Klíčové poznatky
- DNS je páteří internetu: Správné nastavení DNS záznamů rozhoduje o tom, zda váš web a e-mail budou fungovat. Jediná chyba v A záznamu nebo MX záznamu může způsobit úplný výpadek.
- České domény mají unikátní systém NSSET: Na rozdíl od mezinárodních domén používá registr CZ.NIC systém pojmenovaných sad nameserverů (NSSET), jehož pochopení je klíčové pro správnou konfiguraci.
- E-mailová autentizace je nutnost: Bez správně nastavených SPF, DKIM a DMARC záznamů hrozí, že vaše e-maily skončí ve spamu – nebo budou zneužity k phishingu.
- DNSSEC deaktivujte PŘED změnou nameserverů: Opomenutí tohoto kroku je nejčastější příčinou nedostupnosti .cz domény po migraci.
- Propagace DNS trvá 6–48 hodin: Pomocí snížení TTL a vymazání lokální cache můžete proces výrazně urychlit.
Co je DNS a proč je důležité pro vaši doménu
DNS (Domain Name System) je v podstatě telefonní seznam internetu. Když do prohlížeče zadáte adresu webu, například mojedomena.cz, váš počítač neví, kde se server nachází. Potřebuje číselnou IP adresu – a právě DNS tuto překladovou funkci zajišťuje.
Jak funguje systém DNS
Celý proces probíhá v několika krocích, které se odehrají během milisekund:
- Zadáte doménové jméno do prohlížeče (např. mojedomena.cz).
- Váš počítač se dotáže rekurzivního DNS serveru (obvykle od vašeho poskytovatele internetu).
- Rekurzivní server postupně kontaktuje kořenové servery → servery pro .cz zónu (CZ.NIC) → autoritativní DNS servery vaší domény.
- Autoritativní server vrátí IP adresu (A záznam), a prohlížeč se připojí k webovému serveru.
Výsledek se po nastavenou dobu (TTL) ukládá do DNS cache, aby se další dotaz nemusel opakovat od začátku.
Proč potřebujete správné DNS nastavení
Správné nastavení DNS záznamů ovlivňuje tři klíčové oblasti:
- Dostupnost webu: Špatný A nebo AAAA záznam = web nefunguje.
- Funkčnost e-mailu: Chybný MX záznam = nedoručené e-maily.
- Bezpečnost a důvěryhodnost: Chybějící TXT záznamy (SPF, DKIM, DMARC) = e-maily ve spamu, riziko spoofingu.
Pokud provozujete českou doménu s koncovkou .cz (nebo jakoukoli jinou TLD registrovanou u českého registrátora), je důležité pochopit specifika zdejšího systému – především koncept NSSET.
Specifika DNS u českých domén (.cz) – NSSET a CZ.NIC
Pokud jste dosud pracovali pouze s mezinárodními doménami (.com, .net, .org), systém českého registru vás možná překvapí. CZ.NIC, správce domén .cz, používá unikátní strukturu, která se od běžného nameserverového modelu liší.
Co je NSSET a jak se liší od běžných nameserverů
NSSET (Name Server Set) je pojmenovaná sada jmenných serverů, kterou spravuje registr CZ.NIC. Místo toho, abyste u každé domény zvlášť uváděli jednotlivé nameservery (jako u gTLD domén), přiřadíte doméně jeden identifikátor NSSET.
