním certifikátu. 

naseit.cz.  CAA  0  issue "letsencrypt.org"

3. DNS a e-mail – SPF, DKIM, DMARC

E-mailový podvod (spoofing) je triviálně snadný – kdokoli může poslat e-mail s libovolnou adresou odesílatele. Tři technologie postavené na DNS tomuto brání. Detailně se jim věnuje samostatný článek o firemních e-mailech, zde stručně:

SPF – kdo smí posílat

SPF (Sender Policy Framework) je TXT záznam, který vyjmenovává IP adresy a servery oprávněné posílat e-mail za danou doménu. Přijímající server zkontroluje, zda odesílající IP je v seznamu. 

naseit.cz.  TXT  "v=spf1 include:_spf.google.com ~all"

DKIM – digitální podpis

DKIM (DomainKeys Identified Mail) přidává do každého e-mailu digitální podpis. Veřejný klíč je uložen jako TXT záznam v DNS – přijímající server si ověří, že e-mail skutečně odeslal ten, kdo tvrdí.

DMARC – co dělat při selhání

DMARC (Domain-based Message Authentication) říká přijímacím serverům, co dělat s e-mailem, který neprošel SPF nebo DKIM kontrolou: doručit, dát do karantény nebo rovnou zahodit. Navíc posílá zprávy o pokusech o zneužití domény.

4. DNS jako bezpečnostní vrstva – DNS filtering

DNS je ideální místo pro bezpečnostní filtraci – každé připojení začíná DNS dotazem. Blokováním škodlivých domén na úrovni DNS zastavíš malware, phishing a nevhodný obsah ještě předtím, než se navázalo jakékoli spojení.

Jak DNS filtering funguje

DNS resolver je nahrazen (nebo doplněn) filtrující službou, která kontroluje každý dotaz proti databázi škodlivých domén. Škodlivé domény buď nevrátí odpověď vůbec, nebo přesměrují na blokační stránku (DNS sinkhole).

Populární řešení

  • Cloudflare Gateway / 1.1.1.1 for Families – bezplatná varianta (1.1.1.2 blokuje malware, 1.1.1.3 navíc i dospělý obsah). Plnohodnotný Gateway je součástí Cloudflare Zero Trust.
  • Cisco Umbrella – enterprise řešení s pokročilou analytikou, kategoricky filtruje obsah, loguje dotazy, integruje se s Active Directory.
  • NextDNS – flexibilní cloudová služba, vlastní blacklisty, podpora šifrovaného DNS, detailní logy. Skvělý poměr cena/výkon pro firmy i pokročilé domácnosti.
  • Pi-hole – open-source DNS sinkhole pro vlastní server (typicky Raspberry Pi). Blokuje reklamy a tracking na celé síti. Ideální pro domácnosti a tech nadšence.

Nasazení ve firmě

Nejjednodušší cesta: změnit DNS server na DHCP serveru tak, aby všichni klienti dostávali adresu filtrující DNS služby automaticky. Pokročilejší firmy pak dohlíží i na to, aby šifrované DNS dotazy (viz DoH a DoT v sekci 5) nemohly firemní filtraci obejít přes firewall.

5. Bezpečnost samotného DNS

DNS byl navržen v době, kdy bezpečnost nebyla prioritou. Odpovědi nejsou autentizované ani šifrované – to otevírá prostor pro řadu útoků.

DNS Spoofing a Cache Poisoning

DNS cache poisoning (nebo DNS spoofing) je útok, při kterém útočník podstrčí resolveru falešnou odpověď. Resolver ji uloží do cache a po dobu TTL servíruje všem uživatelům falešnou IP adresu. Oběť si myslí, že jde na legitimní web, ale ve skutečnosti komunikuje se serverem útočníka.

Klasickým příkladem je útok Kaminsky Attack z roku 2008, který odhalil fundamentální zranitelnost v DNS protokolu a přiměl celý svět k urychlené implementaci DNSSEC.

DNS Hijacking

Útočník kompromituje DNS server nebo router a změní nastavení DNS tak, aby odpovědi vedly na škodlivé servery. Oblíbená technika u malwaru infikujícího domácí routery.

