DNS troubleshooting — dig, nslookup i diagnostyka propagacji

Opublikowano: 10 kwietnia 2026 · Kategoria: Hosting / Domeny

Strona nie działa po zmianie nameserverów, emaile trafiają do spamu, użytkownicy w różnych krajach widzą różne wersje serwisu — to wszystko problemy DNS. Wiedząc jak sprawdzić propagację, odczytać rekordy i zdiagnozować konfigurację, rozwiążesz te problemy w minuty zamiast godzin. Ten artykuł to praktyczny przewodnik po narzędziach DNS.

dig — podstawowe i zaawansowane zapytania

dig (Domain Information Groper) to najpotężniejsze narzędzie diagnostyczne DNS. Instalacja: sudo apt install dnsutils (Ubuntu/Debian) lub sudo dnf install bind-utils (CentOS/AlmaLinux).

# Instalacja narzędzi DNS
sudo apt install -y dnsutils whois   # Ubuntu/Debian

# Podstawowe zapytania dig
dig mojadomena.pl           # rekord A (adres IPv4)
dig mojadomena.pl AAAA      # rekord AAAA (adres IPv6)
dig mojadomena.pl MX        # rekordy poczty
dig mojadomena.pl TXT       # rekordy TXT (SPF, DKIM, DMARC, weryfikacja)
dig mojadomena.pl NS        # nameservery
dig mojadomena.pl SOA       # Start of Authority (TTL, serial, primary NS)
dig mojadomena.pl CNAME     # alias (jeśli istnieje)
dig mojadomena.pl CAA       # Certification Authority Authorization

# Pytaj konkretny serwer DNS (np. Google, Cloudflare)
dig @8.8.8.8 mojadomena.pl A        # Google DNS
dig @1.1.1.1 mojadomena.pl A        # Cloudflare DNS
dig @208.67.222.222 mojadomena.pl A # OpenDNS
dig @ns1.mojhoster.pl mojadomena.pl A  # nameserver hostingu

# Odpowiedź skrócona (tylko wartość, bez nagłówków)
dig +short mojadomena.pl A
dig +short mojadomena.pl MX

# Śledź całą ścieżkę rozwiązywania (trace)
dig +trace mojadomena.pl

# Odpytaj odwrotnie (PTR — sprawdź jaka domena przypisana do IP)
dig -x 1.2.3.4
dig @8.8.8.8 -x 1.2.3.4

# Sprawdź SPF / DKIM / DMARC
dig +short TXT mojadomena.pl                           # SPF
dig +short TXT default._domainkey.mojadomena.pl        # DKIM (selektor "default")
dig +short TXT _dmarc.mojadomena.pl                    # DMARC
dig +short TXT _acme-challenge.mojadomena.pl           # Let's Encrypt DNS challenge

# Batch zapytanie — wiele typów naraz
for TYPE in A AAAA MX TXT NS SOA; do
  echo "--- ${TYPE} ---"
  dig +short ${TYPE} mojadomena.pl
done

# Sprawdź TTL (czas do wygaśnięcia cache)
dig mojadomena.pl A | grep -E "ANSWER|TTL|^mojadomena"
# Wynik: mojadomena.pl.  300  IN  A  1.2.3.4
#        300 sekund = 5 minut TTL

nslookup, host i whois

# nslookup — prostsze od dig, dostępne na Windows też
nslookup mojadomena.pl                  # rekord A
nslookup -type=MX mojadomena.pl         # rekordy MX
nslookup -type=TXT mojadomena.pl        # rekordy TXT
nslookup mojadomena.pl 8.8.8.8          # przez konkretny DNS

# Tryb interaktywny nslookup
nslookup
> server 8.8.8.8
> set type=MX
> mojadomena.pl
> exit

# host — najkrótsze polecenie
host mojadomena.pl            # A + PTR
host -t MX mojadomena.pl      # tylko MX
host -t TXT mojadomena.pl     # tylko TXT
host -a mojadomena.pl         # wszystkie rekordy