✅ Výhody systému NSSET
- Jedna změna NSSET se projeví u všech přiřazených domén najednou
- Centrální správa nameserverů – nemusíte editovat každou doménu zvlášť
- Obsahuje i technický kontakt pro případ problémů
- Automatická validace – CZ.NIC kontroluje funkčnost nameserverů v NSSET
❌ Na co si dát pozor
- Změna NSSET vyžaduje nejprve deaktivaci DNSSEC
- NSSET je samostatný objekt v registru – nemůžete ho editovat přímo u domény
- Při přechodu k jinému poskytovateli DNS musíte vytvořit nebo vybrat jiný NSSET
Registr CZ.NIC a jeho role
CZ.NIC je sdružení, které spravuje registr doménových jmen .cz. Neprodává domény přímo koncovým uživatelům – to dělají akreditovaní registrátoři (WEDOS, FORPSI, Webglobe/Active24 a další). CZ.NIC však zodpovídá za:
- Provoz autoritativních DNS serverů pro zónu .cz
- Správu databáze NSSET objektů
- Provoz služby WHOIS pro ověření vlastnictví a nastavení domén
- Podporu DNSSEC a bezpečnostních standardů
Jak zjistit aktuální NSSET vaší domény (WHOIS)
Nejjednodušší způsob, jak zjistit, jaký NSSET (a tedy jaké nameservery) vaše doména aktuálně používá:
- Navštivte whois.nic.cz
- Zadejte název vaší domény (bez „www“)
- Ve výsledku hledejte řádek nsset: – obsahuje identifikátor NSSET
- Kliknutím na identifikátor zobrazíte seznam nameserverů v dané sadě
💡 PRO TIP:
Uložte si výstup WHOIS před jakoukoli změnou DNS. Pokud se něco pokazí, budete mít zálohu původního NSSET a nameserverů, na které se můžete okamžitě vrátit.
Přehled typů DNS záznamů
Než začnete DNS záznamy editovat, je důležité pochopit, co který typ záznamu dělá. Následující tabulka shrnuje všechny běžně používané typy:
| Typ záznamu | Účel | Příklad hodnoty |
|---|---|---|
| A | Směruje doménu na IPv4 adresu serveru | 185.53.178.9 |
| AAAA | Směruje doménu na IPv6 adresu serveru | 2a02:2b88:1:4::17 |
| CNAME | Alias – přesměruje subdoménu na jinou doménu | www → mojedomena.cz |
| MX | Určuje server pro příjem e-mailů (s prioritou) | 10 mx1.email.cz |
| TXT | Textový záznam – SPF, DKIM, DMARC, ověření služeb | v=spf1 include:_spf.google.com ~all |
| NS | Delegace na jmenné servery (nameservery) | ns1.wedos.cz |
| SRV | Specifický port a služba (VoIP, Teams, XMPP) | 10 5 5060 sip.domena.cz |
| CAA | Určuje, která certifikační autorita smí vydat SSL | 0 issue "letsencrypt.org" |
A a AAAA záznam – směrování na IP adresu
A záznam je nejzákladnější DNS záznam. Přiřazuje vaší doméně (nebo subdoméně) konkrétní IPv4 adresu serveru, na kterém běží váš web. AAAA záznam plní totožnou funkci pro novější protokol IPv6.
Většina českých hostingů poskytuje obě adresy. Doporučujeme nastavit oba záznamy – IPv6 podpora se rychle rozšiřuje a přispívá k lepší dostupnosti vašeho webu.
CNAME záznam – aliasy a subdomény
CNAME záznam funguje jako přezdívka (alias). Nejčastější použití je nasměrování www.mojedomena.cz na mojedomena.cz. Důležité omezení: CNAME nelze nastavit pro root doménu (tzv. apex) – pouze pro subdomény.
MX záznam – nastavení e-mailového serveru
MX (Mail Exchanger) záznam určuje, kam se mají doručovat e-maily adresované na vaši doménu. Každý MX záznam obsahuje prioritu (nižší číslo = vyšší priorita) a hostname poštovního serveru.
TXT záznam – ověření a zabezpečení
TXT záznamy jsou nejuniverzálnější typ. Slouží pro ověření vlastnictví domény (Google Search Console, Microsoft 365), nastavení SPF, DKIM a DMARC pro e-mailovou autentizaci, a další účely.
NS záznam – delegace DNS
NS záznamy definují, které nameservery jsou autoritativní pro vaši doménu. U .cz domén se NS záznamy typicky nemění přímo – změna probíhá přes změnu NSSET u registrátora.
SRV a další speciální záznamy
SRV záznamy se používají pro specifické služby jako Microsoft Teams, SIP/VoIP protokoly nebo XMPP chat. Formát zahrnuje prioritu, váhu, port a cílový server. V praxi je potřebujete především při nasazení Microsoft 365 nebo vlastního VoIP řešení.
