Freigeben über


Sicherer DNS-Client über HTTPS (DoH)

Ab Windows Server 2022 unterstützt der DNS-Client DNS-over-HTTPS (DoH). Wenn DoH aktiviert ist, werden DNS-Abfragen zwischen dem DNS-Client von Windows Server und dem DNS-Server über eine sichere HTTPS-Verbindung und nicht im Nur-Text-Format übergeben. Indem die DNS-Abfrage über eine verschlüsselte Verbindung weitergeleitet wird, ist sie vor dem Abfangen durch nicht vertrauenswürdige Dritte geschützt.

Konfigurieren des DNS-Clients für die Unterstützung von DoH

Sie können den Windows Server-Client nur dann für die Verwendung von DoH konfigurieren, wenn der für die Netzwerkschnittstelle ausgewählte primäre oder sekundäre DNS-Server in der Liste der bekannten DoH-Server enthalten ist. Sie können den DNS-Client so konfigurieren, dass DoH erforderlich ist, DoH angefordert oder nur herkömmliche Nur-Text-DNS-Abfragen verwendet werden. Führen Sie die folgenden Schritte aus, um den DNS-Client für die Unterstützung von DoH unter Windows Server mit Desktopdarstellung zu konfigurieren:

  1. Wählen Sie in der Systemsteuerung der Windows-Einstellungen die Option Netzwerk & Internet.

  2. Wählen Sie auf der Seite Netzwerk & Internet die Option Ethernet aus.

  3. Wählen Sie auf dem Ethernet-Bildschirm die Netzwerkschnittstelle aus, die Sie für DoH konfigurieren möchten.

    Screenshot der Ethernet-Einstellungen

  4. Scrollen Sie auf dem Bildschirm Netzwerk nach unten zu DNS-Einstellungen und wählen Sie die Schaltfläche Bearbeiten aus.

  5. Wählen Sie auf dem Bildschirm DNS-Einstellungen bearbeiten in der Dropdown-Liste für automatische oder manuelle IP-Einstellungen die Option Manuell aus. Mit dieser Einstellung können Sie die Server "Bevorzugtes DNS" und "Alternatives DNS" konfigurieren. Wenn die Adressen dieser Server in der Liste der bekannten DoH-Server vorhanden sind, wird das Dropdown-Menü Bevorzugte DNS-Verschlüsselung aktiviert. Sie können zwischen den folgenden Einstellungen wählen, um die bevorzugte DNS-Verschlüsselung festzulegen:

    • Nur verschlüsselt (DNS über HTTPS). Wenn diese Einstellung ausgewählt ist, wird der gesamte DNS-Abfragedatenverkehr über HTTPS geleitet. Diese Einstellung bietet den besten Schutz für DNS-Abfragedatenverkehr. Es bedeutet jedoch auch, dass die DNS-Auflösung nicht erfolgt, wenn der DNS-Zielserver DoH-Abfragen nicht unterstützen kann.

    • Verschlüsselt bevorzugt, unverschlüsselt erlaubt. Wenn diese Einstellung ausgewählt ist, versucht der DNS-Client, DoH zu verwenden, und greift dann auf unverschlüsselte DNS-Abfragen zurück, wenn dies nicht möglich ist. Diese Einstellung bietet die beste Kompatibilität für DoH-fähige DNS-Server, aber Sie erhalten keine Benachrichtigung, wenn DNS-Abfragen von DoH auf Nur-Text umgestellt werden.

    • Nur unverschlüsselt. Der gesamte DNS-Abfragedatenverkehr zum angegebenen DNS-Server ist unverschlüsselt. Mit dieser Einstellung wird der DNS-Client für die Verwendung herkömmlicher Nur-Text-DNS-Abfragen konfiguriert.

      Screenshot der DNS-Einstellungen

  6. Wählen Sie Speichern aus, um die DoH-Einstellungen auf den DNS-Client anzuwenden.

Wenn Sie die DNS-Serveradresse für einen Client mithilfe von PowerShell mithilfe des Set-DNSClientServerAddress Cmdlets konfigurieren, hängt die DoH-Einstellung davon ab, ob sich die Fallbackeinstellung des Servers in der Tabelle der bekannten DoH-Server befindet. Derzeit können Sie DoH-Einstellungen für den DNS-Client unter Windows Server 2022 nicht mithilfe von Windows Admin Center oder sconfig.cmd konfigurieren.

