Domenenavnsystem (DNS) oversetter domenenavn som er lesbare for mennesker, for eksempel google.com, til IP-adresser som kan leses av maskiner, for eksempel 172.217.3.206. Konfigurer DNS Security Extensions (DNSSEC) for å forhindre trusler mot domenet ditt, som bufferangrep og DNS-forfalskning.
Aktivere DNSSEC for domenet ditt
Viktig:
- Enkelte toppdomener (TLD) godtar poster med offentlige DNS-nøkler (DNSKEY) i stedet for DS-poster (Delegation Signer).
- Hvis du opprinnelig kjøpte domenenavnet ditt fra Google Domains, kan det være at DNSSEC allerede er konfigurert for deg.
- Hvis domenet ditt har en ALIAS-post, kan du ikke aktivere DNSSEC. Finn ut mer om ALIAS-poster.
For å konfigurere DNSSEC for domenet ditt, må du legge til bestemte ressursposter i DNS- eller signeringssonen og publisere dem for domenet ditt. Hvis du bruker den automatiske DNSSEC-konfigurasjonen i Google Domains, håndterer vi begge trinnene for deg. Det kan ta opptil 24 timer før endringene oppdateres i hele internett før DNSSEC er aktivt.
- Logg på Google Domains.
- Velg domenet ditt.
- Øverst til venstre velger du Meny DNS.
- Velg enten Standard navnetjenere eller Egendefinerte navnetjenere.
- Rull til «DNSSEC»-kortet eller -boksen.
- For standard navnetjenere: Klikk på Slå på. Hvis DNSSEC allerede er slått på, vises «DNSSEC er slått på».
- For egendefinerte navnetjenere: Klikk på Administrer DS-poster og skriv inn informasjonen fra DNS-leverandøren din.
- Skriv inn verdiene som er oppgitt av tredjepartsleverandøren av DNS for DNSSEC eller DNSKEY for egendefinert navnetjener.
- Klikk på Opprett ny post for å legge til flere poster samtidig.
- Klikk på Lagre.
Tips:
- Hvis du velger å ikke vente på at DNSKEY-postene dine skal publiseres, utvider du DNSSEC-kortet under «DNSSEC» og klikker på Publiser poster nå.
- Når du slår på DNSSEC, signerer Google Domains automatisk DNS-sonen din og publiserer Delegation Signer-postene (DS) innen to timer.
Hvis du bruker egendefinerte navnetjenere, må du be tredjepartsleverandøren din om å signere DNS-sonen for domenet ditt. Be om følgende verdier fra DNS-leverandøren din for hver DNSKEY:
- Nøkkeltag: En tallverdi som refererer til en eksisterende DNSKEY-post.
- Algoritme: En krypteringsalgoritme som brukes til å lage sikkerhetsnøkkelen i DNSKEY-posten. Den er vanligvis koblet til en hash-funksjon som RSA/SHA1.
- Sammendragstype: En algoritme som brukes til å lage sammendraget av en DNSKEY-post. Den kalles også «sammendragsalgoritme», «sammendrags-hash» eller «funksjon for sammendrags-hash».
- Sammendrag: En hash-verdi for DNSKEY-posten som gjør det mulig å identifisere den unikt og ikke avdekker verdien til nøkkelen. Avhengig av sammendragstypen kan lengden være én av følgende:
- SHA1: 40 heksadesimale sifre
- SHA256: 64 heksadesimale sifre
- SHA384: 96 heksadesimale sifre
Hvis du bruker egendefinerte navnetjenere, må du kontakte tredjeparts DNS-leverandøren din for å logge på DNS-sonene for domenet ditt. Be om følgende verdier fra DNS-leverandøren din for hver DNSKEY:
- Flagg: Informasjon som forteller domenenavnsystemet og resolverne hvordan DNSKEY-posten skal tolkes. Denne verdien er som standard 256 eller 257.
- Protokoll: Viser hvilken versjon av DNSSEC som brukes. Denne verdien er alltid 3.