Nastavení DNS krok za krokem u hlavních českých registrátorů
Postup se u jednotlivých registrátorů mírně liší – hlavně v pojmenování sekcí v administračním rozhraní. Principy jsou ale stejné. Níže najdete konkrétní návody pro tři nejpoužívanější české registrátory.
| Registrátor | Sekce DNS | Rychlost propagace | DNSSEC podpora |
|---|---|---|---|
| WEDOS | Zákazník → Domény → DNS záznamy | ~60 minut | ✅ Automatická |
| FORPSI | Administrace → Domény → DNS Editor | ~30 minut (TTL 1800s) | ✅ Manuální aktivace |
| Webglobe (Active24) | WebAdmin → Domény → DNS manažer | ~2–4 hodiny | ✅ Automatická |
WEDOS – editace DNS záznamů
- Přihlaste se do zákaznické administrace na wedos.com.
- V menu zvolte Domény a klikněte na doménu, kterou chcete editovat.
- Přejděte na záložku DNS záznamy.
- Pro přidání nového záznamu klikněte na „Přidat záznam“ – vyberte typ (A, CNAME, MX, TXT…), zadejte název (subdoménu) a hodnotu.
- Uložte změny. Propagace u WEDOS probíhá typicky do 60 minut.
FORPSI – správa DNS v administraci
- Přihlaste se do zákaznické sekce na admin.forpsi.com.
- Klikněte na Domény v levém menu a vyberte příslušnou doménu.
- Otevřete DNS Editor (nebo „Editace DNS záznamů“).
- Přidejte, upravte nebo smažte záznamy. FORPSI má výchozí TTL 1800 sekund (30 minut).
- Po uložení dojde k propagaci typicky do 30 minut.
⚠️ POZOR na duplikátní záznamy u FORPSI:
FORPSI vás na duplikátní záznamy nemusí automaticky upozornit. Pokud máte dva A záznamy pro stejnou subdoménu s různými IP adresami, DNS bude vracet odpovědi střídavě (round-robin) – což pravděpodobně nechcete. Před přidáním nového záznamu vždy zkontrolujte, zda neexistuje starý.
Webglobe (Active24) – DNS manažer
- Přihlaste se do WebAdmin na webglobe.cz (dříve Active24).
- V sekci Domény vyberte doménu, kterou chcete spravovat.
- Klikněte na DNS manažer.
- Používejte rozhraní pro přidání, editaci a mazání záznamů. Webglobe podporuje i wildcard záznamy (*).
- Propagace trvá obvykle 2–4 hodiny.
Obecný postup pro ostatní registrátory
Pokud používáte jiného registrátora (Český hosting, Endora, Tele3 apod.), obecný postup je vždy stejný:
- Přihlaste se do zákaznické administrace.
- Najděte sekci Domény nebo DNS správa / DNS záznamy.
- Vyberte doménu a otevřete editor DNS záznamů.
- Přidejte požadované záznamy (typ, název, hodnota, TTL).
- Uložte a počkejte na propagaci.
Alternativně můžete DNS správu převést na Cloudflare (viz sekce FAQ) – stačí u registrátora změnit NSSET na nameservery přidělené Cloudflare.
Nastavení e-mailové autentizace: SPF, DKIM a DMARC
E-mailová autentizace je oblast, kterou většina konkurenčních návodů buď zcela ignoruje, nebo pokrývá jen povrchně. Přitom jde o kriticky důležité nastavení – bez něj vaše e-maily skončí ve spamu a vaše doména může být zneužita k phishingu.
SPF záznam – kdo smí odesílat e-maily za vaši doménu
SPF (Sender Policy Framework) je TXT záznam, který definuje, které servery jsou oprávněny odesílat e-maily jménem vaší domény. Příjemcův poštovní server ověří, zda IP adresa odesílajícího serveru odpovídá SPF záznamu.
Příklady SPF záznamů pro populární české služby:
| E-mailová služba | SPF záznam (hodnota TXT) |
|---|---|
| Google Workspace | v=spf1 include:_spf.google.com ~all |
| Microsoft 365 | v=spf1 include:spf.protection.outlook.com ~all |
| Seznam.cz (E-mail) | v=spf1 include:_spf.seznam.cz ~all |
| Hosting (WEDOS, FORPSI) | v=spf1 a mx ~all |
⚠️ KRITICKÁ CHYBA – duplicitní SPF záznamy:
Doména smí mít pouze jeden SPF záznam. Pokud potřebujete autorizovat více služeb najednou, sloučte je do jednoho záznamu, např.: v=spf1 include:_spf.google.com include:_spf.seznam.cz ~all. Dva oddělené SPF záznamy způsobí selhání ověření.
