ARCHIV

Jak nastavit DNS

Nedávno jsem psal dva články o doménách. Popisoval jsem vše hodně obecně a na konci jsem ukázal registraci domény. Tento článek je v podstatě pokračování. Budu zde popisovat začátečníkům, jak nastavit DNS, aby se vše nasměrovalo na jejich server.

31.10.2010 00:00 | Martin Zíka | Články autora | přečteno 17393×

Co mě k tomuto článku přivedlo?

Tento článek jsem se rozhodl napsat, protože jsem byl dotázán na toto téma jedním člověkem, který začíná se nastavováním serverů. Moje první rada pro něj byl vyhledávač, ovšem v něm se nadají najít podstatné informace. Lidé si řeknou, že na tom není nic složitého, ovšem je problém, že teorie je na internetu dost, ale té praxe není mnoho. A o tom bude právě tento článek. Jelikož vlastním doménu u registrátora http://active24.cz, tak budu mluvit o tom, jak se to nastavuje právě u něj. Je na tom dobré, že většina pojmů je většinou stejná. Na internetu si najdete to, co zde nebudu popisovat, protože to k jednoduchému nastavení nebudou potřeba. Výsledkem tohoto článku mají být nastavené DNS záznamy pro danou doménu a pro server obstarávající služby mailů a webových stránek.

Jaké typy záznamů se používají?

Záznam A

Tento záznam se používá, pokud pracujeme s nastavením webových stránek. Je to ten nejobyčejnější typ záznamů, slouží jen k zamaskování IP adresy za hezkou doménu, dají se zde tvořit subdomény.

Záznam AAAA

Je to záznam vlastnostmi skoro totožný s obyčejným záznamem A. Je zde pouze drobná úprava kvůli novému systému IP adres, konkrétně IVv6. Tyto IP řeší problém s nedostatkem tehdejších, ale zatím využívaných IPv4.

Záznam CNAME

Je to způsob jak již v DNS nastavit nasměrování na jinou doménu, či subdoménu. Může se jednat jak o doménu, která je totožná s tou ze které směrujete, ale bude mít jen jinou předponu, ale může to být i jiná doména s úplně jinou subdoménou.

1. Z http://nasedomena.cz/ směrujeme na http://sub.nasedomena.cz/

2. Z http://nasedomena.cz/ směřujeme na http://jinadomena.cz/

Záznam MX

Tento typ záznamu využijeme, když budeme chtít nastavit v DNS emailový server. Pro obsluhu tohoto záznamu budu předpokládat, že máte vytvořený a funkční záznam A. Co se záznamem vlastně můžeme docílit? Můžeme nastavit, kam se bude směrovat pošta. Výhodou tohoto záznamu je to, že můžeme udělat více serverů a hlavně můžeme udělat i subdoménové maily. Více serverů se využije, pokud budete mít nějaký primární a pak rezervní server. Subdoménové emaily se využijí, například když máte ve firmě několik oddělení a každé má svou subdoménu, budete potřebovat pro ně maily. Ovšem Josef Novák bude ve firmě dvakrát, jednou na prvním a jednou na druhém oddělení. Budeme mít maily novak@1.domena.cz a novak@2.domena.cz. Účty budou rozdílné a rovnou se odesílateli mailu řekne, kde daný pracuje a usnadní to komunikaci.

Záznam TXT

TXT záznam (text record) je další možný typ, ovšem není moc potřebný pro základní nastavení. Active24 radí jeho používání jen těm zdatnějším uživatelům. Slouží k uchování textového řetězce v systému DNS. Text, který tento kód vyjadřuje, může být dlouhý maximálně 255 znaků. Mezi tyto znaky patří písmena bez diakritiky, číslice, spaciální znaky (+, -, =, %, @, ?, !). Jak se tento záznam dá využít? Příkladem využití TXT záznamu je možnost definice, které servery smí odesílat emaily s adresou odesílatele v této doméně.

Záznam NS

NS záznam, neboli Name Server záznam nám určuje server/y, na kterých jsou spravovány DNS údaje domény. Název DNS serveru/ů sdělují poskytovatelé webhostingových služeb. Pokud doménu chcete používat, je potřeba udělat některé kroky, které jsou povinné:

• Vyplnit minimálně 2 NS záznamy, pokud nevyplníme, nemůžeme doménu provozovat

• Adresa NS je vždy doména n-tého řádu, nikoliv IP adresa serveru, tvary, které jsou povoleny:

  • Každá část doménového jména musí být 2-63 znaků dlouhá

  • Celé doménové jméno musí mít méně než 255 znaků

  • Jako znaky považujeme povolená písmena, čísla a znak pomlčka

  • První a poslední znak každé části nesmí být pomlčka

• Jeden NS nemůže být vložen u dané domény více než jednou

Pokud potřebujete znát údaje o NS společnosti active24.cz, tak jsou na jejich stránkách zde: http://napoveda.active24.cz/idx.php/32/098/article/.

Reverzní záznamy

Tomuto záznamu odpovídá zkratka PTR. Je to záznam, který nám pomůže odhalit majitele/poskytovatele IP adresy. Je o tom velice zajímavé povídání zde: http://www.dns-info.cz/dns/reverzni-zaznamy.html. Není to moc podstatná věc, ale určitě je dobré o ní vědět a vědět jak je možné jí využívat.

