Videre til indhold 
All-Inkl DNS kontrollerer, hvor dit domæne peger hen, hvor hurtigt indhold indlæses, og om e-mails ankommer pålideligt. Jeg viser dig, hvordan du indstiller de rigtige poster i KAS, undgår konflikter og konfigurerer dit domæne med Sikkerhed og hastighed.
Centrale punkter
- KAS-adgang Brug hurtigt og hold indgangene rene
- TTL Indstil strategisk til hurtige opdateringer
- MX/SPF/DKIM Konfigurer korrekt til Mail Trust
- Wildcard og brug underdomæner fornuftigt
- Overvågning og dokumentation konsekvent
All-Inkl DNS i KAS: hurtig start
Jeg logger ind på medlemsområdet, åbner den tekniske administration og går til det ønskede domæne via KAS-login, derefter til DNS-indstillinger [1]. I oversigten tjekker jeg eksisterende A-, AAAA-, CNAME-, MX- og TXT-poster og rydder op i dubletter. Ved en serverændring justerer jeg A (IPv4) og om nødvendigt AAAA (IPv6) og gemmer den nye IP. Ændringer træder ofte i kraft i løbet af få minutter, men på verdensplan kan det tage længere tid. Efter hver lagring tjekker jeg posterne igen, så ingen tastefejl stopper go-live.
TTL, udbredelse og rene udrulninger
Jeg behandler TTL som et kontrolhåndtag for udrulninger. Før en flytning sænker jeg midlertidigt TTL'en (f.eks. til 300 sekunder), så kunderne hurtigt tager de nye værdier til sig. Efter ændringen hæver jeg TTL igen for at reducere DNS-belastningen. Ved kritiske lanceringer planlægger jeg tidsvinduet, sletter forældede poster og tester opløsningen af flere resolvere. Du kan finde en mere dybdegående sammenligning af fornuftige værdier her: Optimale TTL-værdier.
Et overblik over navneserver, NS og SOA
Jeg tjekker først, der giver de autoritative navneservere. Hvis NS er delegeret til All-Inkl, træder mine KAS-poster i kraft med det samme. Hvis der gemmes eksterne navneservere (f.eks. fra et CDN eller en SaaS-udbyder), træder KAS-posterne i kraft med det samme. ikke. Derefter vedligeholder jeg den zone, som NS'en peger på. Når jeg skifter navneserver, giver jeg mere tid end ved opdateringer af individuelle poster, fordi TLD-registratoren og cachen kan overtage delegeringsændringen med en forsinkelse.
Jeg er opmærksom på parametrene i SOA-recorden: Seriel (zonens versionsnummer), Opdatering/Retry/Udløb (kontrol af sekundære servere) og Negativ TTL for ikke-eksisterende navne. Denne negative cache-varighed forklarer, hvorfor slettede/nyoprettede navne nogle gange først bliver synlige, når NXDOMAIN TTL er udløbet. All-Inkl administrerer de fleste af værdierne automatisk - men jeg inkluderer dem i udrulningstiden.
Indstil A, AAAA og CNAME korrekt
For hjemmesiden indtaster jeg den nye IPv4 under A og IPv6 under AAAA, så alle klienter har en Adgang få. Hvis en tjeneste kun tildeler mig ét værtsnavn, bruger jeg CNAME som et alias til denne målvært [2]. Jeg undgår CNAME på roddomænet, medmindre udbyderen understøtter særlige løsninger; i stedet arbejder jeg normalt med A/AAAA der. For www opretter jeg et CNAME på roden, hvis jeg vil undgå centraliserede IP'er. Efter opdateringer tjekker jeg opløsningen og certifikatet, så HTTPS kører uden advarsler.
Redirects, WWW-kanonisering og CNAME-fælder
Jeg skelner skarpt mellem DNS og HTTP: Jeg løser omdirigeringer (f.eks. ikke-www ⇒ www) på serversiden med 301/308, ikke med DNS. I DNS peger jeg typisk www til roden (eller direkte til målet på CDN'et) via CNAME. Jeg opretter ikke et CNAME, hvor der allerede er andre records med samme navn (f.eks. MX/TXT på roden), da CNAME og andre typer er forskellige. lukke af. For rene certifikater sørger jeg for, at alle anvendte værtsnavne (root, www, applikationsspecifikke) er opløst og inkluderet i certifikatet.
