Ga naar de inhoud 
All-Inkl DNS bepaalt waar je domein naartoe wijst, hoe snel inhoud laadt en of e-mails betrouwbaar aankomen. Ik laat je zien hoe je de juiste records in de KAS instelt, conflicten vermijdt en je domein configureert met Beveiliging en snelheid.
Centrale punten
- KAS toegang Snel gebruiken en ingangen schoonhouden
- TTL Stel strategisch in voor snelle updates
- MX/SPF/DKIM Mail Trust correct configureren
- Wildcard en gebruik subdomeinen verstandig
- Controle en documentatie consistent
All-Inkl DNS in het KAS: snel aan de slag
Ik log in op het ledengedeelte, open de technische administratie en ga naar het gewenste domein via KAS login, dan naar DNS-instellingen [1]. In het overzicht controleer ik bestaande A, AAAA, CNAME, MX en TXT records en ruim ik dubbele records op. Voor een serverwijziging pas ik A (IPv4) en indien nodig AAAA (IPv6) aan en sla het nieuwe IP op. Wijzigingen worden vaak binnen enkele minuten van kracht, wereldwijd kan het langer duren. Na elke opslag controleer ik de invoer opnieuw zodat er geen typefouten de go-live tegenhouden.
TTL, propagatie en schone implementaties
Ik behandel de TTL als een controlemiddel voor rollouts. Voor een verhuizing verlaag ik tijdelijk de TTL (bijvoorbeeld naar 300 seconden) zodat clients snel de nieuwe waarden aannemen. Na de wijziging verhoog ik de TTL weer om de DNS-belasting te verminderen. Voor kritieke lanceringen plan ik het tijdsvenster, verwijder ik verouderde records en test ik de resolutie van verschillende resolvers. Een meer diepgaande vergelijking van zinnige waarden vindt u hier: Optimale TTL-waarden.
Nameserver, NS en SOA in een oogopslag
Ik controleer eerst, die biedt de gezaghebbende naamservers. Als de NS zijn gedelegeerd naar All-Inkl, worden mijn KAS-records onmiddellijk van kracht. Als er externe nameservers zijn opgeslagen (bijv. van een CDN of een SaaS provider), worden de KAS-records onmiddellijk van kracht. niet. Dan onderhoud ik de zone waar de NS naar verwijst. Bij het wijzigen van de naamservers geef ik meer tijd dan bij individuele recordupdates omdat de TLD-registrar en caches de delegatiewijziging met vertraging kunnen overnemen.
Ik let op de parameters in het SOA-record: Serie (versienummer van de zone), Vernieuwen/Retrie/Expire (controle voor secundaire servers) en de Negatieve TTL voor niet-bestaande namen. Deze negatieve cache-duur verklaart waarom verwijderde/nieuw aangemaakte namen soms pas zichtbaar worden nadat de NXDOMAIN TTL is verlopen. All-Inkl beheert de meeste waarden automatisch - maar ik neem ze mee in de uitroltijd.
A, AAAA en CNAME correct instellen
Voor de website voer ik de nieuwe IPv4 in onder A en de IPv6 onder AAAA zodat alle clients een Toegang krijgen. Als een service me maar één hostnaam toewijst, gebruik ik CNAME als alias voor deze doelhost [2]. Ik vermijd CNAME op het rootdomein tenzij de provider speciale oplossingen ondersteunt; in plaats daarvan werk ik daar meestal met A/AAAA. Voor www maak ik een CNAME aan op de root als ik gecentraliseerde IP's wil vermijden. Na updates controleer ik de resolutie en het certificaat zodat HTTPS zonder waarschuwingen werkt.
Redirects, canonicalisatie van het WWW en CNAME-vallen
Ik maak een strikt onderscheid tussen DNS en HTTP: ik los redirects (bijv. non-www ⇒ www) aan de serverkant op met 301/308, niet met DNS. In DNS verwijs ik www meestal naar de root (of direct naar het doel bij het CDN) via CNAME. Ik maak geen CNAME aan als er al andere records zijn met dezelfde naam (bijv. MX/TXT op de root), omdat CNAME en andere types anders zijn. afsluiten. Voor schone certificaten zorg ik ervoor dat alle gebruikte hostnamen (root, www, applicatiespecifiek) zijn opgelost en opgenomen in het certificaat.