# whois — informacje o rejestracji domeny i właścicielu
whois mojadomena.pl
whois 1.2.3.4               # właściciel bloku IP
whois -h whois.iana.org .pl # info o TLD .pl

# Sprawdź datę wygaśnięcia domeny
whois mojadomena.pl | grep -i "expir"

dnstracer — śledzenie ścieżki rozwiązywania DNS

# Instalacja dnstracer
sudo apt install dnstracer

# Śledź pełną ścieżkę od root servers do authoritative NS
dnstracer -s . mojadomena.pl

# Output pokazuje:
# . → a.root-servers.net
# → a.dns.pl (NS dla .pl)
# → ns1.mojhoster.pl (authoritative NS dla mojadomena.pl)
# → 1.2.3.4 (końcowa odpowiedź)

# Alternatywa: dig +trace (wbudowane w dig)
dig +trace +additional mojadomena.pl A

Sprawdzanie propagacji DNS — whatsmydns.net

Narzędzia online do sprawdzania propagacji z wielu lokalizacji jednocześnie:

whatsmydns.net — sprawdź rekord A, MX, TXT, NS z serwerów DNS na 6 kontynentach. Najbardziej popularne narzędzie.
dnschecker.org — podobne do whatsmydns, dodatkowe lokalizacje w Polsce i Europie Środkowej.
intodns.com — pełna analiza konfiguracji DNS z rekomendacjami i oceną błędów (missing glue records, lame delegation, etc.).
mxtoolbox.com — specjalizuje się w diagnostyce emaili: MX Lookup, SPF Check, DKIM Validator, Blacklist Check (czy IP jest na liście spamowej).
dnsviz.net — wizualna analiza DNSSEC chain of trust z grafem zależności.

# Wymuś odświeżenie cache DNS lokalnie
# Linux (systemd-resolved)
sudo systemd-resolve --flush-caches
resolvectl flush-caches

# Linux (nscd)
sudo nscd -i hosts

# macOS
sudo dscacheutil -flushcache
sudo killall -HUP mDNSResponder

# Sprawdź lokalny cache DNS
dig mojadomena.pl +stats   # "Query time: 0 msec" = z cache
dig @127.0.0.53 mojadomena.pl  # systemd-resolved
systemd-resolve --statistics   # statystyki cache

Typowe problemy hostingowe — checklist

Problem	Diagnostyka	Rozwiązanie
Strona niedostępna po zmianie NS	dig +trace mojadomena.pl — sprawdź czy NS się propagowały	Poczekaj propagację (do 48h), obniż TTL PRZED zmianą
CNAME na @ (root) nie działa	Błąd w panelu DNS lub brak rekordu A	Użyj ALIAS/ANAME (Cloudflare, NS1) lub A record
Email trafia do spamu	mxtoolbox.com SPF Check + DKIM Validator	Dodaj/napraw SPF, DKIM, DMARC i PTR (rDNS)
SSL błąd po zmianie DNS	dig mojadomena.pl A — czy wskazuje na właściwy IP	Sprawdź czy certbot/Let's Encrypt widzi nowy IP
Różne wyniki w różnych krajach	whatsmydns.net — porównaj wyniki z różnych lokalizacji	Stary cache TTL — poczekaj lub obniż TTL i poczekaj
Brak rekordu PTR dla IP	dig -x IP — brak odpowiedzi lub NXDOMAIN	Ustaw rDNS w panelu hostingu/VPS (sekcja Networking)
Subdomena nie działa	dig subdomena.mojadomena.pl A — sprawdź czy rekord istnieje	Dodaj rekord A lub CNAME dla subdomeny w panelu DNS

