Hvor lang tid tar DNS-endringer å propagere?

Avhenger av TTL. Med TTL på 300 sekunder vil endringen som regel være fullt synlig globalt innen 10-15 minutter. Høy TTL (24 timer) kan bety opp til et døgn. Senk TTL i god tid før planlagte endringer for raskere propagering.

Hva betyr det at resolverene returnerer forskjellige svar?

At endringer fortsatt sprer seg, eller at navneservere har ulike verdier. Det første går over av seg selv ved TTL-utløp. Det andre er en konfigurasjonsfeil hvor du har inkonsistens mellom flere autoritative servere - må fikses manuelt.

Hvorfor er DNSSEC viktig?

DNSSEC beskytter mot DNS-spoofing der en angriper kan rute brukere til en falsk server. Uten DNSSEC kan resolvere ikke verifisere at svaret faktisk kommer fra rettmessig eier. For forretningskritiske domener (banker, e-handel, autentisering) er DNSSEC praktisk talt obligatorisk.

Hvilke globale resolvere bruker dere?

Vi sjekker mot Google DNS (8.8.8.8), Cloudflare (1.1.1.1), Quad9 (9.9.9.9), OpenDNS, og lokale norske resolvere. Det gir en global indikasjon - hvis alle returnerer samme verdi, er propageringen ferdig.

Kan jeg sjekke et subdomene?

Ja. Skriv inn fullt navn (mail.firma.no, blog.firma.no) og verktøyet sjekker DNS for det subdomenet. Subdomener kan ha helt andre poster enn rot-domenet - typisk CNAME til en tjeneste, eller egne A-pekere.

Hva skal SPF-posten min inneholde?

Avhenger av hvilke tjenester som sender e-post fra ditt domene. Typisk: v=spf1 include:_spf.google.com ~all (for Google Workspace) eller v=spf1 include:spf.protection.outlook.com -all (for Microsoft 365). Inkluder alle godkjente sendere, og avslutt med ~all (softfail) eller -all (hardfail).

Trenger alle domener DNSSEC?

For kritiske tjenester definitivt ja. For personlige sider er det anbefalt, men ikke kritisk hvis du ellers bruker HTTPS overalt. Norid (.no) støtter DNSSEC fra 2014. De fleste seriøse registrarer aktiverer det med ett klikk.

Hva hvis noen TXT-poster mangler?

Avhengig av hvilke. SPF og DMARC er kritiske for e-post. Verifisering for tjenester (Google Search Console, Microsoft 365) trengs kun for de tjenestene. Andre TXT-er er valgfrie. Ikke alle domener trenger alle posttyper.

Verktøy - DNS-sjekk

Hva sier DNS-en din?

DNS-sjekk verifiserer at domenets DNS-oppsett er korrekt og konsistent globalt. Verktøyet sender oppslag mot flere resolvere og rapporterer A-pekere (nettside), AAAA (IPv6), MX (e-post), TXT (verifisering, SPF, DKIM, DMARC), NS (navneservere) og DNSSEC-status. Bruk det før produksjon, etter endringer, og når noe slutter å virke.

Om verktøyet

Hva DNS-sjekk gjør

DNS-sjekken er ditt røntgenbilde av domenets tekniske oppsett. Vi sender oppslag mot flere globale resolvere samtidig og viser deg nøyaktig hvilke svar de returnerer. Inkonsistente svar betyr propageringsproblemer. Manglende DNSSEC betyr sårbarhet. Feil MX betyr e-post som ikke kommer frem. Med ett klikk får du oversikt over A, AAAA, CNAME, MX, TXT og NS-poster, pluss DNSSEC-status.

Slik bruker du verktøyet

Steg for steg

Verktøyet er enkelt å bruke - her er prosessen i detalj.