Gebruik subdomeinen en jokertekens verstandig
Ik maak subdomeinen aan zoals shop, blog of api en daarmee afzonderlijke services zonder de Hoofddomein in gevaar te brengen. Voor projecten die vaak veranderen, bespaart een wildcard A-record (*) me tijd omdat elk nieuw subdomein automatisch toegankelijk is. Desondanks definieer ik kritieke subdomeinen expliciet zodat ze hun eigen doelen, TTL's of beveiligingswaarden hebben. Voor externe platforms stel ik CNAME-records in zodat IP-veranderingen door de provider geen invloed op mij hebben. Voordat ik live ga, test ik het subdomein met behulp van een hosts file of een aparte resolver.
CDN, multiregio en failover
Ik integreer een CDN via CNAME en houd de TTL gematigd zodat routeringswijzigingen snel effect hebben. Een subdomein (bijv. statisch) is de moeite waard voor statische inhoud, zodat ik het cachingbeleid en de certificaten afzonderlijk kan beheren. Voor eenvoudige load balancing werk ik met meerdere A/AAAA entries (round robin). Ik ben me ervan bewust dat dit geen actieve gezondheidscontroles vervangt - als een doel faalt, moeten gebruikers wachten tot de client een ander doel probeert. Voor gepland onderhoud gebruik ik korte TTL's en schakel ik over naar een onderhoudsinstantie of leid ik verkeer om via een CNAME switch.
MX, SPF, DKIM, DMARC: betrouwbare e-mailbeveiliging
Ik stel de juiste MX-records in zodat mails de bedoelde server bereiken en communicatiepartners vertrouwen opbouwen. Voor verificatie van de afzender gebruik ik TXT om een SPF-record, dat alle legitieme verzendpaden bevat [3]. Ik activeer ook DKIM zodat ontvangers handtekeningen kunnen controleren; ik sla de openbare sleutel op als TXT. Ik gebruik DMARC om de evaluatie van SPF/DKIM en een beleid (geen/quarantaine/afwijzen) inclusief rapportage te definiëren. Vervolgens test ik de aflevering, spam evaluatie en uitlijning totdat de waarden correct zijn.
SPF details uit de praktijk
- Ik houd de SPF op een alleen TXT-regel per naam en let op de opzoeklimiet (max. ~10 mechanismen met DNS-query's). Te veel opnemen-Ik verkort of consolideer ketens.
- Ik gebruik ip4/ip6 voor eigen afzenders, opnemen voor providers en dure mechanismen zoals ptr. Aan het eind zet ik meestal ~all (softfail) bij de start en later -allemaal.
- Bij lange waarden let ik op correct citeren. TXT kan worden opgesplitst in segmenten, die de resolvers vervolgens weer samenvoegen.
Schone werking van DKIM
- Ik beheers Selecteurs (bijv. s2025) per verzendpad zodat ik sleutels kan draaien zonder de verzending te stoppen.
- Ik geef de voorkeur aan 2048-bits sleutels en verwijder oude selector TXT-records na de omschakeling.
- Ik gebruik aparte selectors voor elk afzenderplatform, zodat test en rollback gescheiden blijven.
DMARC-beleid ontwikkelen
- Ik begin met p=geen en evaluatie van de rapporten (rua). Als de SPF/DKIM aligmentwaarden correct zijn, ga ik verder via quarantaine naar afwijzen en verhoog indien nodig. pct in fasen.
- Indien nodig zal ik een sp=-beleid voor subdomeinen en selecteer adkim/aspf (ontspannen/streng) aan te passen aan de opstelling.
Verdere postaspecten
- Omgekeerd DNS (PTR): Als ik mails verstuur vanaf mijn eigen IP, stel ik bij de provider een PTR in op de HELO/SMTP-naam. Zonder PTR daalt de afleverkwaliteit.