DNSSEC — weryfikacja podpisów

# Sprawdź czy domena ma DNSSEC
dig mojadomena.pl DS           # Delegation Signer w nadrzędnej strefie
dig mojadomena.pl DNSKEY       # klucze publiczne
dig mojadomena.pl +dnssec A    # zapytanie z flagą DO (DNSSEC OK)

# dig +dnssec pokaże rekordy RRSIG jeśli DNSSEC jest aktywny
# Sprawdź flagę "ad" (authenticated data) w odpowiedzi:
dig @8.8.8.8 mojadomena.pl +dnssec | grep "flags:"
# flags: qr rd ra ad  ← "ad" = DNSSEC validated

# Debugger DNSSEC online
# Wejdź na: https://dnsviz.net/d/mojadomena.pl/dnssec/
# lub: https://www.dnssec-debugger.verisignlabs.com/

# Sprawdź chain of trust przez delv (DNSSEC-aware dig)
delv mojadomena.pl A +vtrace

Najczęstsze pytania

Jak sprawdzić czy zmiany DNS już się rozpropagowały? +

Użyj narzędzia whatsmydns.net — pokazuje wynik zapytania DNS z serwerów w różnych krajach jednocześnie. W terminalu sprawdź konkretny serwer DNS: dig @8.8.8.8 mojadomena.pl A (Google DNS) i dig @1.1.1.1 mojadomena.pl A (Cloudflare DNS). Pełna propagacja trwa od kilku minut (niskie TTL, np. 300s) do 48 godzin (wysokie TTL, np. 86400s). Jeśli Twój lokalny DNS ma stary cache, wymuś odświeżenie: sudo systemd-resolve --flush-caches (Linux) lub ipconfig /flushdns (Windows).

Dlaczego nie mogę dodać rekordu CNAME dla domeny głównej (@)? +

Standard DNS (RFC 1034) zakazuje rekordu CNAME w apex domeny (root, @) jeśli istnieją inne rekordy — a zawsze istnieje SOA i NS. CNAME wymaga żeby domena nie miała innych rekordów. Rozwiązania: (1) ALIAS lub ANAME — niestandardowe rekordy obsługiwane przez Cloudflare (CNAME Flattening), NS1, Route53, DNSimple — zachowują się jak A/AAAA ale wskazują na hostname. (2) Przekierowanie 301 z www → apex lub odwrotnie przez serwer WWW. (3) Użyj subdomeny (www.mojadomena.pl) zamiast apex dla usług wymagających CNAME.

Co to jest split-brain DNS i kiedy go stosować? +

Split-brain DNS (split-horizon) to konfiguracja gdzie ta sama domena zwraca różne odpowiedzi zależnie od skąd pochodzi zapytanie. Przykład: mojadomena.pl z sieci wewnętrznej → 192.168.1.10 (serwer lokalny), z Internetu → 1.2.3.4 (publiczne IP). Stosuje się dla: (1) VPN — pracownicy firmy łączą się z wewnętrzną wersją aplikacji, (2) Wydajność — ruch wewnętrzny nie wychodzi przez Internet, (3) Bezpieczeństwo — niektóre endpointy dostępne tylko z sieci firmowej. Implementacja: osobny serwer DNS (bind9, unbound) dla sieci wewnętrznej.

Jak zdiagnozować problem z dostarczalnością emaili przez DNS? +

Sprawdź kolejno: (1) Rekord MX — dig MX mojadomena.pl — musi wskazywać na hostname serwera mail, nie IP. (2) Rekord SPF (TXT) — dig TXT mojadomena.pl — sprawdź czy IP serwera jest w liście include lub ip4. (3) DKIM — dig TXT default._domainkey.mojadomena.pl — musi istnieć i zawierać klucz publiczny. (4) DMARC — dig TXT _dmarc.mojadomena.pl — policy p=none/quarantine/reject. (5) rDNS/PTR — sprawdź czy IP serwera ma PTR wskazujący na hostname — brak PTR = odrzucenie maili przez wiele serwerów.