DNS Amplification (DDoS)

DNS servery s otevřeným resolverem (open resolver) lze zneužít pro DDoS amplification útoky. Útočník pošle DNS dotaz s podvrženou zdrojovou IP obětí – server odpoví mnohem větší odpovědí přímo na oběť. Zesílení může být 50–70×.

DNSSEC – digitální podpis DNS záznamů

DNSSEC (DNS Security Extensions) přidává k DNS záznamům digitální podpisy. Resolver může ověřit, že odpověď pochází skutečně od autoritativního serveru a nebyla po cestě pozměněna.

Jak to funguje krok za krokem:

  1. Autoritativní server podepíše záznamy. Každá skupina záznamů (např. všechny A záznamy pro doménu) dostane digitální podpis vytvořený soukromým klíčem zóny. Tyto podpisy jsou uloženy ve speciálních RRSIG záznamech (Resource Record Signature) – jeden RRSIG odpovídá vždy jednomu podepsanému typu záznamu.
  2. Veřejný klíč je publikován v DNS. Každá podepsaná zóna obsahuje DNSKEY záznamy s veřejnými klíči. Resolver si stáhne DNSKEY a pomocí něj ověří podpis v RRSIG záznamu – stejný princip jako ověření digitálního podpisu v e-mailu.
  3. Důvěra se přenáší hierarchicky (chain of trust). Aby resolver věřil DNSKEY záznamu dané domény, musí mu říct, že je důvěryhodný, někdo výše v hierarchii. To zajišťují DS záznamy (Delegation Signer) – TLD server (.cz) obsahuje DS záznam, který je otiskem (hashem) veřejného klíče domény naseit.cz. TLD záznam je zase podepsaný klíčem root zóny. Celý řetěz tak sahá až ke kořenu, jehož klíče jsou celosvětově distribuovány a veřejně známy.
Co DNSSEC neřeší: DNSSEC ověřuje autenticitu a integritu dat, ale nešifruje DNS dotazy. Útočník stále vidí, na co se ptáš – DNSSEC jen zabrání tomu, aby ti podstrčil falešnou odpověď. Šifrování řeší DoH a DoT níže.

DNSSEC je dnes podporován všemi velkými TLD (.cz, .com, .net, .org…) i většinou DNS providerů. Správné nastavení DNSSEC je však komplexní – špatně nakonfigurovaný DNSSEC může způsobit nedostupnost celé domény.

DNS over HTTPS (DoH) a DNS over TLS (DoT)

Klasický DNS komunikuje nešifrovaně přes port 53 (UDP nebo TCP). Kdokoli na cestě – ISP, správce sítě, útočník provádějící man-in-the-middle – vidí všechny tvé DNS dotazy. To je vážný problém soukromí.

Řešení přináší dvě technologie:

  • DNS over TLS (DoT) – šifruje DNS komunikaci pomocí TLS, používá port 853. Snadno blokovatelný firewallem, protože běží na vlastním dedikovaném portu.
  • DNS over HTTPS (DoH) – obalí DNS dotaz do běžného HTTPS požadavku na port 443. Provoz je k nerozeznání od normálního prohlížení webu – proto je mnohem těžší ho blokovat. Podporují ho dnes Firefox, Chrome, Windows 11 i Android.

Obě technologie šifrují dotazy mezi klientem a resolverem. Samotný resolver stále komunikuje s autoritativními servery klasicky – DoH/DoT není end-to-end šifrování, ale výrazně zlepšuje soukromí.

DoH ve firemním prostředí: Protože DoH vypadá jako normální HTTPS provoz, může prohlížeč posílat dotazy přímo do Cloudflare nebo Googlu a zcela obejít firemní DNS filtraci. Řešení: buď DoH na firewallu zablokovat (blokace známých DoH endpointů), nebo nasadit vlastní interní DoH server, který filtraci zajistí.

6. Split DNS – dvě tváře jedné domény

Split DNS (také split-brain DNS nebo split-horizon DNS) je technika, kdy stejná doména vrací různé odpovědi podle toho, odkud se ptáš.

Proč to potřebuješ

Příklad: Firma provozuje interní aplikaci na erp.naseit.cz.