Konfigurieren des DoH über Gruppenrichtlinien

Zu den Gruppenrichtlinieneinstellungen für lokale und Domänen von Windows Server 2022 gehört die Richtlinie zum Konfigurieren der DNS-über-HTTPS-Namensauflösung (DoH). Sie können es verwenden, um den DNS-Client für die Verwendung von DoH zu konfigurieren. Diese Richtlinie befindet sich im Computer Configuration\Policies\Administrative Templates\Network\DNS Client Knoten. Wenn diese Richtlinie aktiviert ist, kann sie mit den folgenden Einstellungen konfiguriert werden:

  • DoH zulassen. Abfragen werden mithilfe von DoH ausgeführt, wenn die angegebenen DNS-Server das Protokoll unterstützen. Wenn die Server DoH nicht unterstützen, werden unverschlüsselte Abfragen ausgegeben.

  • DoH verbieten. Verhindert die Verwendung von DoH mit DNS-Clientabfragen.

  • DoH erforderlich. Erfordert, dass Abfragen mithilfe von DoH ausgeführt werden. Wenn konfigurierte DNS-Server DoH nicht unterstützen, schlägt die Namensauflösung fehl.

    Screenshot der DNS-Konfiguration.

Aktivieren Sie nicht die Option DoH erforderlich für in die Domäne eingebundene Computer, da Active Directory Domain Services stark auf DNS angewiesen ist, da der Windows Server DNS-Serverdienst DoH-Abfragen nicht unterstützt. Wenn Sie DNS-Abfragedatenverkehr im Active Directory-Domänendienste-Netzwerk verschlüsseln müssen, sollten Sie die Implementierung von IPsec-basierten Verbindungssicherheitsregeln in Betracht ziehen, um diesen Datenverkehr zu schützen. Weitere Informationen finden Sie unter Sichern von End-to-End-IPsec-Verbindungen mithilfe von IKEv2 .

Ermitteln, welche DoH-Server sich in der Liste der bekannten Server befinden

Windows Server wird mit einer Liste von Servern ausgeliefert, von denen bekannt ist, dass sie DoH unterstützen. Sie können mithilfe des PowerShell-Cmdlets Get-DNSClientDohServerAddress ermitteln, welche DNS-Server in dieser Liste enthalten sind.

Screenshot des PowerShell-Befehls

Die Standardliste der bekannten DoH-Server lautet wie folgt:

Server-Besitzer IP-Adressen von DNS-Servern
Cloudflare (englisch) 1.1.1.1
1.0.0.1
2606:4700:4700::1111
2606:4700:4700::1001
Googeln 8.8.8.8
8.8.4.4
2001:4860:4860::8888
2001:4860:4860::8844
Quad 9 9.9.9.9
149.112.112.112
2620:fe::fe
2620:fe::fe:9

Hinzufügen eines neuen DoH-Servers zur Liste der bekannten Server

Mit dem Add-DnsClientDohServerAddress PowerShell-Cmdlet können Sie der Liste der bekannten Server neue DoH-Server hinzufügen. Geben Sie die URL der DoH-Vorlage an und geben Sie an, ob Sie dem Client erlauben, auf eine unverschlüsselte Abfrage zurückzugreifen, falls die sichere Abfrage fehlschlägt. Die Syntax dieses Befehls lautet:

Add-DnsClientDohServerAddress -ServerAddress '<resolver-IP-address>' -DohTemplate '<resolver-DoH-template>' -AllowFallbackToUdp $False -AutoUpgrade $True

Verwenden der Richtlinientabelle für die Namensauflösung mit DoH

Sie können die Richtlinientabelle für die Namensauflösung (Name Resolution Policy Table, NRPT) verwenden, um Abfragen an einen bestimmten DNS-Namespace für die Verwendung eines bestimmten DNS-Servers zu konfigurieren. Wenn bekannt ist, dass der DNS-Server DoH unterstützt, werden Abfragen im Zusammenhang mit dieser Domäne mithilfe von DoH und nicht unverschlüsselt ausgeführt.