Poznámka
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Počínaje Windows Serverem 2022 podporuje klient DNS přes HTTPS (DoH). Pokud je povolená funkce DoH, dotazy DNS mezi klientem DNS systému Windows Server a serverem DNS se předávají přes zabezpečené připojení HTTPS místo v prostém textu. Předáním dotazu DNS přes šifrované připojení je chráněný před zachycením nedůvěryhodnými třetími stranami.
Konfigurace klienta DNS pro podporu doH
Klienta Windows Serveru můžete nakonfigurovat tak, aby používal DoH, pouze pokud je primární nebo sekundární server DNS vybraný pro síťové rozhraní na seznamu známých serverů DoH. Klienta DNS můžete nakonfigurovat tak, aby vyžadoval DoH, požadavek DoH nebo používal pouze tradiční dotazy DNS ve formátu prostého textu. Pokud chcete nakonfigurovat klienta DNS tak, aby podporoval DoH na Windows Serveru s desktopovým prostředím, postupujte takto:
V ovládacím panelu Nastavení systému Windows vyberte Síť a Internet.
Na stránce Síť a Internet vyberte Ethernet.
Na obrazovce Sítě Ethernet vyberte síťové rozhraní, které chcete nakonfigurovat pro doH.
Na obrazovce Síť se posuňte dolů k nastavení DNS a vyberte tlačítko Upravit .
Na obrazovce Upravit nastavení DNS vyberte v rozevíracím seznamu Nastavení automatické nebo ruční IP adresy ruční ruční nastavení. Toto nastavení umožňuje nakonfigurovat upřednostňované servery DNS a alternativní servery DNS. Pokud se adresy těchto serverů nacházejí v seznamu známých serverů DoH, povolí se rozevírací seznam upřednostňovaného šifrování DNS . Můžete si vybrat mezi následujícími nastaveními a nastavit upřednostňované šifrování DNS:
Šifrované jenom (DNS přes HTTPS) Při výběru tohoto nastavení se veškerý provoz dotazů DNS bude předávat přes PROTOKOL HTTPS. Toto nastavení poskytuje nejlepší ochranu provozu dotazů DNS. To ale také znamená, že překlad DNS nedojde, pokud cílový server DNS nemůže podporovat dotazy DoH.
Šifrování je upřednostňováno, nešifrování je povoleno. Při výběru tohoto nastavení se klient DNS pokusí použít doH a pak se vrátí k nešifrovaným dotazům DNS, pokud to není možné. Toto nastavení poskytuje nejlepší kompatibilitu pro servery DNS podporující DoH, ale pokud se dotazy DNS přepnou z DoH na prostý text, nebude vám k dispozici žádné oznámení.
Pouze nešifrované. Veškerý provoz dotazů DNS na zadaný server DNS není zašifrovaný. Toto nastavení nakonfiguruje klienta DNS tak, aby používal tradiční dotazy DNS ve formátu prostého textu.
Chcete-li použít nastavení DoH pro klienta DNS, vyberte Uložit .
Pokud konfigurujete adresu serveru DNS pro klienta pomocí PowerShellu pomocí rutiny Set-DNSClientServerAddress
, nastavení DoH bude záviset na tom, jestli je záložní nastavení serveru v seznamu známých tabulek serverů DoH. V současné době nemůžete konfigurovat nastavení DoH pro klienta DNS v systému Windows Server 2022 pomocí Centra pro správu systému Windows nebo sconfig.cmd.
Konfigurace DoH prostřednictvím zásad skupiny
Nastavení místních a doménových zásad skupiny v systému Windows Server 2022 zahrnuje zásadu Konfigurace DNS přes HTTPS (DoH) pro překlad názvů. Můžete ho použít ke konfiguraci klienta DNS tak, aby používal DoH. Tato zásada se nachází v Computer Configuration\Policies\Administrative Templates\Network\DNS Client
uzlu. Pokud je tato zásada povolená, můžete nakonfigurovat následující nastavení:
Povolit DoH. Dotazy budou provedeny pomocí DoH, pokud zadané servery DNS podporují protokol. Pokud servery nepodporují DoH, budou vydány nešifrované dotazy.
Zakázat DoH. Zabrání použití doH s dotazy klienta DNS.
Vyžadovat DoH. Bude vyžadovat, aby se dotazy prováděly pomocí DoH. Pokud nakonfigurované servery DNS nepodporují DoH, překlad názvů selže.
Nepovolujte možnost Vyžadovat doH pro počítače připojené k doméně jako služba Active Directory Domain Services je silně závislá na DNS, protože služba Windows Server DNS server nepodporuje dotazy DoH. Pokud potřebujete, aby byl provoz dotazů DNS v síti služby Active Directory Domain Services šifrovaný, zvažte implementaci pravidel zabezpečení připojení založených na protokolu IPsec pro ochranu tohoto provozu. Další informace najdete v tématu Zabezpečení kompletních připojení IPsec pomocí protokolu IKEv2 .
Zjistit, které servery DoH jsou na seznamu známých serverů
Windows Server se dodává se seznamem serverů, které jsou známé tím, že podporují DoH.
Pomocí rutiny Get-DNSClientDohServerAddress
PowerShellu můžete určit, které servery DNS jsou v tomto seznamu.
Výchozí seznam známých serverů DoH je následující:
Vlastník serveru | IP adresy serveru DNS |
---|---|
Cloudflare | 1.1.1.1 1.0.0.1 2606:4700:4700::1111 2606:4700:4700::1001 |
8.8.8.8 8.8.4.4 2001:4860:4860::8888 2001:4860:4860::8844 |
|
Čtyřkolka 9 | 9.9.9.9 149.112.112.112 2620:fe::fe 2620:fe::fe:9 |
Přidání nového serveru DoH do seznamu známých serverů
Nové servery DoH můžete přidat do seznamu známých serverů pomocí rutiny PowerShellu Add-DnsClientDohServerAddress
. Zadejte adresu URL šablony DoH a určete, jestli klientovi umožníte vrátit se do nešifrovaného dotazu, pokud by zabezpečený dotaz selhal. Syntaxe tohoto příkazu je:
Add-DnsClientDohServerAddress -ServerAddress '<resolver-IP-address>' -DohTemplate '<resolver-DoH-template>' -AllowFallbackToUdp $False -AutoUpgrade $True
Použijte tabulku zásad pro rozlišení názvů s DoH
Tabulku zásad vyhodnocování názvů (NRPT) můžete použít ke konfiguraci dotazů na konkrétní prostor názvů DNS pro použití konkrétního serveru DNS. Pokud je známo, že server DNS podporuje DoH, budou dotazy související s danou doménou prováděny pomocí DoH, nikoli nešifrovaným způsobem.