  • Z firemní sítě – aplikace běží na interním serveru 192.168.1.50. Provoz by neměl zbytečně opouštět síť.
  • Z internetu (nebo přes VPN) – aplikace je dostupná na veřejné IP nebo přes reverse proxy.

Split DNS vyřeší, že erp.naseit.cz vrátí z firemní sítě interní IP, zvenčí veřejnou. Stejné jméno, jiná odpověď.

Jak nastavit

  • Interní DNS server s autoritativní zónou pro interní záznamy. Klienti v síti ho používají jako primární DNS, na internet forwarduje dotazy dál (viz sekce 9).
  • DNS views – pokročilá funkce, kdy jeden DNS server vrací různé odpovědi podle zdrojové IP dotazujícího. Podporuje ji například BIND (viz sekce 9).
  • VPN + push DNS – VPN server pošle klientovi adresu interního DNS serveru. Klient pak správně přeloží interní domény i z domova. Přesně proto VPN a DNS spolu úzce souvisí – a proto je důležité hlídat DNS leak (viz níže).

7. DNS Leak – když VPN nestačí

Používáš VPN a myslíš si, že jsi anonymní? Ne nutně. DNS leak nastane, když tvůj operační systém posílá DNS dotazy mimo VPN tunel – přímo přes ISP. Útočník nebo ISP pak vidí, na co se ptáš, i když samotný provoz je šifrovaný tunelem.

Jak DNS leak vznikne

  • VPN klient nepřepíše systémový DNS server.
  • OS použije záložní DNS server (obvykle ten od ISP), když VPN DNS neodpoví.
  • WebRTC leak v prohlížeči může odhalit skutečnou IP a DNS.
  • IPv6 DNS dotazy unikají mimo tunel, i když IPv4 provoz v tunelu zůstává.

Jak to otestovat

Navštiv dnsleaktest.com nebo ipleak.net – ukáže ti, jaké DNS resolvery skutečně používáš. Pokud vidíš resolvery svého ISP, máš DNS leak.

Jak to opravit

  • Nastav VPN klientovi explicitně DNS server (nejlépe ten provozovaný VPN poskytovatelem).
  • Použij VPN s DNS leak protection – dobří klienti to dělají automaticky.
  • Zablokuj přímý přístup na port 53 na firewallu, vyjma VPN tunelu.
  • Vypni IPv6 na síťovém rozhraní, pokud ho VPN nepodporuje.

8. Výběr DNS resolveru – 8.8.8.8 nebo vlastní?

Výchozí DNS resolver bývá ten od ISP – a to je zpravidla nejhorší volba. ISP resolvery bývají pomalé, logují dotazy a v některých zemích jsou nástrojem cenzury.

Veřejné resolvery

Resolver Provozovatel IPv4 Soukromí Filtering
Google Public DNS Google 8.8.8.8 / 8.8.4.4 Průměrné (loguje, ale omezuje) Ne
Cloudflare Cloudflare 1.1.1.1 / 1.0.0.1 Dobré (24h log rotation) Volitelně (1.1.1.2/3)
Quad9 Quad9 Foundation 9.9.9.9 Výborné (neziskovka, GDPR) Ano (malware blocking)
NextDNS NextDNS Inc. individuální Konfigurovatelné Plně konfigurovatelné

Doporučení

  • Pro firmy: NextDNS nebo Cloudflare Gateway pro filtraci a logování. Quad9 jako záloha.
  • Pro domácnosti: Cloudflare 1.1.1.1 nebo Quad9 9.9.9.9 – rychlé, soukromé, s malware filtrací.
  • Pro maximální kontrolu: Vlastní resolver (Unbound nebo Pi-hole) s forwardingem na Quad9.

9. DNS ve firemním prostředí

Firmy mají specifické DNS potřeby: interní jmenné prostory, integrace s Active Directory, kontrola nad dotazy zaměstnanců a spolehlivost jako základ celé infrastruktury.

