Firemní DNS je jednou z nejpodceňovanějších součástí síťové infrastruktury. Přitom na něm závisí prakticky vše: načítání webových stránek, odesílání e-mailů, připojení k cloudovým aplikacím i funkčnost interních systémů. V tomto praktickém průvodci 2026 vysvětlíme, co DNS dělá, proč je důležitý pro bezpečnost a výkon firmy, jak ho správně nastavit a na co si dát pozor.

Z naší praxe ve správě IT pro pražské firmy víme, že špatně nastavený DNS způsobuje pomalé načítání stránek, výpadky e-mailu a zbytečná bezpečnostní rizika. Dobrá zpráva je, že správná konfigurace DNS není složitá a přináší okamžité zlepšení.

Co je DNS a proč na něm záleží

DNS (Domain Name System) funguje jako telefonní seznam internetu. Překládá doménová jména, která si snadno zapamatujeme (například it-doma.cz), na IP adresy, kterým rozumí počítače (například 185.199.108.153). Bez DNS bychom museli zadávat číselné adresy místo názvů webů.

Když zadáte adresu do prohlížeče, váš počítač se nejprve zeptá DNS serveru: Jaká je IP adresa pro it-doma.cz? Server odpoví s číslem a teprve potom se prohlížeč spojí s webovou stránkou. Tento proces probíhá při každém kliknutí, otevření e-mailu nebo spuštění cloudové aplikace.

Pro firmu je DNS kritický z několika důvodů:

• Rychlost: Pomalý DNS server zpomaluje načítání všech stránek a aplikací.
• Dostupnost: Nefunkční DNS znamená nefunkční internet, e-mail i cloudové služby.
• Bezpečnost: DNS lze využít k blokování škodlivých stránek a phishingu.
• Soukromí: Váš DNS provider vidí všechny navštívené domény.

Výchozí DNS od providera nestačí

Většina firem používá DNS server, který jim automaticky přidělí poskytovatel internetu. Toto výchozí nastavení má několik problémů:

• Pomalejší odezva: DNS servery providerů bývají přetížené a méně výkonné než specializované služby.
• Žádná ochrana: Neblokují škodlivé stránky ani phishing.
• Bez filtrování: Neumožňují blokovat nežádoucí kategorie webů.
• Výpadky: Při problémech u providera přestane fungovat celý internet.

Podle měření společnosti DNSPerf, která průběžně testuje rychlost DNS serverů po celém světě, jsou specializované DNS služby jako Cloudflare, Google nebo Quad9 výrazně rychlejší než DNS servery většiny providerů. Rozdíl může být v řádu desítek milisekund na každý dotaz, což se při stovkách dotazů denně sčítá.

Jak vybrat firemní DNS: 4 hlavní možnosti

Pro firmu existuje několik cest, jak DNS řešit. Každá má své výhody a nevýhody.

1. Veřejný DNS s ochranou (doporučeno pro malé firmy)

Nejjednodušší řešení je změnit DNS server na routeru nebo firewallu na některou z bezpečných veřejných služeb:

• Cloudflare (1.1.1.1): Nejrychlejší veřejný DNS, základní verze zdarma. Varianta 1.1.1.2 automaticky blokuje malware.
• Quad9 (9.9.9.9): Nezisková organizace, automatické blokování známých hrozeb, silný důraz na soukromí.
• Google (8.8.8.8): Rychlý a spolehlivý, ale shromažďuje anonymizovaná data pro statistiky.

Změna trvá minuty a okamžitě zlepší rychlost i bezpečnost. Pro většinu malých firem do 20 lidí je toto optimální řešení.

2. DNS filtrování jako služba

Pokročilejší variantou jsou placené služby, které kromě překladu nabízí i filtrování obsahu, blokování kategorií webů a detailní reporting:

• Cloudflare Gateway: Součást balíčku Cloudflare Zero Trust, umožňuje definovat vlastní pravidla.
• Cisco Umbrella: Pokročilé filtrování, integrace s firemními systémy.
• NextDNS: Cenově dostupné řešení s jednoduchým rozhraním.