Brug subdomæner og jokertegn fornuftigt
Jeg opretter underdomæner som f.eks. shop, blog eller api og adskiller dermed tjenester rent uden Hoveddomæne at bringe i fare. Ved projekter, der skifter ofte, sparer jeg tid med en A-record med jokertegn (*), fordi hvert nyt subdomæne automatisk er tilgængeligt. Ikke desto mindre definerer jeg kritiske subdomæner eksplicit, så de har deres egne mål, TTL'er eller sikkerhedsværdier. For eksterne platforme indstiller jeg CNAME-poster, så udbyderens IP-ændringer ikke påvirker mig. Før jeg går live, tester jeg subdomænet ved hjælp af en hosts-fil eller en separat resolver.
CDN, flere regioner og failover
Jeg integrerer et CDN via CNAME og holder TTL moderat, så routing-ændringer træder hurtigt i kraft. Et underdomæne (f.eks. statisk) er værd at bruge til statisk indhold, så jeg kan administrere caching-politikker og certifikater separat. Til simpel load balancing arbejder jeg med flere A/AAAA-poster (round robin). Jeg er klar over, at dette ikke erstatter aktive sundhedstjek - hvis et mål fejler, skal brugerne vente, indtil klienten prøver et andet mål. Til planlagt vedligeholdelse bruger jeg korte TTL'er og skifter til en vedligeholdelsesinstans eller omdirigerer trafikken via en CNAME-switch.
MX, SPF, DKIM, DMARC: pålidelig e-mail-sikkerhed
Jeg indstiller korrekte MX-poster, så mails når frem til den ønskede server, og kommunikationspartnere opbygger tillid. Til afsendergodkendelse bruger jeg TXT til at oprette en SPF-record, som indeholder alle legitime afsendelsesstier [3]. Jeg aktiverer også DKIM, så modtagerne kan kontrollere signaturer; jeg gemmer den offentlige nøgle som TXT. Jeg bruger DMARC til at definere evalueringen af SPF/DKIM og en politik (none/quarantine/reject) inklusive rapportering. Derefter tester jeg levering, spamevaluering og justering, indtil værdierne er korrekte.
SPF-detaljer fra praksis
- Jeg holder SPF på en kun TXT-linje pr. navn, og bemærk grænsen for opslag (maks. ~10 mekanismer med DNS-forespørgsler). For mange inkludere-Jeg forkorter eller konsoliderer kæder.
- Jeg bruger ip4/ip6 for egne afsendere, inkludere for udbydere og undgå dyre mekanismer som f.eks. ptr. Til sidst plejer jeg at skrive ~alle (softfail) i starten og senere -alle.
- Ved lange værdier er jeg opmærksom på korrekt citering. TXT kan være opdelt i segmenter, som resolverne derefter fletter sammen igen.
Ren drift af DKIM
- Jeg klarer mig Selektorer (f.eks. s2025) pr. ekspeditionssti, så jeg kan rotere nøgler uden at stoppe ekspeditionen.
- Jeg foretrækker 2048-bit nøgler og sletter gamle selector TXT-poster efter skiftet.
- Jeg bruger separate selectors for hver afsenderplatform, så test og rollback forbliver adskilt.
Udvikl DMARC-politikker
- Jeg begynder med p=ingen og evaluering af rapporterne (rua). Hvis SPF/DKIM-tilpasningsværdierne er korrekte, fortsætter jeg via karantæne til afvise og øg om nødvendigt. pct. i etaper.
- Hvis det er nødvendigt, sætter jeg en sp=-politik for underdomæner og vælg adkim/aspf (afslappet/streng), så det passer til opsætningen.