- Algoritme: Viser hvilken type kryptografisk algoritme som brukes for paret av offentlig eller privat nøkkel.
- Offentlig nøkkel: Nøkkelen som DNS-resolverne bruker for å kontrollere at DNS-oppføringene ikke er manipulert.
Deaktivere DNSSEC for domenet ditt
- Logg på Google Domains.
- Velg domenet ditt.
- Velg Meny DNS.
- Rull til «DNSSEC»-kortet eller -boksen.
- For standard navnetjenere: Velg Slå av.
- For egendefinerte navnetjenere: Ved siden av hver post klikker du på Slett .
- Velg Lagre.
Tips:
- Hvis du bruker egendefinerte navnetjenere, kan du samarbeide med DNS-leverandøren din for å fjerne DNSSEC-relaterte ressursposter fra sonen din.
- Når du slår av DNSSEC, oppheves publiseringen av domenets DS-poster umiddelbart i Google Domains. Når denne endringen er oppdatert over hele internett, er ikke domenet ditt lenger beskyttet av DNSSEC. Dette kan ta opptil 48 timer. Det kan hende at Google Domains opphever signeringen av DNS-sonen din for å fullføre deaktiveringen av DNSSEC.
Bruk dynamisk DNS
Viktig: Dynamisk DNS fungerer med IPv4- og IPv6-adresser, men ikke samtidig.
Med dynamisk DNS kan du viderekoble domenet ditt eller et underdomene til en ressurs som ligger bak en gateway og har en dynamisk tilordnet IP-adresse. Du må bruke standard Google Domains-navnetjenere for å kunne bruker dynamisk DNS.
Hvis du har konfigurert dynamisk DNS med Google Domains, kan du
- opprette en A- eller AAAA-post for domenet eller underdomenet ditt som gjør at Google-navnetjenerne forventer en dynamisk IP-adresse
- generere et brukernavn og passord som verten eller tjeneren din kan bruke til å kommunisere den nye IP-adressen til Google-navnetjenerne
Når du har konfigurert dynamisk DNS, må du konfigurere et klientprogram på verten, tjeneren eller gatewayen som gjør følgende:
- registrerer IP-adresseendringer
- bruker det genererte brukernavnet og passordet
- formidler den nye adressen til Google-navnetjenerne
Konfigurer dynamisk DNS
- Logg på Google Domains på en datamaskin.
- Velg domenet ditt.
- Klikk på Meny DNS.
- Velg Standard navnetjenere Google Domains (Aktiv).
- Tips: Hvis «Egendefinerte navnetjenere (Aktiv)» er valgt, har du allerede egendefinerte navnetjenere, og du kan ikke bruke Google Domains-tjenesten for dynamisk DNS.
- Klikk på Vis avanserte innstillinger.
- Klikk på Administrer dynamisk DNS Opprett ny post.
- For å tilordne en dynamisk IP-adresse skriver du inn navnet på underdomenet eller rotdomenet.
- Klikk på Lagre.
Her er noen andre alternativer for administrering av dynamisk DNS:
- Slik ser du postverdiene: Klikk på trekanten ved siden av posten.
- Slik ser du brukernavnet og passordet som er opprettet for denne posten: Klikk på Se legitimasjonen.
- Slik konfigurerer du gatewayen eller klientprogramvaren slik at den kontakter Googles navnetjenere: Bruk brukernavnet og passordet som er opprettet for posten.
- Slik sletter du en post:
- Gå til «Ressursposter».
- Klikk på trekanten ved siden av «Dynamisk DNS».
- Velg Slett.
Konfigurer et klientprogram på gatewayen, verten eller tjeneren din
Det finnes en rekke populære klienter med dynamisk DNS som du kan velge mellom, for eksempel DDclient og INADYN. De fleste rutere kan registrere IP-endringer og formidle disse til navnetjenerne gjennom den innebygde programvaren.
Konfigurer klienten med dynamisk DNS med følgende:
- Leverandør eller DNS eller tjeneste: Med dette mener vi navnet på DNS-leverandøren.