Vlastní DNS server – kdy a proč

Vlastní DNS server má smysl, jakmile firma potřebuje alespoň jedno z:

  • Interní hostnamy (erp.firma.local, tiskárny, NAS…)
  • Active Directory – AD je na DNS fatálně závislé. Bez funkčního DNS AD nefunguje.
  • Split DNS (viz výše)
  • Logování a auditování DNS dotazů
  • Centrální DNS filtraci pro všechny klienty

Populární řešení

  • Windows DNS Server – integrován s Active Directory, nutnost pro AD infrastrukturu. Správa přes GUI i PowerShell.
  • BIND9 – nejrozšířenější open-source DNS server na světě, provozuje velkou část DNS infrastruktury internetu. Plné jméno je Berkeley Internet Name Domain. Flexibilní, podporuje DNS views (různé odpovědi pro různé sítě), ale konfigurace je složitější.
  • Unbound – validující, rekurzivní resolver zaměřený na bezpečnost a soukromí. Ideální jako forwarder nebo interní resolver. Lehčí než BIND.
  • Pi-hole – populární pro blokování reklam a trackingu, ale lze ho použít i jako interní DNS server s vlastními záznamy.
  • PowerDNS – moderní, výkonné řešení s REST API, populární u providerů a větších infrastruktur.

DHCP + DNS integrace

Moderní sítě propojují DHCP a DNS dohromady: když DHCP přidělí klientovi IP adresu, zároveň zaregistruje jeho jméno v DNS. Zařízení jsou tak dostupná pod jmény (notebookfilipa.firma.local) i bez statických záznamů. Na Windows prostředí zajišťuje tuto integraci Windows DNS + DHCP Server, na Linuxu dnsmasq.

Redundance – dva DNS servery vždy

Každá doména by měla mít alespoň dva autoritativní NS servery v různých sítích. Interní DNS infrastruktura by měla mít primární a záložní server. DNS je kritická infrastruktura – výpadek DNS znamená výpadek všeho.

Monitoring DNS jako bezpečnostní nástroj

Logy z DNS serveru jsou zlatý důl pro bezpečnostní analýzu. Tři vzory chování, na které se vyplatí sledovat:

  • Komunikace s C2 serverem – malware po infikování počítače potřebuje kontaktovat svůj řídicí server (Command & Control, C2), aby dostal instrukce nebo odeslal ukradená data. Dotazy na neznámé nebo nově registrované domény jsou typický příznak.
  • DNS tunneling – technika, při které útočník ukrývá data přímo do DNS dotazů a odpovědí. Protože DNS provoz bývá povolen i na přísně filtrovaných sítích, lze tak tiše exfiltrovat data nebo ovládat malware, aniž by to firewall odhalil. Prozrazuje ho neobvykle vysoký počet dotazů nebo nezvykle dlouhé subdomény.
  • Fast-flux domény – technika, kdy botnet nebo C2 infrastruktura mění IP adresy za doménou v extrémně krátkých intervalech (desítky sekund). Účel je ztížit blokaci – než správce nebo antivirová databáze záznam zablokuje, doména už ukazuje jinam. Prozradí ho záznamy s TTL pod 60 sekund a stále se měnící A záznamy.

Nástroje jako Zeek, Suricata nebo komerční SIEM řešení umí DNS logy analyzovat automaticky a upozornit na anomálie.

10. Diagnostika DNS – praktické příkazy

Když „stránka nejde", zjistit jestli je to DNS, trvá 10 sekund. Tady jsou nástroje, které každý ajťák musí znát.

nslookup – jednoduché dotazy

Dostupný na Windows, Linux i macOS. Vhodný pro rychlá ověření přímo z příkazové řádky: 

# Přeložit doménu na IP
nslookup naseit.cz

# Zeptat se konkrétního DNS serveru (místo výchozího)
nslookup naseit.cz 1.1.1.1

# Zjistit MX záznamy (e-mailové servery)
nslookup -type=MX naseit.cz

# Reverzní překlad – z IP na doménu
nslookup 185.104.176.10

dig – podrobná analýza

dig (domain information groper) je výkonnější nástroj, standardní na Linuxu a macOS. Na Windows ho lze doinstalovat přes BIND tools. Vrací kompletní odpověď včetně TTL, zdrojového serveru a příznaků: 