DKIM – digitální podpis e-mailů
DKIM (DomainKeys Identified Mail) přidá ke každému odeslanému e-mailu kryptografický podpis. Příjemcův server ověří podpis pomocí veřejného klíče uloženého v DNS (jako TXT záznam).
DKIM záznam se typicky nastavuje jako TXT záznam s názvem ve formátu selektor._domainkey.mojedomena.cz, kde selektor získáte od svého poskytovatele e-mailové služby.
DMARC – politika pro neautorizované e-maily
DMARC (Domain-based Message Authentication, Reporting and Conformance) spojuje SPF a DKIM do jednotné politiky. Definuje, co má příjemcův server udělat s e-maily, které neprojdou autentizací.
Základní DMARC záznam pro začátek (monitorovací režim):
v=DMARC1; p=none; rua=mailto:dmarc-report@mojedomena.cz
Po analýze reportů můžete postupně zpřísňovat politiku na p=quarantine a nakonec p=reject.
💡 PRO TIP:
Nastavujte e-mailovou autentizaci vždy v pořadí SPF → DKIM → DMARC. Začněte s DMARC v režimu p=none a sledujte reporty alespoň 2 týdny, než přepnete na přísnější politiku. Tím se vyhnete nechtěnému blokování legitimních e-mailů.
DNSSEC – zabezpečení DNS pro .cz domény
DNSSEC (Domain Name System Security Extensions) je bezpečnostní rozšíření, které chrání uživatele před podvržením DNS odpovědí. Zajišťuje, že odpověď DNS serveru je autentická a nebyla cestou modifikována.
Co je DNSSEC a proč ho mít
Bez DNSSEC může útočník mezi váš počítač a DNS server vložit falešnou odpověď (tzv. DNS spoofing) – například přesměrovat vaši bankovní doménu na podvodný server. DNSSEC přidává ke každé DNS odpovědi kryptografický podpis, který váš resolver ověří.
Česká republika patří mezi světové lídry v adopci DNSSEC. CZ.NIC aktivně podporuje nasazení DNSSEC u .cz domén a většina velkých registrátorů nabízí automatickou aktivaci.
Jak aktivovat DNSSEC u registrátora
- WEDOS: DNSSEC se aktivuje automaticky u domén, které používají DNS servery WEDOS.
- FORPSI: V administraci domény najdete sekci DNSSEC – aktivaci provedete manuálně jedním kliknutím.
- Webglobe: Automatická aktivace při použití jejich nameserverů. Podporuje i CDNSKEY záznamy pro automatickou aktualizaci klíčů.
- Cloudflare: DNSSEC aktivujete v sekci DNS → DNSSEC. Po aktivaci je nutné DS záznam přidat u registrátora.
Pozor na DNSSEC při změně nameserverů
⚠️ KRITICKÉ VAROVÁNÍ – změna NSSET a DNSSEC:
Pokud měníte NSSET (tedy nameservery) u .cz domény, musíte nejprve deaktivovat DNSSEC u původního poskytovatele a počkat na propagaci (24–48 hodin). Teprve poté změňte NSSET. Po úspěšné změně aktivujte DNSSEC u nového poskytovatele. Pokud tento postup nedodržíte, doména bude nedostupná – resolver bude ověřovat podpisy proti starým klíčům, které už neplatí.
DNS propagace – co to je a jak dlouho trvá
Když změníte DNS záznam, změna se neprojeví okamžitě na celém světě. DNS servery na různých úrovních mají odpovědi uložené v cache (mezipaměti) a aktualizují se postupně. Tomuto procesu se říká DNS propagace.
TTL (Time To Live) a jeho vliv na rychlost změn
TTL je hodnota (v sekundách), která říká DNS resolverům, jak dlouho mají záznam uchovávat v cache. Typické hodnoty:
- 300 sekund (5 minut): Doporučeno před plánovanou změnou
- 1800 sekund (30 minut): Výchozí u FORPSI
- 3600 sekund (1 hodina): Běžná výchozí hodnota
- 86400 sekund (24 hodin): Pro záznamy, které se nemění (nameservery)
Jak urychlit propagaci DNS
Ačkoli nemůžete přinutit všechny DNS servery na světě, aby vaši změnu přijaly rychleji, můžete proces optimalizovat:
- Snižte TTL 24–48 hodin PŘED změnou na minimální hodnotu (300s). Tak zajistíte, že staré záznamy rychle expirují.