Yderligere mail-aspekter
- Omvendt DNS (PTR): Hvis jeg sender mails fra min egen IP, sætter jeg en PTR til HELO/SMTP-navnet hos udbyderen. Uden en PTR falder leveringskvaliteten.
- MTA-STS/TLS-RPT: Jeg sikrer også transportkryptering via MTA-STS (Policy per TXT/HTTPS) og får rapporteret leveringsproblemer via TLS-RPT.
Undgå fejlkilder og udbedr dem hurtigt
Jeg ser ofte trivielle årsager: ombyttede numre i IP'er, dobbelte poster, forkert indstillede CNAME-destinationer eller TXT-linjeskift. Derfor tjekker jeg alle nye poster direkte i KAS og validerer dem derefter med flere resolvere. I tilfælde af fejl starter jeg med A/AAAA og MX, tjekker derefter CNAME/TXT og ser på TTL på. Jeg bruger tjeklister og værktøjer til strukturerede analyser; et godt sted at starte er denne compact Analyse af DNS-fejl. Hvis der stadig er et problem, åbner jeg en ticket med tidspunkter, berørte værter og prøver.
DNS-poster på et øjeblik: Praktisk tabel
Jeg holder de vigtigste posttyper samlet i en kompakt oversigt, så jeg hurtigt og nemt kan foretage ændringer. sikker plan. Jeg bruger A/AAAA til webadgang, CNAME til aliaser, MX til mails og TXT til autentificering. SRV hjælper med tjenester som VoIP eller chat. Jeg er opmærksom på formatet, navnet, destinationen og TTL for hver post. Følgende tabel hjælper dig med at planlægge dine indtastninger.
| Rekord | Formål | Eksempel på indtastning | Noter |
|---|---|---|---|
| A | Domænets IPv4-adresse | 192.0.2.123 | For hjemmeside og underdomæner Vigtigt |
| AAAA | Domænets IPv6-adresse | 2001:0db8:85a3:0000:0000:8a2e:0370:7334 | Sørg altid for ekstra pleje, hvis det er muligt |
| CNAME | Alias til et andet domæne | www ⇒ mydomain.com | Brug ikke CNAME på root |
| MX | Tildeling af mailserver | mailserver.webhoster.com | Flere poster med prioritet |
| TXT | Verifikation/politikker | v=spf1 include:... | Gem SPF, DKIM, DMARC |
| SRV | Tildeling af tjenester (f.eks. VoIP) | _sip._tcp.mydomain.com | Brug kun, hvis det er nødvendigt |
SRV, CAA, TLSA og særlige tilfælde
Jeg bruger SRV-poster til tjenester, der kræver port, vægtning og prioritet (f.eks. _sip._tcp, _xmpp, _autodiscover). Jeg indstiller service, protokol, målhost, port, prioritet og vægt korrekt og dokumenterer afhængigheder.
For certifikater begrænser jeg med CAA hvilke CA'er der er autoriseret til at udstede certifikater. Jeg indstiller poster af typen udstede (normale certifikater), Issuewild (jokertegn) og valgfri iodef for notifikationer. Det er sådan, jeg forhindrer uønskede udstillinger. Hvis jeg bruger DNSSEC, kan jeg bruge følgende til TLS-tjenester TLSA (DANE) - dette er avanceret, men øger kædesikkerheden mellem DNS og transportkryptering.
ACME/Let's Encrypt via DNS-01
Jeg løser vanskelige certifikatscenarier (f.eks. wildcards) via ACME-udfordringen DNS-01. For at gøre dette opretter jeg en TXT-post under _acme-challenge.ditdomæne.tld på. Under udstillingen sætter jeg TTL'en kortvarigt, så CA'en hurtigt kan se værdierne. Efter en vellykket validering sætter jeg TTL'en højt igen og fjerner gamle challenge-posts for at holde zonen ren.
Forståelse af caching og udførelse af målrettede tests
Jeg skelner mellem cacher på flere niveauer: lokalt operativsystem, browser, udbyderens resolver og downstream-forwarders. Hvis noget er uklart, rydder jeg lokale cacher (f.eks. via systemværktøjer) og tester specifikt mod autoritative navneservere. Med grave Jeg kigger på TTL, Myndighed og kæden via +spor på. I tilfælde af uventede NXDOMAIN-svar noterer jeg den negative TTL fra SOA'en, før jeg planlægger yderligere ændringer.
