Autor: [Robert Zasilny](/autorzy/robert-zasilny) Ekspert bezpieczeństwa i compliance · Zweryfikowano Kwiecień 2026 1. [Strona główna](/) › 2. [Baza wiedzy](/baza-wiedzy/) › 3. DNS troubleshooting — narzędzia # DNS troubleshooting — dig, nslookup i diagnostyka propagacji Opublikowano: 10 kwietnia 2026 · Kategoria: Hosting / Domeny Strona nie działa po zmianie nameserverów, emaile trafiają do spamu, użytkownicy w różnych krajach widzą różne wersje serwisu — to wszystko problemy DNS. Wiedząc jak sprawdzić propagację, odczytać rekordy i zdiagnozować konfigurację, rozwiążesz te problemy w minuty zamiast godzin. Ten artykuł to praktyczny przewodnik po narzędziach DNS. ## dig — podstawowe i zaawansowane zapytania `dig` (Domain Information Groper) to najpotężniejsze narzędzie diagnostyczne DNS. Instalacja: `sudo apt install dnsutils` (Ubuntu/Debian) lub `sudo dnf install bind-utils` (CentOS/AlmaLinux). \# Instalacja narzędzi DNS sudo apt install -y dnsutils whois # Ubuntu/Debian # Podstawowe zapytania dig dig mojadomena.pl # rekord A (adres IPv4) dig mojadomena.pl AAAA # rekord AAAA (adres IPv6) dig mojadomena.pl MX # rekordy poczty dig mojadomena.pl TXT # rekordy TXT (SPF, DKIM, DMARC, weryfikacja) dig mojadomena.pl NS # nameservery dig mojadomena.pl SOA # Start of Authority (TTL, serial, primary NS) dig mojadomena.pl CNAME # alias (jeśli istnieje) dig mojadomena.pl CAA # Certification Authority Authorization # Pytaj konkretny serwer DNS (np. Google, Cloudflare) dig @8.8.8.8 mojadomena.pl A # Google DNS dig @1.1.1.1 mojadomena.pl A # Cloudflare DNS dig @208.67.222.222 mojadomena.pl A # OpenDNS dig @ns1.mojhoster.pl mojadomena.pl A # nameserver hostingu # Odpowiedź skrócona (tylko wartość, bez nagłówków) dig +short mojadomena.pl A dig +short mojadomena.pl MX # Śledź całą ścieżkę rozwiązywania (trace) dig +trace mojadomena.pl # Odpytaj odwrotnie (PTR — sprawdź jaka domena przypisana do IP) dig -x 1.2.3.4 dig @8.8.8.8 -x 1.2.3.4 \# Sprawdź SPF / DKIM / DMARC dig +short TXT mojadomena.pl # SPF dig +short TXT default.\_domainkey.mojadomena.pl # DKIM (selektor "default") dig +short TXT \_dmarc.mojadomena.pl # DMARC dig +short TXT \_acme-challenge.mojadomena.pl # Let's Encrypt DNS challenge # Batch zapytanie — wiele typów naraz for TYPE in A AAAA MX TXT NS SOA; do echo "--- ${TYPE} ---" dig +short ${TYPE} mojadomena.pl done # Sprawdź TTL (czas do wygaśnięcia cache) dig mojadomena.pl A | grep -E "ANSWER|TTL|^mojadomena" # Wynik: mojadomena.pl. 300 IN A 1.2.3.4 # 300 sekund = 5 minut TTL ## nslookup, host i whois \# nslookup — prostsze od dig, dostępne na Windows też nslookup mojadomena.pl # rekord A nslookup -type=MX mojadomena.pl # rekordy MX nslookup -type=TXT mojadomena.pl # rekordy TXT nslookup mojadomena.pl 8.8.8.8 # przez konkretny DNS # Tryb interaktywny nslookup nslookup > server 8.8.8.8 > set type=MX > mojadomena.pl > exit # host — najkrótsze polecenie host mojadomena.pl # A + PTR host -t MX mojadomena.pl # tylko MX host -t TXT mojadomena.pl # tylko TXT host -a mojadomena.pl # wszystkie rekordy # whois — informacje o rejestracji domeny i właścicielu whois mojadomena.pl whois 1.2.3.4 # właściciel bloku IP whois -h whois.iana.org .pl # info o TLD .pl # Sprawdź datę wygaśnięcia domeny whois mojadomena.pl | grep -i "expir" ## dnstracer — śledzenie ścieżki rozwiązywania DNS \# Instalacja dnstracer sudo apt install dnstracer # Śledź pełną ścieżkę od root servers do authoritative NS dnstracer -s . mojadomena.pl # Output pokazuje: # . → a.root-servers.net # → a.dns.pl (NS dla .pl) # → ns1.mojhoster.pl (authoritative NS dla mojadomena.pl) # → 1.2.3.4 (końcowa odpowiedź) # Alternatywa: dig +trace (wbudowane w dig) dig +trace +additional mojadomena.pl A ## Sprawdzanie propagacji DNS — whatsmydns.net Narzędzia online do sprawdzania propagacji z wielu lokalizacji jednocześnie: - **whatsmydns.net** — sprawdź rekord A, MX, TXT, NS z serwerów DNS na 6 kontynentach. Najbardziej popularne narzędzie. - **dnschecker.org** — podobne do whatsmydns, dodatkowe lokalizacje w Polsce i Europie Środkowej. - **intodns.com** — pełna analiza konfiguracji DNS z rekomendacjami i oceną błędów (missing glue records, lame delegation, etc.). - **mxtoolbox.com** — specjalizuje się w diagnostyce emaili: MX Lookup, SPF Check, DKIM Validator, Blacklist Check (czy IP jest na liście spamowej). - **dnsviz.net** — wizualna analiza DNSSEC chain of trust z grafem zależności. \# Wymuś odświeżenie cache DNS lokalnie # Linux (systemd-resolved) sudo systemd-resolve --flush-caches resolvectl flush-caches # Linux (nscd) sudo nscd -i hosts # macOS sudo dscacheutil -flushcache sudo killall -HUP mDNSResponder # Sprawdź lokalny cache DNS dig mojadomena.pl +stats # "Query time: 0 msec" = z cache dig @127.0.0.53 mojadomena.pl # systemd-resolved systemd-resolve --statistics # statystyki cache ## Typowe problemy hostingowe — checklist Problem Diagnostyka Rozwiązanie Strona niedostępna po zmianie NS dig +trace mojadomena.pl — sprawdź czy NS się propagowały Poczekaj propagację (do 48h), obniż TTL PRZED zmianą CNAME na @ (root) nie działa Błąd w panelu DNS lub brak rekordu A Użyj ALIAS/ANAME (Cloudflare, NS1) lub A record Email trafia do spamu mxtoolbox.com SPF Check + DKIM Validator Dodaj/napraw SPF, DKIM, DMARC i PTR (rDNS) SSL błąd po zmianie DNS dig mojadomena.pl A — czy wskazuje na właściwy IP Sprawdź czy certbot/Let's Encrypt widzi nowy IP Różne wyniki w różnych krajach whatsmydns.net — porównaj wyniki z różnych lokalizacji Stary cache TTL — poczekaj lub obniż TTL i poczekaj Brak rekordu PTR dla IP dig -x IP — brak odpowiedzi lub NXDOMAIN Ustaw rDNS w panelu hostingu/VPS (sekcja Networking) Subdomena nie działa dig subdomena.mojadomena.pl A — sprawdź czy rekord istnieje Dodaj rekord A lub CNAME dla subdomeny w panelu DNS ## DNSSEC — weryfikacja podpisów \# Sprawdź czy domena ma DNSSEC dig mojadomena.pl DS # Delegation Signer w nadrzędnej strefie dig mojadomena.pl DNSKEY # klucze publiczne dig mojadomena.pl +dnssec A # zapytanie z flagą DO (DNSSEC OK) # dig +dnssec pokaże rekordy RRSIG jeśli DNSSEC jest aktywny # Sprawdź flagę "ad" (authenticated data) w odpowiedzi: dig @8.8.8.8 mojadomena.pl +dnssec | grep "flags:" # flags: qr rd ra ad ← "ad" = DNSSEC validated # Debugger DNSSEC online # Wejdź na: https://dnsviz.net/d/mojadomena.pl/dnssec/ # lub: https://www.dnssec-debugger.verisignlabs.com/ # Sprawdź chain of trust przez delv (DNSSEC-aware dig) delv mojadomena.pl A +vtrace ## Najczęstsze pytania Jak sprawdzić czy zmiany DNS już się rozpropagowały? + Użyj narzędzia whatsmydns.net — pokazuje