Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
A partire da Windows Server 2022, il client DNS supporta DNS-over-HTTPS (DoH). Quando DoH è abilitato, le query DNS tra il client DNS di Windows Server e il server DNS passano attraverso una connessione HTTPS sicura anziché in testo normale. Passando la query DNS attraverso una connessione crittografata, è protetta dall'intercettazione da terze parti non attendibili.
Configurare il client DNS per supportare DoH
È possibile configurare il client Windows Server per l'uso di DoH solo se il server DNS primario o secondario selezionato per l'interfaccia di rete è presente nell'elenco dei server DoH noti. È possibile configurare il client DNS per richiedere l'uso obbligatorio di DoH, richiedere DoH, o usare solo query DNS tradizionali in testo semplice. Per configurare il client DNS per supportare DoH in Windows Server con Esperienza desktop, seguire questa procedura:
Nel pannello di controllo Impostazioni di Windows selezionare Rete e Internet.
On the Network & Internet page, select Ethernet.
Nella schermata Ethernet selezionare l'interfaccia di rete che si vuole configurare per DoH.
On the Network screen, scroll down to DNS settings and select the Edit button.
Nella schermata Modifica impostazioni DNS selezionare Manuale nell'elenco a discesa Impostazioni IP automatiche o manuali. Questa impostazione consente di configurare i server DNS preferiti e DNS alternativi. Se gli indirizzi di questi server sono presenti nell'elenco dei server DoH noti, l'elenco a discesa Crittografia DNS preferita verrà abilitato. È possibile scegliere tra le impostazioni seguenti per impostare la crittografia DNS preferita:
Solo crittografato (DNS su HTTPS).Encrypted only (DNS over HTTPS). Quando si seleziona questa impostazione, tutto il traffico di query DNS passerà attraverso HTTPS. Questa impostazione offre la protezione migliore per il traffico di query DNS. Tuttavia, significa anche che la risoluzione DNS non si verificherà se il server DNS di destinazione non è in grado di supportare le query DoH.
Crittografato preferito, non crittografato consentito. Quando si seleziona questa impostazione, il client DNS tenterà di usare DoH e quindi eseguirà il fallback alle query DNS non crittografate, se non è possibile. Questa impostazione offre la migliore compatibilità per i server DNS con supporto DoH, ma non verrà fornita alcuna notifica se le query DNS vengono spostate da DoH a testo normale.
Unencrypted only. Tutto il traffico di query DNS verso il server DNS specificato non è crittografato. Questa impostazione configura il client DNS per l'uso di query DNS di testo normale tradizionali.
Select Save to apply the DoH settings to the DNS client.
Se si configura l'indirizzo del server DNS per un client tramite PowerShell tramite il Set-DNSClientServerAddress cmdlet , l'impostazione DoH dipenderà dal fatto che l'impostazione di fallback del server si trovi nell'elenco della tabella dei server DoH noti. At present you can't configure DoH settings for the DNS client on Windows Server 2022 using Windows Admin Center or sconfig.cmd.
Configurazione di DoH tramite Criteri di gruppo
Le impostazioni di Criteri di gruppo locali e di dominio di Windows Server 2022 includono la politica Configura risoluzione dei nomi DNS su HTTPS (DoH). È possibile usarlo per configurare il client DNS per l'uso di DoH. Questo criterio si trova nel Computer Configuration\Policies\Administrative Templates\Network\DNS Client nodo. Se abilitata, questo criterio può essere configurato con le impostazioni seguenti:
Allow DoH. Le query verranno eseguite usando DoH se i server DNS specificati supportano il protocollo. Se i server non supportano DoH, verranno eseguite query non crittografate.
Prohibit DoH. Impedisce l'utilizzo di DoH nelle query del client DNS.
Require DoH. Sarà necessario che le query vengano eseguite usando DoH. Se i server DNS configurati non supportano DoH, la risoluzione dei nomi avrà esito negativo.
Non abilitare l'opzione Richiedi doH per i computer aggiunti a un dominio perché Active Directory Domain Services è fortemente dipendente dal DNS perché il servizio Server DNS di Windows Server non supporta le query DoH. Se è necessario che il traffico di query DNS nella rete di Servizi di dominio Active Directory sia crittografato, prendere in considerazione l'implementazione delle regole di sicurezza delle connessioni basate su IPsec per proteggere il traffico. Per altre informazioni, vedere Protezione delle connessioni IPsec end-to-end tramite IKEv2 .
Determinare quali server DoH si trovano nell'elenco dei server noti
Windows Server viene fornito con un elenco di server noti per supportare DoH.
È possibile determinare quali server DNS si trovano in questo elenco usando il Get-DNSClientDohServerAddress cmdlet di PowerShell.
L'elenco predefinito dei server DoH noti è il seguente:
| Server Owner | Indirizzi IP del server DNS |
|---|---|
| Cloudflare | 1.1.1.1 1.0.0.1 2606:4700:4700::1111 2606:4700:4700::1001 |
| 8.8.8.8 8.8.4.4 2001:4860:4860::8888 2001:4860:4860::8844 |
|
| Quad 9 | 9.9.9.9 149.112.112.112 2620:fe::fe 2620:fe::fe:9 |
Aggiungere un nuovo server DoH all'elenco di server noti
È possibile aggiungere nuovi server DoH all'elenco di server noti usando il Add-DnsClientDohServerAddress cmdlet di PowerShell. Specificare l'URL del modello DoH e se consentire al client di eseguire il fallback a una query non crittografata in caso di esito negativo della query protetta. La sintassi di questo comando è:
Add-DnsClientDohServerAddress -ServerAddress '<resolver-IP-address>' -DohTemplate '<resolver-DoH-template>' -AllowFallbackToUdp $False -AutoUpgrade $True
Utilizzare la tabella delle politiche di risoluzione dei nomi con DoH
È possibile usare la tabella dei criteri di risoluzione dei nomi (NRPT) per configurare le query in uno spazio dei nomi DNS specifico per l'uso di un server DNS specifico. Se il server DNS è noto per supportare DoH, le query correlate a tale dominio verranno eseguite usando DoH anziché in modo non crittografato.