I tidigare inlägg har vi gått igenom Active Directory och Group Policy. Nu är det dags för DNS — tekniken som håller ihop hela internet och ditt företagsnätverk, och som är skyldig till en häpnadsväckande stor andel av alla IT-problem.
Har du ett eget önskemål? Hör gärna av dig via kontaktsidan.
Föreställ dig att du ska ringa din kompis. Du vet vad kompisen heter, men du kan inte ringa på ett namn — du behöver ett telefonnummer. Så du slår upp namnet i kontakterna och får numret. Det är exakt vad DNS gör, fast för datorer och webbplatser.
DNS står för Domain Name System och är systemet som översätter läsbara adresser — som google.com eller foretaget.local — till de numeriska IP-adresser som datorer faktiskt använder för att hitta varandra. DNS skapades 1983 och är idag en av de absolut mest kritiska delarna av hela internet — och av ditt företagsnätverk.
Varje enhet på internet har en IP-adress — en unik sifferkombination som fungerar som en postadress. Googles servrar har till exempel adressen 142.250.74.46. Men ingen orkar komma ihåg det — vi skriver google.com.
DNS är systemet som håller koll på vilka namn som hör till vilka IP-adresser, och svarar på frågor om detta dygnet runt, miljontals gånger per sekund, världen över.
En DNS-post är en rad i "telefonkatalogen". De vanligaste typerna är A-posten (kopplar ett namn till en IPv4-adress), AAAA-posten (för IPv6), MX-posten (talar om vilken server som tar emot e-post för en domän) och CNAME (ett alias — t.ex. att www.foretaget.se pekar på foretaget.se).
Din dator frågar inte DNS-servern direkt varje gång. Istället frågar den en resolver — ofta din router eller din internetleverantörs server — som i sin tur frågar vidare uppåt i hierarkin tills den får ett svar. Svaret skickas tillbaka och lagras i ett lokalt minne.
För att inte behöva fråga om samma sak miljontals gånger sparas svaren i en cache (ett tillfälligt minne). Hur länge de sparas styrs av TTL — Time To Live — ett värde satt av domänägaren. Ändrar du en DNS-post kan det ta allt från minuter till 48 timmar innan alla i världen ser ändringen, beroende på TTL.
På företag finns det ofta två DNS-system: ett internt (som vet var filservern, mailservern och intranätet finns inom nätverket) och ett externt (som resten av internet använder för att hitta företagets webbplats och e-post). Active Directory är beroende av det interna DNS för att fungera.
En DNS-server är den dator som svarar på DNS-frågor. I ett företagsnätverk kör ofta domänkontrollanten (AD-servern) också en DNS-server. På internet används stora offentliga DNS-servrar — t.ex. Googles 8.8.8.8 eller Cloudflares 1.1.1.1.
Du skriver foretaget.se i webbläsaren och trycker Enter. Vad händer?
1. Din dator kollar sin lokala cache — har den frågat om detta nyligen? Om ja, använder den det sparade svaret direkt.
2. Om inte frågar den din DNS-resolver (oftast routern eller IT-avdelningens DNS-server).
3. Resolvern frågar i sin tur root-servrar → .se-servrar → foretaget.se:s egna DNS-servrar och får till slut ett svar: IP-adressen.
4. IP-adressen skickas tillbaka till din webbläsare som nu kan kontakta rätt server och ladda sidan.
5. Svaret sparas i cache med angiven TTL — nästa gång går det snabbare.
Active Directory är totalt beroende av DNS. När din dator loggar in på domänen använder den DNS för att hitta domänkontrollanten. Om DNS slutar fungera inne i nätverket kan ingen logga in, inga grupppolicyer tillämpas och inga nätverksresurser nås — även om alla servrar tekniskt sett är igång.
Det är just därför domänkontrollanten i ett Windows-nätverk nästan alltid också kör en intern DNS-server. De är designade att hänga ihop.
Internets DNS och företagets interna DNS är separata system. Din interna DNS vet att filserver01.foretaget.local finns — men det vet inte resten av internet. Och det är precis som det ska vara.
Eftersom DNS är så grundläggande är det också ett populärt mål för attacker. DNS-spoofing (eller cache poisoning) innebär att en angripare manipulerar DNS-svar så att du skickas till en falsk webbplats trots att du skrivit rätt adress.
DNSSEC är en säkerhetsutvidgning som lägger till digitala signaturer på DNS-svar, vilket gör det möjligt att verifiera att svaret verkligen kommer från rätt källa och inte har manipulerats på vägen.
Många företag använder också DNS-filtrering — en teknik där DNS-servern medvetet vägrar att svara på frågor om kända skadliga domäner. Det är ett effektivt sätt att blockera skadlig programvara och phishing-sajter redan innan trafiken når användaren.
// Sammanfattning — DNS
- DNS översätter domännamn (google.com) till IP-adresser som datorer förstår
- Utan DNS måste du komma ihåg IP-adressen till varje tjänst du använder
- Active Directory är totalt beroende av intern DNS för att fungera
- Svar sparas i cache med TTL — därför kan DNS-ändringar ta tid att slå igenom
- DNS-problem upplevs som att "allt är nere" — även om servrarna är friska
- DNS-filtrering och DNSSEC är viktiga säkerhetsverktyg i moderna nätverk
DNS är den tysta hjälten — och den ständige syndabocken — i all IT. Den gör jobbet perfekt miljontals gånger om dagen utan att någon tänker på det. Men den enda gång något går fel hör man det över hela kontorsgolvet: "Har ni kollat DNS?"