Delen via


DNS-client beveiligen via HTTPS (DoH)

Vanaf Windows Server 2022 ondersteunt de DNS-client DNS-over-HTTPS (DoH). Wanneer DoH is ingeschakeld, worden DNS-query's tussen de DNS-client van Windows Server en de DNS-server doorgegeven via een beveiligde HTTPS-verbinding in plaats van in tekst zonder opmaak. Door de DNS-query door te geven aan een versleutelde verbinding, wordt deze beveiligd tegen onderschepping door niet-vertrouwde derden.

De DNS-client configureren ter ondersteuning van DoH

U kunt de Windows Server-client alleen configureren voor het gebruik van DoH als de primaire of secundaire DNS-server die is geselecteerd voor de netwerkinterface zich in de lijst met bekende DoH-servers bevindt. U kunt de DNS-client configureren om DoH te vereisen, DoH aan te vragen of alleen traditionele DNS-query's zonder opmaak te gebruiken. Voer de volgende stappen uit om de DNS-client te configureren voor ondersteuning van DoH op Windows Server met Bureaubladervaring:

  1. Selecteer Netwerk & Internet in het configuratiescherm Windows-instellingen.

  2. On the Network & Internet page, select Ethernet.

  3. Selecteer op het Ethernet-scherm de netwerkinterface die u wilt configureren voor DoH.

    schermafbeelding van Ethernet-instellingen

  4. On the Network screen, scroll down to DNS settings and select the Edit button.

  5. Selecteer in het scherm DNS-instellingen bewerken de optie Handmatig in de vervolgkeuzelijst automatische of handmatige IP-instellingen. Met deze instelling kunt u de voorkeurs-DNS- en alternatieve DNS-servers configureren. Als de adressen van deze servers aanwezig zijn in de lijst met bekende DoH-servers, wordt de vervolgkeuzelijst Voorkeurs-DNS-versleuteling ingeschakeld. U kunt kiezen tussen de volgende instellingen om de voorkeurs-DNS-versleuteling in te stellen:

    • Alleen versleuteld (DNS via HTTPS). Wanneer deze instelling is gekozen, wordt al het DNS-queryverkeer via HTTPS doorgegeven. Deze instelling biedt de beste beveiliging voor DNS-queryverkeer. Dit betekent echter ook dat DNS-omzetting niet plaatsvindt als de doel-DNS-server geen ondersteuning biedt voor DoH-query's.

    • Versleutelde voorkeur, niet-versleuteld toegestaan. Wanneer deze instelling is gekozen, probeert de DNS-client DoH te gebruiken en vervolgens terug te vallen op niet-versleutelde DNS-query's als dat niet mogelijk is. Deze instelling biedt de beste compatibiliteit voor DNS-servers die geschikt zijn voor DoH, maar u ontvangt geen melding als DNS-query's worden overgeschakeld van DoH naar tekst zonder opmaak.

    • Unencrypted only. Al het DNS-queryverkeer naar de opgegeven DNS-server is niet versleuteld. Met deze instelling configureert u de DNS-client voor het gebruik van traditionele DNS-query's zonder opmaak.

      schermafbeelding van DNS-instellingen

  6. Select Save to apply the DoH settings to the DNS client.

Als u het DNS-serveradres voor een client configureert met behulp van PowerShell met behulp van de Set-DNSClientServerAddress cmdlet, is de DoH-instelling afhankelijk van of de terugvalinstelling van de server in de lijst met bekende DoH-serverstabel staat. At present you can't configure DoH settings for the DNS client on Windows Server 2022 using Windows Admin Center or sconfig.cmd.

DoH configureren via groepsbeleid

Instellingen voor lokaal en domeingroepsbeleid voor Windows Server 2022 bevatten de beleidsregel DNS over HTTPS (DoH) configureren voor naamresolutie. U kunt deze gebruiken om de DNS-client te configureren voor het gebruik van DoH. Dit beleid wordt gevonden in het Computer Configuration\Policies\Administrative Templates\Network\DNS Client knooppunt. Wanneer dit beleid is ingeschakeld, kan dit beleid worden geconfigureerd met de volgende instellingen:

  • Allow DoH. Query's worden uitgevoerd met DoH als de opgegeven DNS-servers het protocol ondersteunen. Als de servers DoH niet ondersteunen, worden niet-versleutelde query's uitgegeven.

  • Prohibit DoH. Hiermee voorkomt u het gebruik van DoH met DNS-clientquery's.

  • Require DoH. Vereist dat query's worden uitgevoerd via DoH. Als geconfigureerde DNS-servers geen ondersteuning bieden voor DoH, mislukt de naamomzetting.

    schermopname van dns-configuratie.

Schakel de optie DoH vereisen niet in voor computers die lid zijn van een domein, omdat Active Directory Domain Services sterk afhankelijk is van DNS, omdat de Windows Server DNS Server-service geen ondersteuning biedt voor DoH-query's. Als u wilt dat DNS-queryverkeer op het Active Directory Domain Services-netwerk moet worden versleuteld, kunt u overwegen om op IPsec gebaseerde verbindingsbeveiligingsregels te implementeren om dit verkeer te beveiligen. Zie End-to-End IPsec-verbindingen beveiligen met BEHULP van IKEv2 voor meer informatie.

Bepalen welke DoH-servers zich in de lijst met bekende servers bevinden

Windows Server wordt geleverd met een lijst met servers die bekend zijn om DoH te ondersteunen. U kunt bepalen welke DNS-servers in deze lijst staan met behulp van de Get-DNSClientDohServerAddress PowerShell-cmdlet.

schermopname van powershell-opdracht

De standaardlijst met bekende DoH-servers is als volgt:

Server Owner IP-adressen van DNS-server
Cloudflare 1.1.1.1
1.0.0.1
2606:4700:4700::1111
2606:4700:4700::1001
Google 8.8.8.8
8.8.4.4
2001:4860:4860::8888
2001:4860:4860::8844
Quad 9 9.9.9.9
149.112.112.112
2620:fe::fe
2620:fe::fe:9

Een nieuwe DoH-server toevoegen aan de lijst met bekende servers

U kunt nieuwe DoH-servers toevoegen aan de lijst met bekende servers met behulp van de Add-DnsClientDohServerAddress PowerShell-cmdlet. Geef de URL van de DoH-sjabloon op en of u de client toestaat terug te vallen op een niet-versleutelde query als de beveiligde query mislukt. De syntaxis van deze opdracht is:

Add-DnsClientDohServerAddress -ServerAddress '<resolver-IP-address>' -DohTemplate '<resolver-DoH-template>' -AllowFallbackToUdp $False -AutoUpgrade $True

Naamomzettingsbeleidstabel gebruiken met DoH

U kunt de NRPT (Name Resolution Policy Table) gebruiken om query's te configureren voor een specifieke DNS-naamruimte om een specifieke DNS-server te gebruiken. Als de DNS-server doH ondersteunt, worden query's met betrekking tot dat domein uitgevoerd met doH in plaats van op een niet-versleutelde manier.