Megosztás a következőn keresztül:

Biztonságos DNS-ügyfél HTTPS-en keresztül (DoH)

A Windows Server 2022-től kezdve a DNS-ügyfél támogatja a DNS-over-HTTPS (DoH) protokollt. Ha a DoH engedélyezve van, a Windows Server DNS-ügyfele és a DNS-kiszolgáló közötti DNS-lekérdezések nem egyszerű szöveges, hanem biztonságos HTTPS-kapcsolaton haladnak keresztül. A DNS-lekérdezés titkosított kapcsolaton keresztül történő átadásával védve lesz a nem megbízható harmadik felek általi lehallgatástól.

A DNS-ügyfél konfigurálása a DoH támogatásához

A Windows Server-ügyfelet csak akkor konfigurálhatja a DoH használatára, ha a hálózati adapterhez kiválasztott elsődleges vagy másodlagos DNS-kiszolgáló szerepel az ismert DoH-kiszolgálók listáján. A DNS-ügyfél konfigurálható úgy, hogy DoH-t igényeljen, DoH-t kérjen, vagy csak hagyományos egyszerű szöveges DNS-lekérdezéseket használjon. Ha úgy szeretné konfigurálni a DNS-ügyfelet, hogy asztali kezelőfelülettel támogassa a DoH-t a Windows Serveren, hajtsa végre az alábbi lépéseket:

  1. A Windows beállításai vezérlőpulton válassza a Hálózat és internet lehetőséget.

  2. On the Network & Internet page, select Ethernet.

  3. Az Ethernet képernyőn válassza ki a DoH-hoz konfigurálni kívánt hálózati adaptert.

    képernyőkép az Ethernet-beállításokról

  4. On the Network screen, scroll down to DNS settings and select the Edit button.

  5. A DNS-beállítások szerkesztése képernyőn válassza a Manuális lehetőséget az automatikus vagy manuális IP-beállítások legördülő listából. Ezzel a beállítással konfigurálhatja az előnyben részesített DNS- és alternatív DNS-kiszolgálókat. Ha ezeknek a kiszolgálóknak a címe szerepel az ismert DoH-kiszolgálók listájában, az előnyben részesített DNS-titkosítás legördülő lista engedélyezve lesz. Az előnyben részesített DNS-titkosítás beállításához az alábbi beállítások közül választhat:

    • Csak titkosított (HTTPS-en keresztüli DNS). Ha ezt a beállítást választja, az összes DNS-lekérdezési forgalom áthalad a HTTPS-ben. Ez a beállítás biztosítja a DNS-lekérdezések forgalmának legjobb védelmét. Ez azonban azt is jelenti, hogy a DNS-feloldás nem történik meg, ha a cél DNS-kiszolgáló nem tudja támogatni a DoH-lekérdezéseket.

    • Titkosított előnyben részesített, titkosítatlan engedélyezett. Ha ezt a beállítást választja, a DNS-ügyfél megpróbálja használni a DoH-t, majd visszaáll a titkosítatlan DNS-lekérdezésekre, ha ez nem lehetséges. Ez a beállítás biztosítja a legjobb kompatibilitást a DoH-kompatibilis DNS-kiszolgálókhoz, de nem fog értesítést adni, ha a DNS-lekérdezések DoH-ról egyszerű szövegre vannak kapcsolva.

    • Unencrypted only. A megadott DNS-kiszolgálóra vonatkozó összes DNS-lekérdezési forgalom titkosítatlan. Ez a beállítás konfigurálja a DNS-ügyfelet hagyományos egyszerű szöveges DNS-lekérdezések használatára.

      képernyőkép a DNS-beállításokról

  6. Select Save to apply the DoH settings to the DNS client.

Ha a parancsmaggal konfigurálja egy ügyfél DNS-kiszolgálójának címét a Set-DNSClientServerAddress PowerShell használatával, a DoH-beállítás attól függ, hogy a kiszolgáló tartalékbeállítása szerepel-e az ismert DoH-kiszolgálók táblázatában. At present you can't configure DoH settings for the DNS client on Windows Server 2022 using Windows Admin Center or sconfig.cmd.