- MTA-STS/TLS-RPT: Ik beveilig ook transportversleuteling via MTA-STS (Policy per TXT/HTTPS) en heb afleverproblemen gemeld via TLS-RPT.
Foutenbronnen vermijden en snel verhelpen
Ik zie vaak triviale oorzaken: omgedraaide nummers in IP's, dubbele records, verkeerd ingestelde CNAME-bestemmingen of TXT-regelafbrekingen. Daarom controleer ik elke nieuwe vermelding direct in het KAS en valideer deze vervolgens met verschillende resolvers. Bij fouten begin ik met A/AAAA en MX, controleer dan CNAME/TXT en kijk naar de TTL aan. Ik gebruik checklists en hulpmiddelen voor gestructureerde analyses; een goede plek om te beginnen is deze compacte DNS-foutenanalyse. Als het nog steeds vastloopt, open ik een ticket met tijden, getroffen hosts en voorbeelden.
DNS-records in een oogopslag: Praktische tabel
Ik bewaar de belangrijkste recordtypes in een compact overzicht, zodat ik snel en gemakkelijk wijzigingen kan aanbrengen. veilig plan. Ik gebruik A/AAAA voor webtoegang, CNAME voor aliassen, MX voor e-mails en TXT voor authenticatie. SRV helpt bij services zoals VoIP of chat. Ik let op het formaat, de naam, de bestemming en TTL voor elke vermelding. De volgende tabel helpt je bij het plannen van je invoer.
| Opnemen | Doel | Voorbeeld invoer | Opmerkingen |
|---|---|---|---|
| A | IPv4-adres van het domein | 192.0.2.123 | Voor website en subdomeinen Belangrijk |
| AAAA | IPv6-adres van het domein | 2001:0db8:85a3:0000:0000:8a2e:0370:7334 | Zorg altijd voor extra zorg als dat mogelijk is |
| CNAME | Alias naar een ander domein | www ⇒ mijndomein.nl | Gebruik geen CNAME op root |
| MX | Mailserver toewijzing | mailserver.webhoster.com | Meerdere vermeldingen met prioriteit |
| TXT | Verificatie/Beleid | v=spf1 include:... | SPF, DKIM, DMARC opslaan |
| SRV | Servicetoewijzing (bijv. VoIP) | _sip._tcp.mijndomein.com | Alleen gebruiken indien nodig |
SRV, CAA, TLSA en speciale gevallen
Ik gebruik SRV-vermeldingen voor services die een poort, weging en prioriteit vereisen (bijvoorbeeld _sip._tcp, _xmpp, _autodiscover). Ik stel de service, het protocol, de doelhost, poort, prioriteit en gewicht correct in en documenteer afhankelijkheden.
Voor certificaten beperk ik met CAA welke CA's certificaten mogen uitgeven. Ik stel vermeldingen in van het type uitgave (normale certificaten), uitgevenewild (jokerteken) en optioneel iodef voor meldingen. Zo voorkom ik ongewenste tentoonstellingen. Als ik DNSSEC gebruik, kan ik het volgende gebruiken voor TLS-services TLSA (DANE) - dit is geavanceerd, maar vergroot de ketenbeveiliging tussen DNS en transportversleuteling.
ACME/Let's Encrypt via DNS-01
Ik los lastige certificaatscenario's (bijv. wildcards) op via de ACME-uitdaging DNS-01. Om dit te doen, maak ik een TXT-record aan onder _acme-uitdaging.uwdomein.tld aan. Tijdens de tentoonstelling stel ik de TTL kort in zodat de CA de waarden snel kan zien. Na een succesvolle validatie stel ik de TTL weer hoog in en verwijder ik oude challenge-items om de zone schoon te houden.