Delegering af underdomæner
Hvis det er nødvendigt, delegerer jeg individuelle subdomæner til andre navneservere ved hjælp af NS-poster inden for af zonen for dette underdomæne. For eksempel kan et SaaS-team app.ditdomæne.tld selv uden at overdrage hovedzonen. Jeg tænker på de passende glue records, hvis jeg driver mine egne navneservere under domænet.
Internationaliserede domæner (IDN)
Jeg tager hensyn til umlauts/IDN: I den DNS, jeg arbejder med Punycode (xn--...). Brugergrænsefladen klarer ofte konverteringen for mig, men i logfiler eller med manuelle værktøjer tjekker jeg, om navnet og certifikatet matcher nøjagtigt.
DNSSEC, IPv6 og automatisering
Jeg aktiverer DNSSEC, hvis registratoren tilbyder det, så resolvere kan kontrollere svar kryptografisk. Samtidig vedligeholder jeg IPv6-records, fordi mange netværk i dag foretrækker v6. Til tilbagevendende opsætninger bruger jeg skabeloner eller en API, så jeg hurtigere kan udrulle ensartede poster. Hvis jeg driver mine egne resolvere eller navneservere, sørger jeg for, at jeg har rene glue records og seriel versionsstyring; en introduktion til dette: Sæt din egen navneserver op. Det er sådan, jeg holder ændringer forståelige, testbare og hurtigt spilbare.
Arbejde med flere miljøer og staging
Jeg adskiller produktion, staging og test via underdomæner eller separate zoner, så jeg kan kontrollere ændringer på en sikker måde. Til staging sænker jeg TTLså nye builds er synlige med det samme. Jeg reserverer unikke værtsnavne som staging, dev eller preview og dokumenterer målene. Når jeg skifter, bruger jeg CNAME-switche eller bytter A/AAAA-IP'er med en lav TTL, så brugerne næsten ikke bemærker nogen afbrydelser. Derefter trækker jeg TTL'en op igen og arkiverer de gamle værdier.
Grundig vedligeholdelse: grænser, formatering og renlighed
- TXT-længder: Jeg er opmærksom på segmenter på 255 tegn og opdeler lange nøgler (DKIM) i korrekt citerede dele.
- Navne og punkter: Jeg indstiller kun terminalpunkter, hvis brugergrænsefladen forventer dem. Ellers skaber relative navne uønskede vedhæftninger.
- Ingen blandede former: Jeg opretter for en host enten CNAME eller andre typer - aldrig begge dele.
- Undgå konflikter: Wildcards virker ikke, hvis et navn eksisterer eksplicit. Jeg definerer derfor bevidst kritiske hosts.
Dokumentation, sikkerhedskopier og ændringshåndtering
Jeg gemmer den aktuelle zonefil, før jeg begynder at foretage ændringer, og noterer dato, formål og billet-ID. Hver justering får en kort Kommentarså jeg kan finde årsager senere. Ved større projekter fører jeg en changelog i repoen, eksporterer zonen og indsamler testlogs. Før helligdage eller kampagner planlægger jeg vedligeholdelsesvinduer og har en rollback-strategi klar. Et regelmæssigt tjek af de vigtigste hosts forhindrer overraskelser.
Konklusion og klare to-dos
Jeg fokuserer på nogle få, rene poster, en passende TTL-strategi og konsekvent e-mail-godkendelse. Derefter tjekker jeg opløsning, certifikater og levering, indtil alle tests er gennemført. grøn er. Ved vækst opgraderer jeg med DNSSEC, IPv6 og automatisering. Jeg dokumenterer ændringer med det samme, så jeg senere ved præcis, hvad der skete og hvornår. Det holder din All-Inkl-opsætning hurtig, pålidelig og klar til fremtidige projekter.
