HTTPS를 통한 DNS 클라이언트 보안(DoH)
Windows Server 2022부터 DNS 클라이언트는 DoH(DNS-over-HTTPS)를 지원합니다. DoH를 사용하도록 설정하면 Windows Server의 DNS 클라이언트와 DNS 서버 간의 DNS 쿼리가 일반 텍스트가 아닌 보안 HTTPS 연결을 통해 전달됩니다. 암호화된 연결을 통해 DNS 쿼리를 전달하면 신뢰할 수 없는 제3자에 의한 가로채기로부터 보호됩니다.
DoH를 지원하도록 DNS 클라이언트 구성
네트워크 인터페이스에 대해 선택한 기본 또는 보조 DNS 서버가 알려진 DoH 서버 목록에 있는 경우에만 DoH를 사용하도록 Windows Server 클라이언트를 구성할 수 있습니다. DoH를 요구하거나 DoH를 요청하거나 기존 일반 텍스트 DNS 쿼리만 사용하도록 DNS 클라이언트를 구성할 수 있습니다. 데스크톱 환경이 있는 Windows Server에서 DoH를 지원하도록 DNS 클라이언트를 구성하려면 다음 단계를 수행합니다.
Windows 설정 제어판에서 네트워크 & 인터넷을 선택합니다.
네트워크 & 인터넷 페이지에서 이더넷을 선택합니다.
이더넷 화면에서 DoH에 대해 구성하려는 네트워크 인터페이스를 선택합니다.
네트워크 화면에서 DNS 설정까지 아래로 스크롤하고 편집 단추를 선택합니다.
DNS 설정 편집 화면의 자동 또는 수동 IP 설정 드롭다운에서 수동을 선택합니다. 이 설정을 사용하면 기본 설정 DNS 및 대체 DNS 서버를 구성할 수 있습니다. 이러한 서버의 주소가 알려진 DoH 서버 목록에 있는 경우 기본 설정 DNS 암호화 드롭다운이 사용하도록 설정됩니다. 다음 설정 중에서 선택하여 기본 DNS 암호화를 설정할 수 있습니다.
암호화된 경우에만(HTTPS를 통한 DNS) 이 설정을 선택하면 모든 DNS 쿼리 트래픽이 HTTPS를 통해 전달됩니다. 이 설정은 DNS 쿼리 트래픽을 최상으로 보호합니다. 그러나 대상 DNS 서버가 DoH 쿼리를 지원할 수 없는 경우에도 DNS를 확인하지 않음을 의미합니다.
암호화된 기본 설정, 암호화되지 않은 허용 이 설정을 선택하면 DNS 클라이언트는 DoH를 사용한 다음 암호화되지 않은 DNS 쿼리로 대체합니다(가능하지 않은 경우). 이 설정은 DoH 지원 DNS 서버에 가장 적합한 호환성을 제공하지만 DNS 쿼리가 DoH에서 일반 텍스트로 전환되는 경우 알림이 제공되지 않습니다.
암호화되지 않은 경우에만 지정된 DNS 서버에 대한 모든 DNS 쿼리 트래픽이 암호화되지 않습니다. 이 설정은 기존 일반 텍스트 DNS 쿼리를 사용하도록 DNS 클라이언트를 구성합니다.
저장을 선택하여 DNS 클라이언트에 DoH 설정을 적용합니다.
Set-DNSClientServerAddress cmdlet PowerShell을 사용하여 클라이언트에 대한 DNS 서버 주소를 구성하는 경우 DoH 설정은 서버의 대체 설정이 알려진 DoH 서버 테이블 목록에 있는지 여부에 따라 달라집니다. 현재 Windows Admin Center 또는 sconfig.cmd를 사용하여 Windows Server 2022에서 DNS 클라이언트에 대한 DoH 설정을 구성할 수 없습니다.
그룹 정책을 통해 DoH 구성
Windows Server 2022 로컬 및 도메인 그룹 정책 설정에는 DoH(DNS-over-HTTPS) 이름 확인 구성 정책이 포함됩니다. DoH를 사용하도록 DNS 클라이언트를 구성하는 데 사용할 수 있습니다. 이 정책은 Computer Configuration\Policies\Administrative Templates\Network\DNS Client 노드에서 찾을 수 있습니다. 사용하도록 설정하면 다음 설정을 사용하여 이 정책을 구성할 수 있습니다.
DoH 허용 지정된 DNS 서버가 프로토콜을 지원하는 경우 DoH를 사용하여 쿼리를 수행합니다. 서버가 DoH를 지원하지 않는 경우 암호화되지 않은 쿼리가 수행됩니다.
DoH 금지 DNS 클라이언트 쿼리와 함께 DoH를 사용할 수 없습니다.
DoH 필요 DoH를 사용하여 쿼리를 수행해야 합니다. 구성된 DNS 서버가 DoH를 지원하지 않는 경우 이름 확인에 실패합니다.
Windows Server DNS 서버 서비스가 DoH 쿼리를 지원하지 않으므로 Active Directory Domain Services가 DNS에 크게 의존하기 때문에 도메인에 조인된 컴퓨터에 DoH 필요 옵션을 사용하도록 설정하지 마세요. Active Directory Domain Services 네트워크의 DNS 쿼리 트래픽을 암호화해야 하는 경우 이 트래픽을 보호하기 위해 IPsec 기반 연결 보안 규칙을 구현하는 것이 좋습니다. 자세한 내용은 IKEv2를 사용하여 엔드투엔드 IPsec 연결 보안을 참조하세요.
알려진 서버 목록에 있는 DoH 서버 확인
Windows Server는 DoH를 지원하는 것으로 알려진 서버 목록과 함께 제공됩니다.
Get-DNSClientDohServerAddress PowerShell cmdlet을 사용하여 이 목록에 있는 DNS 서버를 확인할 수 있습니다.
알려진 DoH 서버의 기본 목록은 다음과 같습니다.
| 서버 소유자 | DNS 서버 IP 주소 |
|---|---|
| Cloudflare | 1.1.1.1 1.0.0.1 2606:4700:4700::1111 2606:4700:4700::1001 |
| 8.8.8.8 8.8.4.4 2001:4860:4860::8888 2001:4860:4860::8844 |
|
| 쿼드 9 | 9.9.9.9 149.112.112.112 2620:fe::fe 2620:fe::fe:9 |
알려진 서버 목록에 새 DoH 서버 추가
Add-DnsClientDohServerAddress PowerShell cmdlet을 사용하여 알려진 서버 목록에 새 DoH 서버를 추가할 수 있습니다. DoH 템플릿의 URL을 지정하고 보안 쿼리에 실패할 경우 클라이언트가 암호화되지 않은 쿼리로 대체되도록 허용할지 여부를 지정합니다. 이 명령의 구문은 다음과 같습니다.
Add-DnsClientDohServerAddress -ServerAddress '<resolver-IP-address>' -DohTemplate '<resolver-DoH-template>' -AllowFallbackToUdp $False -AutoUpgrade $True
DoH와 함께 이름 확인 정책 테이블 사용
NRPT(이름 확인 정책 테이블)를 사용하여 특정 DNS 서버를 사용하도록 특정 DNS 네임스페이스에 대한 쿼리를 구성할 수 있습니다. DNS 서버가 DoH를 지원하는 것으로 알려진 경우 해당 도메인과 관련된 쿼리는 암호화되지 않은 방식이 아닌 DoH를 사용하여 수행됩니다.