Tyto služby umožňují například blokovat sociální sítě během pracovní doby, zakázat přístup na hazardní weby nebo automaticky hlásit pokusy o přístup na škodlivé stránky. Ceny se pohybují od stovek korun měsíčně.

3. DNS na lokálním serveru

Větší firmy s vlastním serverem mohou provozovat interní DNS server. Typicky jde o součást Windows Server (Active Directory DNS) nebo open-source řešení jako Pi-hole či AdGuard Home.

Výhody:

• Plná kontrola nad nastavením
• Možnost interních domén (např. intranet.firma.local)
• Cachování zrychluje opakované dotazy

Nevýhody:

• Vyžaduje správu a údržbu
• Při výpadku serveru nefunguje internet
• Nutnost zabezpečení proti útokům

Lokální DNS server dává smysl u firem s vlastním firemním serverem a minimálně desítkami zařízení.

4. DNS integrace ve firewallu

Moderní firemní firewally (NGFW/UTM) často obsahují vlastní DNS modul s filtrováním. Výhodou je jednotná správa bezpečnosti na jednom místě a propojení DNS pravidel s ostatními politikami. Toto řešení je ideální, pokud již firewall máte.

Jak nastavit bezpečný DNS: praktický postup

Pro typickou malou firmu doporučujeme následující postup:

Krok 1: Změňte DNS na routeru/firewallu

Přihlaste se do administrace routeru a najděte nastavení DNS (typicky v sekci WAN nebo Internet). Změňte primární a sekundární DNS server:

• Primární: 1.1.1.2 (Cloudflare s ochranou) nebo 9.9.9.9 (Quad9)
• Sekundární: 1.0.0.2 nebo 149.112.112.112

Tím zajistíte, že všechna zařízení v síti automaticky používají bezpečný DNS bez nutnosti měnit nastavení na každém počítači.

Krok 2: Ověřte funkčnost

Po změně otestujte, že DNS funguje správně. V příkazovém řádku zadejte:

nslookup it-doma.cz

Výsledek by měl ukázat IP adresu a potvrzení, že dotaz prošel přes nový DNS server.

Krok 3: Povolte DNS přes HTTPS (DoH)

Pro zvýšení soukromí aktivujte šifrovaný DNS (DoH nebo DoT). Moderní prohlížeče i Windows 11 tuto funkci podporují. DoH zabraňuje odposlouchávání DNS dotazů, což je důležité zejména při práci z domova nebo na veřejných sítích.

Krok 4: Monitorujte a vyhodnocujte

Pokud používáte placenou DNS službu, pravidelně kontrolujte reporty. Sledujte, zda se objevují pokusy o přístup na blokované stránky, které mohou indikovat kompromitované zařízení nebo phishingový útok.

DNS a bezpečnost: na co si dát pozor

DNS je častým cílem útoků a zároveň účinným nástrojem obrany. Zde jsou hlavní bezpečnostní aspekty:

DNS jako ochrana před malwarem

Bezpečné DNS služby (Quad9, Cloudflare 1.1.1.2) automaticky blokují přístup na známé škodlivé domény. Když zaměstnanec klikne na phishingový odkaz, DNS server odmítne přeložit adresu a útok se nezdaří. Podle dat Quad9 blokují denně miliony škodlivých dotazů.

DNS spoofing a cache poisoning

Útočníci se mohou pokusit podvrhnout DNS odpovědi a přesměrovat uživatele na falešné stránky. Ochranou je používání důvěryhodných DNS serverů a povolení DNSSEC validace.

DNS tunneling

Malware může využívat DNS protokol k úniku dat z firmy, protože DNS provoz bývá méně monitorovaný. Pokročilé DNS filtry (Cisco Umbrella, Cloudflare Gateway) dokážou tento typ tunelování detekovat.

Doporučení pro firemní DNS bezpečnost

• Používejte pouze důvěryhodné DNS servery s ochranou
• Povolte šifrovaný DNS (DoH/DoT) kde je to možné
• Logujte DNS dotazy pro pozdější analýzu incidentů
• Blokujte přímý DNS provoz mimo povolené servery na firewallu
• Pravidelně kontrolujte, jaké domény síť kontaktuje

Další tipy k zabezpečení firemní sítě najdete v našem článku o segmentaci sítě pomocí VLAN.