1
Skriv inn domenet
Tast inn domenet du vil sjekke - rotnavnet uten www. eller subdomene. For å sjekke et subdomene (mail.firma.no), skriv det fullt ut.
2
Velg hvilke poster å sjekke
Standard sjekker vi A, MX, TXT og DNSSEC. Du kan velge spesifikke posttyper - AAAA for IPv6, CNAME for alias, NS for navneservere - hvis du leter etter noe konkret.
3
Les resultatet
For hver posttype viser vi verdien fra flere globale resolvere. Konsistente svar betyr at DNS-oppsettet propagerer riktig. Inkonsistente svar tyder på at endringer fortsatt sprer seg eller at TTL er feil satt.
4
Verifiser DNSSEC
DNSSEC-statusen viser om domenet er signert og om signaturen er gyldig. Aktiv DNSSEC = grønt. Inaktiv = ingenting (kanskje OK, kanskje ikke). Brutt DNSSEC = rødt og krever umiddelbar handling.
5
Sammenlign mot forventet
Sjekk at A-pekeren peker mot riktig server-IP. At MX-pekerne stemmer med e-postleverandøren. At SPF, DKIM og DMARC er satt opp. At TTL ikke er for lav (gir tregere svar) eller for høy (gjør endringer trege).

Hva betyr resultatet?

Tolking av resultatet

Forstå hva hver del av resultatet betyr og hva det krever av deg.

A-peker (nettside)

IPv4-adressen som domenet peker mot - serveren der nettsiden ligger. Skal være konsistent på tvers av resolvere. Hvis du nettopp har byttet hosting og noen resolvere viser gammel IP, vent på TTL-utløp før du får panikk.

AAAA-peker (IPv6)

IPv6-adressen, hvis serveren støtter det. Anbefalt for moderne nettsider, men ikke kritisk for små sider. Mangler kun A-peker (ikke AAAA), fungerer fortsatt - kunden får IPv4 over IPv6 hvis tilgjengelig.

MX-peker (e-post)

Forteller hvor e-post til ditt domene skal leveres. Verdiene skal stemme med e-postleverandøren - Microsoft 365 har sine MX-verdier, Google Workspace har andre. Feil MX = e-post forsvinner.

TXT-poster (verifisering, sikkerhet)

Brukes til SPF, DKIM, DMARC, og verifisering hos tjenester som Google Search Console. Sjekk at SPF-posten er korrekt, at DMARC ikke er satt for strengt, og at det bare er én SPF-post per domene.

NS-poster (navneservere)

De autoritative navneserverne for domenet - hvor selve DNS-konfigurasjonen ligger. Skal stemme med det som er konfigurert hos registrar. Mismatch betyr at endringer ikke når frem.

DNSSEC

Kryptografisk signering av DNS-svar. Aktiv: domenet er beskyttet mot DNS-spoofing. Inaktiv: domenet er sårbart, men fungerer normalt. Brutt: signaturen er ugyldig - dette tar domenet ned for resolvere som validerer.

Vanlige feil

Når noe ikke stemmer

De vanligste problemene du møter, og hva de betyr i praksis.

Inkonsistente svar mellom resolvere

Noen resolvere viser ny verdi, andre gammel. Skyldes at endringer fortsatt propagerer. Vent til TTL utløper - kan ta fra minutter til 24 timer. Hvis det fortsetter etter 48 timer, har du sannsynligvis forskjellige verdier hos flere navneservere.

MX-peker mangler eller er feil

E-post kommer ikke frem. Sjekk at MX-pekerne stemmer eksakt med leverandørens dokumentasjon. Vanlig feil: gammel MX-peker er ikke slettet, så e-post går til feil sted. Slett alle MX først, legg til de nye.

Mer enn én SPF-post

SPF tillater kun én post per domene. Hvis du ser to TXT-poster som starter med v=spf1, slå dem sammen til én. Mange resolvere vil avvise begge hvis det er to - som gjør at e-post fra ditt domene markeres som spam.

DNSSEC validering feiler

Domenet er signert, men signaturen er ugyldig. Vanligst etter migrering der DS-record hos registrar ikke matcher DNSKEY hos navneserver. Krever umiddelbar handling - domenet er utilgjengelig for DNSSEC-validerende resolvere.

TTL for høy eller for lav

For høy (over 86400 sek = 1 dag) gjør endringer trege. For lav (under 300 sek) gir mye DNS-trafikk og treghet. Optimal verdi avhenger av hvor ofte du forventer endringer - 3600 (1 time) er sweet spot.