# Základní dotaz – vrátí A záznamy
dig naseit.cz

# Konkrétní typ záznamu
dig naseit.cz MX
dig naseit.cz TXT
dig naseit.cz NS

# Zeptat se konkrétního DNS serveru
dig @8.8.8.8 naseit.cz A

# Stručný výstup – pouze samotná odpověď
dig +short naseit.cz

# Zobrazit DNSSEC podpisy
dig +dnssec naseit.cz

# Trasovat celou rekurzivní cestu od root serverů
dig +trace naseit.cz

dog – moderní alternativa k dig

dog je open-source náhrada za dig s přehledným barevným výstupem a přímou podporou DoH a DoT přímo z příkazové řádky – ideální pro ověření, jestli šifrovaný DNS funguje správně: 

# Dotaz přes DNS over TLS
dog naseit.cz --tls @dns.cloudflare.com

# Dotaz přes DNS over HTTPS
dog naseit.cz --https @cloudflare-dns.com

Jak poznat, že problém je v DNS

  1. Web nejde, ale IP funguje: Pokud ping naseit.cz selže, ale ping 185.104.176.10 projde – problém je v DNS.
  2. Porovnej výsledky různých serverů: dig @8.8.8.8 naseit.cz vs. dig @192.168.1.1 naseit.cz – pokud se liší, problém je na interním DNS.
  3. Zkontroluj TTL: Pokud jsi změnil záznamy a nová IP se ještě nepropagovala, v odpovědi uvidíš staré TTL z cache resolverů.
  4. Flush cache: Na Windows ipconfig /flushdns, na macOS sudo dscacheutil -flushcache, na Linuxu sudo systemd-resolve --flush-caches.

Propagace změn a jak ji sledovat

DNS změny se nešíří okamžitě – staré záznamy zůstávají v cache resolverů po celou dobu TTL. Propagace po celém světě trvá typicky 1–48 hodin. Pro kontrolu stavu propagace použij nástroj dnschecker.org – zobrazí aktuální odpovědi ze serverů po celém světě.

Strategie pro minimalizaci výpadku při přechodu:

  1. Týden před migrací sniž TTL na 300 sekund.
  2. Proveď migraci – změna se propaguje za max. 5 minut.
  3. Po stabilizaci zvyš TTL zpět na 3 600 nebo více.

Závěr – DNS je základ, na který se zapomíná

DNS je jako kyslík – všichni ho potřebují, nikdo o něm nepřemýšlí, dokud nechybí. Ale jak ses přesvědčil v tomto průvodci, DNS je mnohem víc než jen telefonní seznam internetu:

  • Je to bezpečnostní vrstva – filtruje malware a phishing
  • Je to bod zranitelnosti – cache poisoning, DNS leak, hijacking
  • Je to pilíř e-mailové bezpečnosti – SPF, DKIM, DMARC
  • Je to základ firemní infrastruktury – AD, split DNS, interní jmenné prostory
  • Je to nástroj soukromí – DoH a DoT šifrují tvé dotazy

Bez solidního pochopení DNS nelze rozumět ani VPN, ani e-mailové bezpečnosti, ani firemním sítím. Je to základní gramotnost každého, kdo pracuje s počítači profesionálně – ale díky tomuto průvodci i každého, kdo chce internetu skutečně rozumět.

Řešíte podobný problém ve vaší firmě?

Napište nám

Související produkty

Server a aplikace

Nasadíme a spravujeme vaše servery i cloudové aplikace. Monitoring, zálohy, aktualizace a rychlá reakce při výpadku — váš IT provoz bez starostí.

Přejít na produkt →

Bezpečnost

Chráníme firmy v Praze před ransomwarem, phishingem a úniky dat. EDR ochrana, VPN, zálohování a bezpečnostní audit. Konzultace zdarma.

Přejít na produkt →

Firemní síť a WiFi

Navrhneme a zprovozníme spolehlivou síť a WiFi v Praze a okolí. Konec výpadkům při hovorech a pomalému načítání. Řešení pro kanceláře i sklady na klíč.

Přejít na produkt →

Práce z domova

Nastavíme šifrované VPN, vzdálenou plochu a cloudové nástroje pro bezpečnou práci z domova. Zajistěte svým lidem plnohodnotnou kancelář odkudkoliv.

Přejít na produkt →

Jak vám můžeme pomoct?

Ozveme se vám co nejdříve

Nebo nás kontaktujte přímo:

📞 777 932 982 ✉️ kristyna@naseit.cz