網域名稱系統 (DNS) 將一般人可閱讀的網域名稱 (例如 google.com) 翻譯成機器可閱讀的網站 IP 位址 (例如 172.217.3.206)。為防止網域受到快取毒害攻擊和 DNS 仿冒等威脅,請設定 DNS 安全擴充 (DNSSEC)。
開啟網域的 DNSSEC
重要事項:
- 部分「最高網域」(TLD) 接受「DNS 公開金鑰」(DNSKEY) 記錄而非「委託簽署人」(DS) 記錄。
- 如您原本是從 Google Domains 購買網域名稱,我們可能已為您設定 DNSSEC。
- 如果網域包含 ALIAS 記錄,則無法啟用 DNSSEC。進一步瞭解別名記錄。
要為網域設定 DNSSEC,您必須將特定資源記錄加入到 DNS 或簽署區域,並發佈網域的資源記錄。如您使用 Google Domains 的自動 DNSSEC 設定,我們會為您處理這兩個步驟。在 DNSSEC 生效之前,系統可能最多需要 24 小時在互聯網上更新變動。
- 登入 Google Domains。
- 選擇網域。
- 在左上方選取「選單」圖示 [DNS]。
- 選取 [預設域名伺服器] 或 [自訂域名伺服器]。
- 捲動至「DNSSEC」資訊卡或選框。
- 預設域名伺服器:按一下 [開啟]。如 DNSSEC 已經開啟,畫面將顯示「已開啟 DNSSEC」。
- 自訂域名伺服器:按一下 [管理 DS 記錄] 並輸入來自 DNS 供應商的資料。
- 輸入第三方 DNS 供應商提供的自訂域名伺服器 DNSSEC 或 DNSKEY 的值。
- 要同時新增多項記錄,請按一下 [建立新記錄]。
- 按一下 [儲存]。
提示:
- 如您選擇不等候 DNSKEY 記錄發佈,請在「DNSSEC」下展開 DNSSEC 資訊卡,然後按一下 [立即發佈記錄]。
- 開啟 DNSSEC 後,Google Domains 將在 2 小時內自動簽署您的 DNS 區域並發佈「委託簽署人」(DS) 記錄。
如您使用自訂域名伺服器,您必須尋求第三方 DNS 供應商的協助,為您的網域簽署 DNS 區域。為各 DNSKEY 向您的 DNS 供應商索取以下的值:
- 金鑰標籤:標示現有 DNSKEY 記錄的數值。
- 演算法:在 DNSKEY 記錄中建立安全密鑰的加密演算法,通常配有雜湊功能,例如 RSA/SHA1。
- 摘要類型:用作建立 DNSKEY 記錄摘要的演算法。又稱為「摘要演算法」、「摘要雜湊」或「摘要雜湊功能」。
- 摘要:DNSKEY 記錄的雜湊值,專用作在不披露金鑰值的情況下識別記錄。視乎摘要類型而定,可以是以下其中一個長度:
- SHA1:40 個十六進位數
- SHA256:64 個十六進位數
- SHA384:96 個十六進位數
如您使用自訂域名伺服器,請聯絡第三方 DNS 供應商尋求協助,為您的網域登入 DNS 區域。為各 DNSKEY 向您的 DNS 供應商索取以下的值:
- 標記:此資訊讓 DNS 和解析器得知如何解讀 DNSKEY 記錄。根據預設,此值設定為 256 或 257。
- 通訊協定:表示所使用的 DNSSEC 版本。此值永遠設定為 3。
- 演算法:表示用於公開或私人配對金鑰的加密演算法類型。
- 公開金鑰:DNS 解析器用以驗證 DNS 記錄未經篡改的金鑰。
停用網域的 DNSSEC
- 登入 Google Domains。
- 選擇網域。
- 選取「選單」圖示 [DNS]。
- 捲動至「DNSSEC」資訊卡或選框。
- 預設域名伺服器:選取 [關閉]。
- 自訂域名伺服器:在每項記錄旁邊,按一下 [刪除] 。
- 選取 [儲存]。
提示:
- 對於自訂域名伺服器,您可以尋求 DNS 供應商的協助,從您的區域中刪除與 DNSSEC 相關的資源記錄。
- 關閉 DNSSEC 後,Google Domains 會立即取消發佈您網域的 DS 記錄。變更在互聯網更新後,您的網域即不再受 DNSSEC 保護。此程序最多需要 48 小時。要完成 DNSSEC 停用程序,Google Domains 可能會取消簽署您的 DNS 區域。
使用動態 DNS
重要事項:動態 DNS 適用於 IPv4 及 IPv6 位址,但不同時支援兩者。
動態 DNS 讓您將網域或子網域導向至在閘道後的資源,並使用動態分配的 IP 位址。要使用動態 DNS,您必須使用 Google Domains 的預設域名伺服器。
如您使用 Google Domains 設定動態 DNS,您可以:
- 為網域或子網域建立 A 或 AAAA 記錄,讓 Google 域名伺服器知道這是動態 IP。
- 產生使用者名稱和密碼,以供您的主機或伺服器向 Google 域名伺服器傳送新 IP 位址時使用。
設定動態 DNS 後,您必須在會進行以下操作的主機、伺服器或閘道設定用戶端程式:
- 偵測 IP 位址變更
- 使用產生的使用者名稱和密碼
- 向 Google 域名伺服器提供新位址
設定動態 DNS
- 在電腦登入 Google Domains。