- Proveďte požadovanou změnu DNS záznamu.
- Po potvrzení propagace vraťte TTL na standardní hodnotu (3600s).
Vymazání lokální DNS cache
Pokud jste DNS změnili, ale váš prohlížeč stále ukazuje starý web, problém může být v lokální DNS cache vašeho počítače. Vymazání provedete takto:
Windows (Příkazový řádek jako Správce):
ipconfig /flushdns
macOS (Terminál):
sudo dscacheutil -flushcache; sudo killall -HUP mDNSResponder
Linux:
sudo systemd-resolve --flush-caches
💡 PRO TIP:
Nezapomeňte vymazat i cache prohlížeče (Ctrl+Shift+Delete) a zkusit stránku v anonymním okně. Prohlížeče jako Chrome mají vlastní DNS cache, která je nezávislá na systémové. V Chrome ji vymažete na adrese chrome://net-internals/#dns.
Jak ověřit správnost DNS nastavení – nástroje a diagnostika
Po provedení změn je klíčové ověřit, že se záznamy správně propagovaly a jsou nastaveny podle očekávání. Používejte kombinaci online nástrojů a příkazového řádku.
Online nástroje: MXToolbox, WhatsMyDNS, DNSChecker
- MXToolbox: Komplexní kontrola MX, SPF, DKIM a DMARC záznamů. Ideální pro ověření e-mailové autentizace.
- WhatsMyDNS: Zobrazí stav propagace DNS záznamu z desítek serverů po celém světě – vidíte, kde se změna již projevila.
- DNSChecker: Podobný WhatsMyDNS, nabízí i kontrolu DNSSEC validace.
Příkazový řádek: nslookup a dig
Pro rychlou kontrolu přímo z vašeho počítače:
nslookup (Windows, macOS, Linux):
nslookup mojedomena.cz – vrátí A záznam (IP adresu)
nslookup -type=MX mojedomena.cz – vrátí MX záznamy
nslookup -type=TXT mojedomena.cz – vrátí TXT záznamy (SPF aj.)
dig (macOS, Linux, Windows s nainstalovaným BIND):
dig mojedomena.cz A +short – stručný výstup IP adresy
dig mojedomena.cz MX – detailní výstup MX záznamů
dig mojedomena.cz +dnssec – ověření DNSSEC podpisů
WHOIS kontrola na nic.cz
Pro kontrolu registračních údajů, NSSET a stavu DNSSEC u .cz domény navštivte whois.nic.cz. WHOIS vám ukáže aktuální registrátora, nameservery (přes NSSET), expiraci domény a stav DNSSEC.
Nejčastější chyby při nastavení DNS a jak je vyřešit
I zkušení správci občas udělají chybu. Zde je přehled pěti nejčastějších problémů a jejich řešení:
Překlepy v IP adresách a hodnotách záznamů
Zdánlivě triviální, ale nejčastější příčina nefunkčního DNS. Stačí zaměnit jednu číslici v IP adrese nebo zapomenout tečku na konci CNAME hodnoty. Řešení: vždy hodnoty kopírujte (ne přepisujte ručně) a po uložení ověřte pomocí nslookup.
Zapomenuté nastavení root domény (bez www)
Častá chyba: nastavíte A záznam pro www.mojedomena.cz, ale zapomenete na mojedomena.cz (root / apex doménu). Výsledek – web funguje s „www“, ale bez něj ne. Nastavte A záznam pro obě varianty.
Konfliktní MX záznamy při změně e-mailového poskytovatele
Při přechodu z hostingového e-mailu na Google Workspace nebo Microsoft 365 je nutné smazat staré MX záznamy a nahradit je novými. Ponechání starých MX záznamů způsobí, že část e-mailů půjde na starý server a část na nový.
Nedeaktivovaný DNSSEC při změně NSSET
Jak bylo zmíněno výše – toto je nejkritičtější chyba specifická pro české domény. Doména se stane zcela nedostupnou, protože DNSSEC validace selže. Řešení: vždy deaktivujte DNSSEC alespoň 48 hodin před změnou NSSET.