wynik zapytania DNS z serwerów w różnych krajach jednocześnie. W terminalu sprawdź konkretny serwer DNS: dig @8.8.8.8 mojadomena.pl A (Google DNS) i dig @1.1.1.1 mojadomena.pl A (Cloudflare DNS). Pełna propagacja trwa od kilku minut (niskie TTL, np. 300s) do 48 godzin (wysokie TTL, np. 86400s). Jeśli Twój lokalny DNS ma stary cache, wymuś odświeżenie: sudo systemd-resolve --flush-caches (Linux) lub ipconfig /flushdns (Windows). Dlaczego nie mogę dodać rekordu CNAME dla domeny głównej (@)? + Standard DNS (RFC 1034) zakazuje rekordu CNAME w apex domeny (root, @) jeśli istnieją inne rekordy — a zawsze istnieje SOA i NS. CNAME wymaga żeby domena nie miała innych rekordów. Rozwiązania: (1) ALIAS lub ANAME — niestandardowe rekordy obsługiwane przez Cloudflare (CNAME Flattening), NS1, Route53, DNSimple — zachowują się jak A/AAAA ale wskazują na hostname. (2) Przekierowanie 301 z www → apex lub odwrotnie przez serwer WWW. (3) Użyj subdomeny (www.mojadomena.pl) zamiast apex dla usług wymagających CNAME. Co to jest split-brain DNS i kiedy go stosować? + Split-brain DNS (split-horizon) to konfiguracja gdzie ta sama domena zwraca różne odpowiedzi zależnie od skąd pochodzi zapytanie. Przykład: mojadomena.pl z sieci wewnętrznej → 192.168.1.10 (serwer lokalny), z Internetu → 1.2.3.4 (publiczne IP). Stosuje się dla: (1) VPN — pracownicy firmy łączą się z wewnętrzną wersją aplikacji, (2) Wydajność — ruch wewnętrzny nie wychodzi przez Internet, (3) Bezpieczeństwo — niektóre endpointy dostępne tylko z sieci firmowej. Implementacja: osobny serwer DNS (bind9, unbound) dla sieci wewnętrznej. Jak zdiagnozować problem z dostarczalnością emaili przez DNS? + Sprawdź kolejno: (1) Rekord MX — dig MX mojadomena.pl — musi wskazywać na hostname serwera mail, nie IP. (2) Rekord SPF (TXT) — dig TXT mojadomena.pl — sprawdź czy IP serwera jest w liście include lub ip4. (3) DKIM — dig TXT default.\_domainkey.mojadomena.pl — musi istnieć i zawierać klucz publiczny. (4) DMARC — dig TXT \_dmarc.mojadomena.pl — policy p=none/quarantine/reject. (5) rDNS/PTR — sprawdź czy IP serwera ma PTR wskazujący na hostname — brak PTR = odrzucenie maili przez wiele serwerów. ## Sprawdź oferty pasujące do tego scenariusza Poniżej masz szybkie przejścia do ofert i stron z kodami rabatowymi tam, gdzie są dostępne. Contabo VPS z pełną kontrolą DNS — skonfiguruj własne rekordy, PTR i nameservery VPS [Aktywuj rabat →](/out/contabo) #Reklama · link partnerski [Zobacz kod rabatowy →](/kody-rabatowe/contabo) Mikr.us Tani VPS do testów konfiguracji DNS i nauki diagnostyki Dev/Test [Aktywuj rabat →](/out/mikrus) #Reklama · link partnerski [Zobacz kod rabatowy →](/kody-rabatowe/mikrus) LH.pl Hosting z panelem DNS DirectAdmin — łatwe zarządzanie rekordami MX, DKIM, SPF Hosting [Aktywuj rabat →](/out/lh-pl) #Reklama · link partnerski [Zobacz kod rabatowy →](/kody-rabatowe/lh-pl) ## Powiązane strony - [SPF, DKIM i DMARC — konfiguracja emaili](/baza-wiedzy/spf-dkim-dmarc-konfiguracja) - [Multi-domain SSL z certbot — SAN i wildcard](/baza-wiedzy/ssl-multi-domain-san-certbot) - [Jak skonfigurować domenę z hostingiem](/baza-wiedzy/jak-skonfigurowac-domene-z-hostingiem) - [Subdomeny — konfiguracja na hostingu](/baza-wiedzy/subdomeny-konfiguracja-hosting) - [Wszystkie artykuły](/baza-wiedzy/)