- 選擇網域。
- 按一下「選單」圖示 [DNS]。
- 選取 [預設域名伺服器 Google Domains (已啟用)]。
- 如選取的是 [自訂域名伺服器 (已啟用)],即代表您已經有自訂域名伺服器,並無法使用 Google Domains 的動態 DNS 服務。
- 按一下 [顯示進階設定]。
- 按一下 [管理動態 DNS] [建立新記錄]。
- 如要指派動態 IP,請輸入有關子網域或根網域的名稱。
- 按一下 [儲存]。
以下是管理動態 DNS 的一些其他選項:
- 如要查看記錄的值:按一下該記錄旁的三角形。
- 查看為記錄建立的使用者名稱及密碼:按一下 [查看憑證]。
- 設定閘道或用戶端軟件以聯絡 Google 域名伺服器:使用為有關記錄建立的使用者名稱及密碼。
- 如要刪除記錄:
- 前往「資源記錄」。
- 按一下「動態 DNS」旁的三角形。
- 選取 [刪除]。
在您的閘道、主機或伺服器上設定用戶端程式
坊間有數個熱門的動態 DNS 用戶端 (例如 DDclient 和 INADYN)。大部分路由器均內置軟件,以偵測 IP 變更並向域名伺服器傳送有關變更。
使用以下資料設定動態 DNS 用戶端:
- 供應商、DNS 或服務:您的 DNS 供應商名稱
- 使用者名稱或憑證:動態 DNS 記錄中產生的使用者名稱
- 密碼或憑證:動態 DNS 記錄中產生的密碼
建立記錄並設定用戶端軟件後,請測試記錄。在瀏覽器或合適的用戶端中輸入子網域及網域,然後確保其連結至正確資源。
提示:Google Domains 使用 dyndns2 通訊協定。
範例
Google Domains 現已支援 DDclient。
Google Domains 支援的 DDclient |
ddclient.conf 項目:
|
一般用戶端設定範例:
DDclient 沒有 Google Domains 支援 |
INADYN |
ddclient.conf 項目範例:
|
將下項加入 inadyn.conf
|
使用 API 更新您的動態 DNS 記錄
domains.google.com/nic/update
https://username:password@domains.google.com/nic/update?hostname=subdomain.yourdomain.com&myip=1.2.3.4
設定用戶代理程式
重要事項:您必須同時在要求中設定用戶代理程式。
與上述網址直接進行測試時,domains.google.com/nic/update
,網絡瀏覽器一般會為您新增用戶代理程式。傳送到我們伺服器的最終 HTTP 查詢應類似以下範例:
HTTP 查詢範例:
POST /nic/update?hostname=subdomain.yourdomain.com&myip=1.2.3.4 HTTP/1.1
Host: domains.google.com
Authorization: Basic base64-encoded-auth-string
User-Agent: Chrome/41.0 your_email@yourdomain.com
要求參數:
參數 | 必需或自由選擇 | 描述 |
username:password |
必填 | 與即將更新主機相關的系統產生使用者名稱和密碼。 |
hostname |
必填 | 將會更新的主機名稱。 |
myip |
|
已在主機設定的 IP 位址。如沒有提供,我們會使用傳送要求的代理 IP。
重要事項:如您的代理使用 IPv6 位址,則必須提供 |
offline |
選填 | 將目前主機設定為離線狀態。如果更新要求在離線主機上執行,主機便會從離線狀態中移除。 允許的值為:
|
在處理有關要求後,系統會回傳以下其中一項回應。
注意事項:請確保您正確解讀回應,否則系統可能會封鎖您的用戶端。
回應 | 狀態 | 描述 |
good {user’s IP address} |
成功 | 已成功更新。IP 位址變更前,您不應嘗試再次更新。 |
nochg {user’s IP address} |
成功 | 已為此主機設定所提供的 IP 位址。IP 位址變更前,您不應嘗試再次更新。 |
nohost |
錯誤 | 主機名稱不存在,或尚未啟用動態 DNS。 |
badauth |
錯誤 | 特定主機的使用者名稱/密碼組合無效。 |
notfqdn |
錯誤 | 所提供的主機名稱並非有效完整網域名稱。 |
badagent |
錯誤 | 您的動態 DNS 用戶端發出錯誤要求。請確保在要求中設定了用戶代理程式。 |
abuse |
錯誤 | 由於錯誤解讀先前的回應,主機名稱的動態 DNS 存取已被封鎖。 |
911 |
錯誤 | 我們的系統發生錯誤。請等待 5 分鐘,然後重試。 |
conflict A |
錯誤 | 自訂 A 或 AAAA 資源記錄與更新有衝突。請於 DNS 設定頁面中刪除指示的資源記錄,然後再嘗試更新。 |