Duplicitní SPF záznamy
RFC 7208 jasně říká: doména smí mít maximálně jeden SPF záznam. Pokud přidáte nový SPF pro nového poskytovatele a zapomenete smazat starý, oba záznamy se zneplatní. Řešení: sloučte všechny oprávněné zdroje do jednoho TXT záznamu.
✅ Kontrolní checklist: Před a po změně DNS
Před změnou:
- ☐ Zazálohujte aktuální DNS záznamy (screenshot nebo export)
- ☐ Zazálohujte NSSET z WHOIS na nic.cz
- ☐ Snižte TTL na 300 sekund (alespoň 24–48 hodin předem)
- ☐ Deaktivujte DNSSEC (pokud měníte nameservery / NSSET)
- ☐ Počkejte na propagaci snížení TTL / deaktivace DNSSEC
Po změně:
- ☐ Ověřte A/AAAA záznamy pomocí nslookup nebo dig
- ☐ Zkontrolujte MX záznamy na MXToolbox
- ☐ Ověřte SPF, DKIM a DMARC záznamy
- ☐ Zkontrolujte propagaci na WhatsMyDNS.net
- ☐ Aktivujte DNSSEC u nového poskytovatele
- ☐ Vraťte TTL na standardní hodnotu (3600s)
- ☐ Otestujte web i e-mail z různých zařízení a sítí
Často kladené otázky (FAQ)
Jak dlouho trvá změna DNS?
Samotná změna v administraci registrátora se projeví okamžitě. Propagace po celém internetu však trvá 6–48 hodin, v závislosti na nastavení TTL. Pokud snížíte TTL na 300 sekund alespoň den předem, většina resolverů převezme nové záznamy do 1–2 hodin.
Mohu mít DNS u jiného poskytovatele než hosting?
Ano, DNS a hosting jsou zcela nezávislé služby. Můžete mít doménu registrovanou u WEDOS, DNS spravovat přes Cloudflare a hosting mít u FORPSI. Stačí u registrátora změnit NSSET na nameservery poskytovatele DNS (například Cloudflare).
Co se stane, když smažu DNS záznamy?
Pokud smažete A záznam, váš web přestane být dostupný přes danou doménu. Pokud smažete MX záznamy, e-maily se přestanou doručovat. Záznamy v cache resolverů budou fungovat do vypršení TTL – poté dojde k výpadku. Vždy si záznamy zálohujte před smazáním.
Jak přesunu doménu na jiný hosting bez výpadku?
Postupujte takto: (1) Snižte TTL na 300s a počkejte 24h. (2) Nastavte web na novém hostingu a ověřte funkčnost přes IP adresu. (3) Změňte A záznam na IP adresu nového serveru. (4) Po potvrzení propagace vraťte TTL na standardní hodnotu. Díky nízkému TTL bude výpadek minimální (řádově minuty).
Je Cloudflare DNS kompatibilní s .cz doménami?
Ano, Cloudflare plně podporuje .cz domény. Po registraci na Cloudflare obdržíte dva nameservery (např. ana.ns.cloudflare.com a bob.ns.cloudflare.com). U svého registrátora pak vytvoříte nový NSSET s těmito nameservery a přiřadíte ho doméně. Nezapomeňte nejprve deaktivovat DNSSEC a po přechodu ho aktivovat v Cloudflare.
Jak nastavím DNS pro subdoménu?
Subdoménu (např. blog.mojedomena.cz) nastavíte přidáním A záznamu nebo CNAME záznamu s názvem „blog“ (bez celé domény – tu doplní systém automaticky). A záznam směřuje na IP adresu, CNAME na jinou doménu. Pro subdoménu můžete nastavit i vlastní MX záznamy pro oddělený e-mailový provoz.
Co je glue record a kdy ho potřebuji?
Glue record potřebujete pouze tehdy, pokud vaše nameservery běží na subdoméně té samé domény (např. ns1.mojedomena.cz obsluhuje mojedomena.cz). V takovém případě nastane „kuřecí-vejce“ problém – resolver potřebuje IP adresu nameserveru, ale tu může zjistit jen z nameserveru. Glue record tento cyklus řeší přidáním IP adresy přímo k NS záznamu v nadřazené zóně. Pro většinu uživatelů českých hostingů je tento scénář irelevantní – glue records potřebují pouze provozovatelé vlastních nameserverů.