Caching begrijpen en gerichte tests uitvoeren
Ik maak onderscheid tussen caches op verschillende niveaus: lokaal OS, browser, resolver van de provider en downstream forwarders. Als er iets onduidelijk is, wis ik lokale caches (bijvoorbeeld via systeemtools) en test ik specifiek tegen gezaghebbende naamservers. Met graven Ik kijk naar TTL, Autoriteit en de keten via +traceren aan. In het geval van onverwachte NXDOMAIN reacties, noteer ik de negatieve TTL van de SOA voordat ik verdere wijzigingen plan.
Delegatie van subdomeinen
Indien nodig delegeer ik individuele subdomeinen naar andere nameservers door NS-records te gebruiken binnen van de zone voor dit subdomein. Een SaaS-team kan bijvoorbeeld app.uwdomein.tld zonder de hoofdzone over te dragen. Ik denk aan de juiste glue records als ik mijn eigen nameservers onder het domein beheer.
Geïnternationaliseerde domeinen (IDN)
Ik houd rekening met umlauten/IDN: In de DNS waar ik mee werk Punycode (xn--...). De UI doet vaak de conversie voor mij, maar in logboeken of met handmatige tools controleer ik of de naam en het certificaat precies overeenkomen.
DNSSEC, IPv6 en automatisering
Ik activeer DNSSEC als de registrar dit aanbiedt, zodat resolvers reacties cryptografisch kunnen controleren. Tegelijkertijd onderhoud ik IPv6-records omdat veel netwerken tegenwoordig de voorkeur geven aan v6. Voor terugkerende setups gebruik ik sjablonen of een API zodat ik sneller consistente records kan uitrollen. Als ik mijn eigen resolvers of naamservers beheer, zorg ik ervoor dat ik schone glue records en serieel versiebeheer heb: Uw eigen naamserver instellen. Zo houd ik veranderingen begrijpelijk, testbaar en snel speelbaar.
Werken met meerdere omgevingen en staging
Ik scheid productie, staging en testen via subdomeinen of aparte zones zodat ik wijzigingen veilig kan controleren. Voor staging verlaag ik de TTLzodat nieuwe builds direct zichtbaar zijn. Ik reserveer unieke hostnamen zoals staging, dev of preview en documenteer de doelen. Als ik wissel, gebruik ik CNAME-switches of wissel ik A/AAAA IP's met een lage TTL zodat gebruikers nauwelijks onderbrekingen merken. Vervolgens haal ik de TTL weer omhoog en archiveer ik de oude waarden.
Grondig onderhoud: grenzen, opmaak en netheid
- TXT-lengtes: Ik let op segmenten van 255 tekens en breek lange sleutels (DKIM) op in correct geciteerde delen.
- Namen en punten: Ik stel alleen eindpunten in als de UI ze verwacht. Anders creëren relatieve namen ongewenste bijlagen.
- Geen mengvormen: Ik maak voor een host ofwel CNAME of andere types - nooit allebei.
- Vermijd conflicten: Wildcards werken niet als een naam expliciet bestaat. Daarom definieer ik bewust kritische hosts.
Documentatie, back-ups en wijzigingsbeheer
Ik sla het huidige zonebestand op voordat ik wijzigingen begin aan te brengen en noteer de datum, het doel en de ticket-ID. Elke aanpassing krijgt een korte Commentaarzodat ik later oorzaken kan vinden. Voor grotere projecten houd ik een changelog bij in de repo, exporteer ik de zone en verzamel ik testlogs. Voor feestdagen of campagnes plan ik onderhoudsvensters en heb ik een rollback-strategie klaar. Een regelmatige controle van de belangrijkste hosts voorkomt verrassingen.
Conclusie en duidelijke to-dos
Ik concentreer me op een paar schone records, een geschikte TTL-strategie en consistente e-mailverificatie. Vervolgens controleer ik de resolutie, certificaten en aflevering totdat alle tests zijn voltooid. groen zijn. Voor groei upgrade ik met DNSSEC, IPv6 en automatisering. Ik documenteer veranderingen direct zodat ik later precies weet wat er gebeurd is en wanneer. Zo blijft je All-Inkl setup snel, betrouwbaar en klaar voor toekomstige projecten.