DoH konfigurálása csoportházirenden keresztül

A Windows Server 2022 helyi és tartományi csoportházirend-beállításai közé tartozik a DNS konfigurálása HTTPS-en keresztül (DoH) névfeloldási szabályzat. Ezzel konfigurálhatja a DNS-ügyfelet a DoH használatára. Ez a szabályzat a Computer Configuration\Policies\Administrative Templates\Network\DNS Client csomópontban található. Ha engedélyezve van, ez a szabályzat a következő beállításokkal konfigurálható:

  • Allow DoH. A lekérdezések DoH használatával lesznek végrehajtva, ha a megadott DNS-kiszolgálók támogatják a protokollt. Ha a kiszolgálók nem támogatják a DoH-t, a rendszer nem titkosított lekérdezéseket ad ki.

  • Prohibit DoH. Megakadályozza a DoH használatát a DNS-ügyfél lekérdezéseivel.

  • Require DoH. A lekérdezések DoH használatával történő végrehajtására lesz szükség. Ha a konfigurált DNS-kiszolgálók nem támogatják a DoH-t, a névfeloldás sikertelen lesz.

    a DNS-konfiguráció képernyőképe.

Ne engedélyezze a DoH megkövetelése beállítást a tartományhoz csatlakoztatott számítógépeken, mivel az Active Directory Domain Services erősen függ a DNS-től, mert a Windows Server DNS Server szolgáltatás nem támogatja a DoH-lekérdezéseket. Ha az Active Directory Domain Services-hálózat DNS-lekérdezési forgalmának titkosítását igényli, fontolja meg az IPsec-alapú kapcsolatbiztonsági szabályok implementálását a forgalom védelme érdekében. További információ: A végpontok közötti IPsec-kapcsolatok biztonságossá tétele az IKEv2 használatával .

Annak meghatározása, hogy mely DoH-kiszolgálók szerepelnek az ismert kiszolgálólistában

A Windows Server azon kiszolgálók listáját tartalmazza, amelyekről ismert, hogy támogatják a DoH-t. A listában szereplő DNS-kiszolgálókat a Get-DNSClientDohServerAddress PowerShell-parancsmaggal határozhatja meg.

képernyőkép a PowerShell-parancsról

Az ismert DoH-kiszolgálók alapértelmezett listája a következő:

Server Owner DNS-kiszolgáló IP-címei
Cloudflare 1.1.1.1
1.0.0.1
2606:4700:4700::1111
2606:4700:4700::1001
Google 8.8.8.8
8.8.4.4
2001:4860:4860::8888
2001:4860:4860::8844
Quad 9 9.9.9.9
149.112.112.112
2620:fe::fe
2620:fe::fe:9

Új DoH-kiszolgáló hozzáadása az ismert kiszolgálók listájához

A PowerShell-parancsmaggal új DoH-kiszolgálókat vehet fel az Add-DnsClientDohServerAddress ismert kiszolgálók listájára. Adja meg a DoH-sablon URL-címét, és hogy engedélyezi-e, hogy az ügyfél visszaessen egy titkosítatlan lekérdezésre, ha a biztonságos lekérdezés sikertelen. A parancs szintaxisa a következő:

Add-DnsClientDohServerAddress -ServerAddress '<resolver-IP-address>' -DohTemplate '<resolver-DoH-template>' -AllowFallbackToUdp $False -AutoUpgrade $True

Névfeloldási szabályzattáblázat használata a DoH-val

A névfeloldási házirendtáblával (NRPT) lekérdezéseket konfigurálhat egy adott DNS-névtérre egy adott DNS-kiszolgáló használatához. Ha a DNS-kiszolgálóról ismert, hogy támogatja a DoH-t, a tartományhoz kapcsolódó lekérdezések nem titkosítatlan módon, hanem a DoH használatával lesznek végrehajtva.