Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Począwszy od systemu Windows Server 2022, klient DNS obsługuje system DNS over-HTTPS (DoH). Po włączeniu funkcji DoH zapytania DNS między klientem DNS systemu Windows Server a serwerem DNS przechodzą przez bezpieczne połączenie HTTPS, a nie w postaci zwykłego tekstu. Przekazując zapytanie DNS przez zaszyfrowane połączenie, jest ono chronione przed przechwyceniem przez niezaufane osoby trzecie.
Konfigurowanie klienta DNS do obsługi platformy DoH
Klienta systemu Windows Server można skonfigurować tylko do używania serwera DoH, jeśli podstawowy lub pomocniczy serwer DNS wybrany dla interfejsu sieciowego znajduje się na liście znanych serwerów DoH. Można skonfigurować klienta DNS tak, aby wymagał użycia DoH, zażądał użycia DoH lub używał tylko tradycyjnych zapytań DNS przesyłanych w postaci zwykłego tekstu. Aby skonfigurować klienta DNS do obsługi platformy DoH w systemie Windows Server z funkcją Środowisko pulpitu, wykonaj następujące kroki:
W panelu sterowania Ustawienia systemu Windows wybierz pozycję Sieć i Internet.
On the Network & Internet page, select Ethernet.
Na ekranie Ethernet wybierz interfejs sieciowy, który chcesz skonfigurować dla usługi DoH.
On the Network screen, scroll down to DNS settings and select the Edit button.
Na ekranie Edytowanie ustawień DNS wybierz opcję Ręcznie z listy rozwijanej ustawień IP: automatycznych lub ręcznych. To ustawienie umożliwia skonfigurowanie preferowanych serwerów DNS i alternatywnych serwerów DNS. Jeśli adresy tych serwerów znajdują się na liście znanych serwerów DoH, zostanie włączona lista rozwijana Preferowane szyfrowanie DNS . Możesz wybrać między następującymi ustawieniami, aby ustawić preferowane szyfrowanie DNS:
Tylko zaszyfrowany (DNS za pośrednictwem protokołu HTTPS). Po wybraniu tego ustawienia cały ruch zapytań DNS będzie przekazywany przez protokół HTTPS. To ustawienie zapewnia najlepszą ochronę ruchu zapytań DNS. Jednak oznacza to również, że rozpoznawanie nazw DNS nie będzie miało miejsca, jeśli celowy serwer DNS nie może obsługiwać zapytań DoH.
Zaszyfrowane preferowane, niezaszyfrowane dozwolone. Po wybraniu tego ustawienia klient DNS podejmie próbę użycia usługi DoH, a następnie powróci do niezaszyfrowanych zapytań DNS, jeśli nie jest to możliwe. To ustawienie zapewnia najlepszą zgodność serwerów DNS z obsługą platformy DoH, ale nie otrzymasz żadnego powiadomienia, jeśli zapytania DNS zostaną przełączone z usługi DoH na zwykły tekst.
Unencrypted only. Cały ruch zapytań DNS do określonego serwera DNS jest niezaszyfrowany. To ustawienie umożliwia skonfigurowanie klienta DNS do używania tradycyjnych zapytań DNS w postaci zwykłego tekstu.
Select Save to apply the DoH settings to the DNS client.
Jeśli konfigurujesz adres serwera DNS dla klienta w programie PowerShell za pomocą polecenia Set-DNSClientServerAddress
cmdlet, ustawienie DoH będzie zależeć od tego, czy ustawienie rezerwowe serwera znajduje się w tabeli znanych serwerów DoH. At present you can't configure DoH settings for the DNS client on Windows Server 2022 using Windows Admin Center or sconfig.cmd.
Konfigurowanie platformy DoH za pomocą zasad grupy
Ustawienia zasad grupy lokalnych i domenowych systemu Windows Server 2022 obejmują zasady dotyczące konfigurowania rozwiązywania nazw DNS za pośrednictwem protokołu HTTPS (DoH). Można go użyć do skonfigurowania klienta DNS do korzystania z usługi DoH. Te zasady znajdują się w węźle Computer Configuration\Policies\Administrative Templates\Network\DNS Client
. Po włączeniu tej zasady można skonfigurować za pomocą następujących ustawień:
Allow DoH. Zapytania będą wykonywane przy użyciu platformy DoH, jeśli określone serwery DNS obsługują protokół. Jeśli serwery nie obsługują wsparcia DoH, zostaną wysłane zapytania nieszyfrowane.
Prohibit DoH. Zapobiegnie używaniu protokołu DoH przy zapytaniach klienta DNS.
Require DoH. Będzie wymagać, aby zapytania były wykonywane przy użyciu DoH. Jeśli skonfigurowane serwery DNS nie obsługują systemu DoH, rozpoznawanie nazw zakończy się niepowodzeniem.
Nie włączaj opcji Wymagaj doH dla komputerów przyłączonych do domeny, ponieważ usługi Active Directory Domain Services są w dużym stopniu uzależnione od systemu DNS, ponieważ usługa DNS Server systemu Windows Server nie obsługuje zapytań DoH. Jeśli chcesz, aby ruch zapytań DNS w sieci usług Domenowych Active Directory był szyfrowany, rozważ zaimplementowanie reguł zabezpieczeń połączeń opartych na protokole IPsec w celu ochrony tego ruchu. Aby uzyskać więcej informacji, zobacz Zabezpieczanie pełnych połączeń IPsec przy użyciu protokołu IKEv2 .
Określanie, które serwery DoH znajdują się na znanej liście serwerów
System Windows Server jest dostarczany z listą serwerów, które są znane z obsługi DoH.
Aby określić, które serwery DNS znajdują się na tej liście, można użyć Get-DNSClientDohServerAddress
polecenia cmdlet programu PowerShell.
Domyślna lista znanych serwerów DoH jest następująca:
Server Owner | Adresy IP serwera DNS |
---|---|
Cloudflare | 1.1.1.1 1.0.0.1 2606:4700:4700::1111 2606:4700:4700::1001 |
8.8.8.8 8.8.4.4 2001:4860:4860::8888 2001:4860:4860::8844 |
|
Quad 9 | 9.9.9.9 149.112.112.112 2620:fe::fe 2620:fe::fe:9 |
Dodawanie nowego serwera DoH do listy znanych serwerów
Nowe serwery DoH można dodać do listy znanych serwerów przy użyciu Add-DnsClientDohServerAddress
polecenia cmdlet programu PowerShell. Określ adres URL szablonu Usługi DoH i określ, czy zezwolisz klientowi na powrót do niezaszyfrowanego zapytania, jeśli bezpieczne zapytanie nie powiedzie się. Składnia tego polecenia to:
Add-DnsClientDohServerAddress -ServerAddress '<resolver-IP-address>' -DohTemplate '<resolver-DoH-template>' -AllowFallbackToUdp $False -AutoUpgrade $True
Użyj tabeli zasad rozpoznawania nazw z DoH
Możesz użyć tabeli zasad rozpoznawania nazw (NRPT), aby skonfigurować zapytania do określonej przestrzeni nazw DNS do korzystania z określonego serwera DNS. Jeśli serwer DNS jest znany z obsługi platformy DoH, zapytania związane z tej domeny będą wykonywane przy użyciu platformy DoH, a nie w sposób niezaszyfrowany.