DNS a výkon: jak zrychlit firemní internet

Správný DNS server může zrychlit načítání webů i aplikací. Několik tipů:

• Vyberte nejrychlejší server pro vaši lokalitu: Použijte nástroj jako GRC DNS Benchmark k otestování rychlosti různých DNS serverů z vaší sítě.
• Využijte cachování: Lokální DNS server nebo Pi-hole ukládá odpovědi do cache a opakované dotazy jsou okamžité.
• Nastavte správné TTL: Při správě vlastní domény volte rozumné TTL hodnoty (time to live) podle potřeby.

Pokud řešíte obecně pomalý internet ve firmě, podívejte se na náš článek o 10 příčinách pomalého internetu a jejich řešení.

Správa firemní domény a DNS záznamy

Pokud firma vlastní doménu (např. firma.cz), musí kromě výběru DNS serveru spravovat i DNS záznamy u registrátora nebo na autoritativním DNS serveru. Klíčové záznamy:

• A záznam: Propojuje doménu s IP adresou serveru
• MX záznam: Určuje, kam směřují e-maily
• CNAME: Alias pro jinou doménu
• TXT: Textové záznamy pro ověření (SPF, DKIM, DMARC)

Správné nastavení MX, SPF, DKIM a DMARC je klíčové pro doručitelnost firemních e-mailů. Detailně jsme toto téma rozebírali v článku o zabezpečení firemního e-mailu.

Závěr: DNS jako základ firemní infrastruktury

Firemní DNS si zaslouží více pozornosti, než většina malých firem věnuje. Správné nastavení přináší rychlejší internet, lepší bezpečnost a spolehlivější provoz, přitom změna na bezpečný DNS server trvá minuty a je zdarma.

Pro většinu malých firem doporučujeme začít změnou DNS na routeru na Cloudflare (1.1.1.2) nebo Quad9 (9.9.9.9). Firmy s vyššími nároky na filtrování a reporting mohou zvážit placené služby jako NextDNS nebo Cloudflare Gateway.

Nejste si jisti, jak je na tom váš DNS a celková síťová infrastruktura? Nabízíme bezplatný IT audit, při kterém zkontrolujeme nastavení DNS, rychlost sítě i bezpečnostní rizika. Ozvěte se nám a pomůžeme vám postavit infrastrukturu, která funguje spolehlivě.

Často kladené otázky

Co se stane, když změním DNS server?

Změna DNS serveru ovlivní, odkud vaše zařízení získávají překlad doménových jmen. Webové stránky, e-mail i aplikace budou fungovat stejně, jen je možné, že se zrychlí načítání a získáte dodatečnou ochranu před škodlivými weby. Změna je reverzibilní.

Je bezpečné používat veřejný DNS jako Cloudflare nebo Google?

Ano, veřejné DNS služby od renomovaných poskytovatelů jsou bezpečné a často bezpečnější než DNS od vašeho providera. Cloudflare a Quad9 deklarují minimální sběr dat a automatickou ochranu před malwarem.

Proč mám pomalý internet, i když mám rychlou linku?

Jednou z častých příčin je pomalý DNS server. Pokud DNS odpověď trvá 200 ms místo 20 ms, každé načtení stránky se zpomalí. Vyzkoušejte změnit DNS na rychlejší alternativu (1.1.1.1 nebo 8.8.8.8).

Potřebuje malá firma vlastní DNS server?

Ve většině případů ne. Vlastní DNS server dává smysl u firem s desítkami počítačů nebo interními systémy na lokální doméně. Pro firmu do 20 lidí je optimální použít veřejný DNS s ochranou.

Jak poznám, že DNS je problém?

Typické příznaky: webové stránky se dlouho hledají než začnou načítat, některé weby nefungují vůbec zatímco jiné ano, e-mail přichází se zpožděním. Diagnostiku provedete příkazem nslookup domena.cz.