DNSSEC – zabezpečení

Je to rozšíření doménových jmen (DNS), které zvyšuje jeho bezpečnost. DNSSEC poskytuje uživatelům jistotu, že informace, které z DNS získal, byly poskytnuty správným zdrojem, jsou úplné a integrita nebyla při přenosu narušena. Zajistí v podstatě důvěryhodnost údajů získaných z DNS.

Jak jednoduše se můžete stát obětí? Kdo z vás zde používá VoIP telefony, emaily, využívá služeb webových stránek? Pokud se hostitel služby schovává za doménu a nemá jí chráněnou, je možné, že se dostanete na úplně jiné místo, než chcete. Jde v podstatě o to, že obelstíte DNS server, který převádí doménu na IP adresu serveru. Následující obrázek vše dokonale demonstruje:

Pokud vše proběhne správně, vše běží zelenou cestou, pokud dojde k útoku, vše se začne pohybovat po trase červené, což je ten problém. Váš počítač se začne směrovat na úplně jinou IP adresu, než by byl směrován správně. Bude to nejspíše server útočníka, který pomocí svého serveru bude moci vypadat jako doména, kterou jste chtěli navštívit. Může vám pomocí toho nabourat počítač, pomocí hlášek stránky vás donutit mu poskytnout heslo atd. je to velice zrádné. Jak se chránit a jak poznat, že jde o „past“ naleznete:

• http://www.nic.cz/page/444/jak-funguje-dnssec/

• http://www.nic.cz/page/561/jak-zprovoznit-dnssec/

Nastavení DNS pro web server

Teď se přesuneme k další části a to k té praktické. První věc, kterou budeme nastavovat, bude krytí IP serveru, na kterém nám budou fungovat webové stránky. Budeme uvažovat, že máme IP adresu A.B.C.D a že máme adresu verze IPv4, znamená to tedy, že budeme používat záznam A, nikoliv záznam AAAA, který je pro vyšší verze. Konkrétně na active24.cz je to tak, že se u tohoto záznamu vyplňují položky:

• Název: dá se říci, že je to vlastně vyjádření subdomény, je to, co je před doménou, kterou jsem si koupil

• TTL: Time to Live – jak dlouho mají ostatní nameservery cachovat naše záznamy

• IP adresa: adresa serveru, který provozuje služby webových stránek.

Níže je ukázka mé domény, bude nás zatím zajímat jen ta první tabulka.

Nastavení DNS pro mail server

Vše praktické o tomto typu směrování jsem vysvětloval již u záznamu MX. Zde si jen vysvětlíme pojmy, se kterými se potkáte. A jak je správně nastavit. Jak jsem již psal, je potřeba mít server, který bude mít svou doménu, klidně i subdoménu.

Když se vrátím k minulému obrázku, budeme tedy nastavovat v pořadí již čtvrtou tabulku. Jako hodnota se tedy bude uvádět toto:

1. Název: to co se napíše sem, bude vyjadřovat to co je za zavináčem. Tímto se bude řídit směrování mailů, pokud uživatel napíše mail s doménou, který se váže k záznamu, odpoví mu, že je to na serveru xyz, jehož jméno je uvedeno ve sloupci „Jméno serveru“. Tam bude něco, co se nasměruje na nějakou IP.

2. TTL: platí totéž jako u záznamu A a jako u všech ostatních

3. Priorita: jakou prioritu má daný server, jako hodnota se uvádí celé číslo od 1 do 65535, čím nižší/menší číslo, tím vyšší priorita

4. Jméno serveru: je to název serveru, jehož jméno je uvedeno v záznamu A. Na jeho konci se musí napsat tečka (někde to je možná automaticky, ale u active24 se musí psát manuálně).

Závěr

Nevím, čemu byste nemuseli rozumět, snažil jsem se vše podat tak, abyste tomu rozuměli i vy, kteří moc nepracujete v tomto oboru. Pokud se vám to zdálo moc primitivní, tak je to tím, že vše již umíte a doufám, že to pro vás bylo takové příjemní opakování. Jen jsem ještě chtěl upozornit na jednu podstatnou věc. Netrhejte si vlasy, když vám něco v těchto nastaveních nepůjde ihned. Zachovejte chladnou hlavu tak 24-48 hodin. Bude potřeba počkat, než se vše obnoví a roznese do celého světa. Někdy to u vás na počítači půjde hned, jindy to bude trvat celé hodiny.

Doufám, že vám tento článek přinese nějaké nové znalosti – Martin Zíka [http://zova.cz/]

UPDATE: Článek byl promptně doplněn na základě podnětů od diskutujících a diskuzní příspěvky již nemusí odpovídat obsahu článku.

Verze pro tisk

DISKUZE Navrh na doplneni 31.10.2010 17:58 Martin Kumst citlive udaje/prepracovat 31.10.2010 18:21 Radim Kolář Re: citlive udaje/prepracovat 2.11.2010 14:54 Aleš Hakl Neúplnost 8.11.2010 10:05 Jan Obrátil Zobrazit označené Zobrazit vše Příspívat do diskuze mohou pouze registrovaní uživatelé.