Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
A partir de Windows Server 2022, el cliente DNS admite DNS a través de HTTPS (DoH). Cuando DoH está habilitado, las consultas DNS entre el cliente DNS de Windows Server y el servidor DNS pasan a través de una conexión HTTPS segura en lugar de en texto sin formato. Al pasar la consulta DNS a través de una conexión cifrada, se protege de la interceptación por parte de terceros que no son de confianza.
Configurar el cliente DNS para que admita DoH
Solo puede configurar el cliente de Windows Server para que use DoH si el servidor DNS principal o secundario seleccionado para la interfaz de red está en la lista de servidores DoH conocidos. Puede configurar el cliente DNS para que requiera DoH, solicitar DoH o usar solo consultas DNS de texto sin formato tradicionales. Para configurar el cliente DNS para que admita DoH en Windows Server con Desktop Experience, siga estos pasos:
En el panel de control Configuración de Windows, seleccione Red e Internet.
En la página Red e Internet, seleccione Ethernet.
En la pantalla Ethernet, seleccione la interfaz de red que desea configurar para DoH.
En la pantalla Red, desplácese hacia abajo hasta Configuración de DNS y seleccione el botón Editar .
En la pantalla Editar configuración de DNS, seleccione Manual en el menú desplegable de configuración de IP automática o manual. Esta configuración le permite configurar los servidores DNS preferidos y DNS alternativos. Si las direcciones de estos servidores están presentes en la lista de servidores DoH conocidos, se habilitará el menú desplegable Cifrado DNS preferido . Puede elegir entre las siguientes opciones de configuración para establecer el cifrado de DNS preferido:
Solo cifrado (DNS a través de HTTPS). Cuando se elige esta configuración, todo el tráfico de consultas DNS pasará a través de HTTPS. Esta configuración proporciona la mejor protección para el tráfico de consultas DNS. Sin embargo, también significa que la resolución de DNS no se producirá si el servidor DNS de destino no puede admitir consultas DoH.
Cifrado preferido, no cifrado permitido. Cuando se elige esta configuración, el cliente DNS intentará usar DoH y, a continuación, recurrirá a consultas DNS sin cifrar si eso no es posible. Esta configuración proporciona la mejor compatibilidad para los servidores DNS compatibles con DoH, pero no se le proporcionará ninguna notificación si las consultas DNS se cambian de DoH a texto sin formato.
Solo sin cifrar. Todo el tráfico de consultas DNS al servidor DNS especificado no está cifrado. Esta configuración configura el cliente DNS para usar consultas DNS de texto sin formato tradicionales.
Seleccione Guardar para aplicar la configuración de DoH al cliente DNS.
Si va a configurar la dirección del servidor DNS para un cliente mediante PowerShell mediante el Set-DNSClientServerAddress
cmdlet, la configuración de DoH dependerá de si la configuración de reserva del servidor está en la tabla de la lista de servidores DoH conocidos. En la actualidad, no se pueden configurar las opciones de DoH para el cliente DNS en Windows Server 2022 mediante Windows Admin Center o sconfig.cmd.
Configuración de DoH a través de la directiva de grupo
La configuración de directiva de grupo local y de dominio de Windows Server 2022 incluye la directiva de resolución de nombres Configurar DNS a través de HTTPS (DoH). Puede usarlo para configurar el cliente DNS para usar DoH. Esta política se encuentra en el Computer Configuration\Policies\Administrative Templates\Network\DNS Client
nodo. Cuando está habilitada, esta directiva se puede configurar con los siguientes valores:
Permitir DoH. Las consultas se realizarán mediante DoH si los servidores DNS especificados son compatibles con el protocolo. Si los servidores no son compatibles con DoH, se emitirán consultas no cifradas.
Prohibir DoH. Evitará el uso de DoH con consultas de cliente DNS.
Requiere DoH. Requerirá que las consultas se realicen mediante DoH. Si los servidores DNS configurados no son compatibles con DoH, se producirá un error en la resolución de nombres.
No habilite la opción Requerir DoH para equipos unidos a un dominio, ya que Servicios de dominio de Active Directory depende en gran medida de DNS porque el servicio Servidor DNS de Windows Server no admite consultas de DoH. Si necesita que se cifre el tráfico de consultas DNS en la red de Servicios de dominio de Active Directory, considere la posibilidad de implementar reglas de seguridad de conexión basadas en IPsec para proteger este tráfico. Consulte Protección de conexiones IPsec de extremo a extremo mediante IKEv2 para obtener más información.
Determinar qué servidores DoH están en la lista de servidores conocidos
Windows Server se envía con una lista de servidores que se sabe que son compatibles con DoH.
Puede determinar qué servidores DNS están en esta lista mediante el cmdlet de Get-DNSClientDohServerAddress
PowerShell.
La lista predeterminada de servidores DoH conocidos es la siguiente:
Propietario del servidor | Direcciones IP del servidor DNS |
---|---|
Cloudflare (en inglés) | 1.1.1.1 1.0.0.1 2606:4700:4700::1111 2606:4700:4700::1001 |
Google (en inglés) | 8.8.8.8 8.8.4.4 2001:4860:4860::8888 2001:4860:4860::8844 |
Cuádruple 9 | 9.9.9.9 149.112.112.112 2620:fe::fe 2620:fe::fe:9 |
Agregar un nuevo servidor DoH a la lista de servidores conocidos
Puede agregar nuevos servidores DoH a la lista de servidores conocidos mediante el cmdlet de Add-DnsClientDohServerAddress
PowerShell. Especifique la dirección URL de la plantilla DoH y si permitirá que el cliente recurra a una consulta sin cifrar en caso de que se produzca un error en la consulta segura. La sintaxis de este comando es:
Add-DnsClientDohServerAddress -ServerAddress '<resolver-IP-address>' -DohTemplate '<resolver-DoH-template>' -AllowFallbackToUdp $False -AutoUpgrade $True
Uso de la tabla de directivas de resolución de nombres con DoH
Puede usar la tabla de directivas de resolución de nombres (NRPT) para configurar consultas a un espacio de nombres DNS específico para usar un servidor DNS específico. Si se sabe que el servidor DNS es compatible con DoH, las consultas relacionadas con ese dominio se realizarán mediante DoH en lugar de hacerlo sin cifrar.