- Brukernavnet eller legitimasjonen: Med dette mener vi det genererte brukernavnet i Dynamisk DNS-posten.
- Passordet eller legitimasjonen: Med dette mener vi det genererte passordet i Dynamisk DNS-posten.
Test posten når du har opprettet den og konfigurert klientprogramvaren. Skriv inn underdomenet og domenet i en nettleser eller egnet klient, og sørg for at de kobles til riktig ressurs.
Tips: Google Domains bruker dyndns2-protokollen.
Eksempler
DDclient har nå støtte for Google Domains.
DDclient med støtte for Google Domains |
ddclient.conf-oppføringer:
|
Eksempler på generelle klientkonfigurasjoner:
DDclient uten støtte for Google Domains |
INADYN |
Eksempler på ddclient.conf-oppføringer:
|
Legg til følgende i inadyn.conf
|
Oppdater dynamisk DNS-poster med API-et
domains.google.com/nic/update
https://username:password@domains.google.com/nic/update?hostname=subdomain.yourdomain.com&myip=1.2.3.4
Angi en brukeragent
Viktig: Du må også angi en brukeragent i forespørselen din.
I en test med nettadressen som er angitt ovenfor, domains.google.com/nic/update
, legger nettleseren vanligvis til en brukeragent for deg. Det endelige HTTP-søket som sendes til tjenerne våre, skal ligne på dette:
Eksempel på et HTTP-søk:
POST /nic/update?hostname=subdomain.yourdomain.com&myip=1.2.3.4 HTTP/1.1
Host: domains.google.com
Authorization: Basic base64-encoded-auth-string
User-Agent: Chrome/41.0 your_email@yourdomain.com
Forespørselsparametere:
Parameter | Obligatorisk eller valgfritt | Beskrivelse |
username:password |
Obligatorisk | Dette er det genererte brukernavnet og passordet tilknyttet verten som skal oppdateres. |
hostname |
Obligatorisk | Dette er vertsnavnet som skal oppdateres. |
myip |
|
IP-adressen som verten er angitt for. Hvis IP-adressen ikke er oppgitt, bruker vi IP-adressen til agenten som sendte forespørselen.
Viktig: Hvis agenten din bruker en IPv6-adresse, er |
offline |
Valgfritt | Med dette angis statusen til den nåværende verten som uten nett. Hvis det kommer inn en oppdateringsforespørsel for en vert uten nett, tilordnes verten ny status. Tillatte verdier er:
|
Når forespørselen er behandlet, returneres et av følgende svar.
Viktig: Sørg for at du tolker svaret riktig, ellers risikerer du å blokkere klienten din fra systemet vårt.
Respons | Status | Beskrivelse |
good {user’s IP address} |
Vellykket | Oppdateringen ble gjennomført. Du bør ikke prøve å kjøre noen ny oppdatering før IP-adressen er endret. |
nochg {user’s IP address} |
Vellykket | Den oppgitte IP-adressen er allerede angitt for denne verten. Du bør ikke prøve å kjøre noen ny oppdatering før IP-adressen er endret. |
nohost |
Feil | Vertsnavnet eksisterer ikke, eller dynamisk DNS er ikke slått på for det. |
badauth |
Feil | Kombinasjonen av brukernavn og passord er ikke gyldig for den angitte verten. |
notfqdn |
Feil | Det oppgitte vertsnavnet er ikke gyldig som et fullstendig kvalifisert domenenavn. |
badagent |
Feil | Klienten for dynamisk DNS lager ugyldige forespørsler. Kontrollér at brukeragenten er angitt i forespørselen. |
abuse |
Feil | Dynamisk DNS-tilgang for vertsnavnet er blokkert som følge av feilaktige tolkninger av tidligere svar. |
911 |
Feil | Det oppsto en feil på vår side. Prøv på nytt om fem minutter. |
konflikt A |
Feil | En tilpasset A- eller AAAA-ressurspost er i konflikt med oppdateringen. Slett den angitte ressursposten på siden med DNS-innstillinger, og prøv å gjennomføre oppdateringen på nytt. |