CNAME på rot-domenet

DNS-spesifikasjonen tillater ikke CNAME på apex (rot-domenet) sammen med andre poster. Hvis du har firma.no som CNAME, fjern den og bruk A-peker istedenfor. Eller bruk leverandørens ALIAS/ANAME-løsning.

Når trenger du dette?

Typiske situasjoner

Du har nettopp gjort endringer i DNS og vil verifisere at de propagerer korrekt globalt.
E-post fra ditt domene havner i spam, eller du sender ikke ut i det hele tatt - sjekk SPF, DKIM og DMARC.
Nettsiden din er nede, og du må finne ut om problemet er DNS, server eller DNSSEC-relatert.
Du flytter til ny hostingleverandør og må verifisere at DNS peker mot den nye serveren.
Du aktiverer DNSSEC og må bekrefte at signering fungerer end-to-end.
Du gjennomfører rutinemessig sikkerhetsrevisjon av domenets oppsett.

Ofte stilte spørsmål

Spørsmål og svar

Hvor lang tid tar DNS-endringer å propagere?
Avhenger av TTL. Med TTL på 300 sekunder vil endringen som regel være fullt synlig globalt innen 10-15 minutter. Høy TTL (24 timer) kan bety opp til et døgn. Senk TTL i god tid før planlagte endringer for raskere propagering.
Hva betyr det at resolverene returnerer forskjellige svar?
At endringer fortsatt sprer seg, eller at navneservere har ulike verdier. Det første går over av seg selv ved TTL-utløp. Det andre er en konfigurasjonsfeil hvor du har inkonsistens mellom flere autoritative servere - må fikses manuelt.
Hvorfor er DNSSEC viktig?
DNSSEC beskytter mot DNS-spoofing der en angriper kan rute brukere til en falsk server. Uten DNSSEC kan resolvere ikke verifisere at svaret faktisk kommer fra rettmessig eier. For forretningskritiske domener (banker, e-handel, autentisering) er DNSSEC praktisk talt obligatorisk.
Hvilke globale resolvere bruker dere?
Vi sjekker mot Google DNS (8.8.8.8), Cloudflare (1.1.1.1), Quad9 (9.9.9.9), OpenDNS, og lokale norske resolvere. Det gir en global indikasjon - hvis alle returnerer samme verdi, er propageringen ferdig.
Kan jeg sjekke et subdomene?
Ja. Skriv inn fullt navn (mail.firma.no, blog.firma.no) og verktøyet sjekker DNS for det subdomenet. Subdomener kan ha helt andre poster enn rot-domenet - typisk CNAME til en tjeneste, eller egne A-pekere.
Hva skal SPF-posten min inneholde?
Avhenger av hvilke tjenester som sender e-post fra ditt domene. Typisk: v=spf1 include:_spf.google.com ~all (for Google Workspace) eller v=spf1 include:spf.protection.outlook.com -all (for Microsoft 365). Inkluder alle godkjente sendere, og avslutt med ~all (softfail) eller -all (hardfail).
Trenger alle domener DNSSEC?
For kritiske tjenester definitivt ja. For personlige sider er det anbefalt, men ikke kritisk hvis du ellers bruker HTTPS overalt. Norid (.no) støtter DNSSEC fra 2014. De fleste seriøse registrarer aktiverer det med ett klikk.
Hva hvis noen TXT-poster mangler?
Avhengig av hvilke. SPF og DMARC er kritiske for e-post. Verifisering for tjenester (Google Search Console, Microsoft 365) trengs kun for de tjenestene. Andre TXT-er er valgfrie. Ikke alle domener trenger alle posttyper.

Relaterte guider

Lær mer om temaet

Andre verktøy

Relatert verktøy

Navneserver-sjekkSjekk hvilke navneservere domenet bruker, om de svarer korrekt, og om de er konsistente på tvers av globale resolvere.

WHOIS-oppslagSlå opp eierinformasjon, registrar, registrerings- og fornyelsesdato på et hvilket som helst registrert domene.

Lær mer i ordlisten

Relaterte begreper

Trenger du eksperthjelp?

Snakk med våre rådgivere om domener, DNS, e-post eller domenestrategi.

Få eksperthjelp →