Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Windows Server 2022'den başlayarak, DNS istemcisi HTTPS üzerinden DNS 'yi (DoH) destekler. DoH etkinleştirildiğinde, Windows Server'ın DNS istemcisi ile DNS sunucusu arasındaki DNS sorguları düz metin yerine güvenli bir HTTPS bağlantısından geçer. DNS sorgusunu şifrelenmiş bir bağlantı üzerinden geçirerek, güvenilmeyen üçüncü taraflar tarafından araya girilmesine karşı korunur.
DNS istemcisini DoH'yi destekleyecek şekilde yapılandırma
Windows Server istemcisini yalnızca ağ arabirimi için seçilen birincil veya ikincil DNS sunucusu bilinen DoH sunucuları listesindeyse DoH kullanacak şekilde yapılandırabilirsiniz. DNS istemcisini DoH gerektirecek, DoH isteğinde bulunabilecek veya yalnızca geleneksel düz metin DNS sorgularını kullanacak şekilde yapılandırabilirsiniz. DNS istemcisini Masaüstü Deneyimi ile Windows Server'da DoH'yi destekleyecek şekilde yapılandırmak için aşağıdaki adımları uygulayın:
Windows Ayarları denetim masasından Ağ ve İnternet'i seçin.
Ağ ve İnternet sayfasında Ethernet'i seçin.
Ethernet ekranında DoH için yapılandırmak istediğiniz ağ arabirimini seçin.
Ağ ekranında , DNS ayarları'na gidin ve Düzenle düğmesini seçin.
DNS Ayarlarını Düzenleme ekranında, otomatik veya manuel IP ayarları açılır menüsünden Manuel'i seçin. Bu ayar Tercih Edilen DNS ve Alternatif DNS sunucularını yapılandırmanıza olanak tanır. Bu sunucuların adresleri bilinen DoH sunucuları listesinde mevcutsa Tercih Edilen DNS şifrelemesi açılır menü etkinleştirilir. Tercih edilen DNS şifrelemesini ayarlamak için aşağıdaki ayarlar arasından seçim yapabilirsiniz:
Yalnızca şifrelenmiş (HTTPS üzerinden DNS). Bu ayar seçildiğinde, tüm DNS sorgu trafiği HTTPS üzerinden geçer. Bu ayar, DNS sorgu trafiği için en iyi korumayı sağlar. Ancak, hedef DNS sunucusu DoH sorgularını destekleyemediğinde DNS çözümlemesinin gerçekleşmeyeceği anlamına da gelir.
Şifrelenmiş tercih edilir, şifrelenmemiş izin verilir. Bu ayar seçildiğinde, DNS istemcisi DoH kullanmayı dener ve mümkün değilse şifrelenmemiş DNS sorgularına geri döner. Bu ayar DoH özellikli DNS sunucuları için en iyi uyumluluğu sağlar, ancak DNS sorguları DoH'tan düz metne geçirilirse size herhangi bir bildirim sunulmaz.
Yalnızca şifrelenmemiş. Belirtilen DNS sunucusuna gelen tüm DNS sorgu trafiği şifrelenmemiş. Bu ayar, DNS istemcisini geleneksel düz metin DNS sorgularını kullanacak şekilde yapılandırıyor.
DoH ayarlarını DNS istemcisine uygulamak için Kaydet'i seçin.
PowerShell ile Set-DNSClientServerAddress cmdlet'ini kullanarak bir istemci için DNS sunucu adresini yapılandırıyorsanız, DoH ayarı, sunucunun geri dönüş ayarının bilinen DoH hizmeti sunan sunucular tablosunda olup olmadığına bağlıdır. Şu anda Windows Admin Center veya sconfig.cmd kullanarak Windows Server 2022'de DNS istemcisi için DoH ayarlarını yapılandıramazsınız.
Grup İlkesi aracılığıyla DoH'yi yapılandırma
Windows Server 2022 yerel ve etki alanı Grup İlkesi ayarlarında DNS'i HTTPS (DoH) üzerinden yapılandırma ad çözümleme ilkesi bulunur. Dns istemcisini DoH kullanacak şekilde yapılandırmak için kullanabilirsiniz. Bu ilke düğümde Computer Configuration\Policies\Administrative Templates\Network\DNS Client bulunur. Bu ilke etkinleştirildiğinde aşağıdaki ayarlarla yapılandırılabilir:
DoH'a izin ver. Belirtilen DNS sunucuları protokolü destekliyorsa sorgular DoH kullanılarak gerçekleştirilir. Sunucular DoH'yi desteklemiyorsa şifrelenmemiş sorgular verilir.
DoH'un yasaklanması. DNS istemci sorguları ile DoH kullanımını engeller.
DoH gerektir. Sorguların DoH kullanılarak gerçekleştirilmesini gerektirir. Yapılandırılmış DNS sunucuları DoH'yi desteklemiyorsa ad çözümlemesi başarısız olur.
Windows Server DNS Sunucusu hizmeti DoH sorgularını desteklemediğinden Active Directory Etki Alanı Hizmetleri DNS'ye yoğun bir şekilde bağlı olduğundan etki alanına katılmış bilgisayarlar için DoH gerektir seçeneğini etkinleştirmeyin. Active Directory Etki Alanı Hizmetleri ağında DNS sorgu trafiğinin şifrelenmesini istiyorsanız, bu trafiği korumak için IPsec tabanlı bağlantı güvenlik kuralları uygulamayı göz önünde bulundurun. Daha fazla bilgi için bkz. IKEv2 kullanarak uçtan uca IPsec bağlantılarının güvenliğini sağlama.
Bilinen sunucu listesinde hangi DoH sunucularının olduğunu belirleme
Windows Server, DoH'yi desteklediği bilinen sunucuların listesiyle birlikte gönderilir.
PowerShell cmdlet'ini kullanarak bu listede hangi DNS sunucularının Get-DNSClientDohServerAddress olduğunu belirleyebilirsiniz.
Bilinen DoH sunucularının varsayılan listesi aşağıdaki gibidir:
| Sunucu Sahibi | DNS Sunucusu IP Adresleri |
|---|---|
| Cloudflare | 1.1.1.1 1.0.0.1 2606:4700:4700::1111 2606:4700:4700::1001 |
| 8.8.8.8 8.8.4.4 2001:4860:4860::8888 2001:4860:4860::8844 |
|
| Dörtlü 9 | 9.9.9.9 149.112.112.112 2620:fe::fe 2620:fe::fe:9 |
Bilinen sunucular listesine yeni bir DoH sunucusu ekleme
PowerShell cmdlet'ini kullanarak Add-DnsClientDohServerAddress bilinen sunucular listesine yeni DoH sunucuları ekleyebilirsiniz. DoH şablonunun URL'sini ve güvenli sorgunun başarısız olması için istemcinin şifrelenmemiş bir sorguya geri dönmesine izin verip vermeyeceğini belirtin. Bu komutun söz dizimi şöyledir:
Add-DnsClientDohServerAddress -ServerAddress '<resolver-IP-address>' -DohTemplate '<resolver-DoH-template>' -AllowFallbackToUdp $False -AutoUpgrade $True
DoH ile Ad Çözümleme İlkesi Tablosu Kullanma
Belirli bir DNS ad alanına sorguları belirli bir DNS sunucusunu kullanacak şekilde yapılandırmak için Ad Çözümleme İlkesi Tablosu'nu (NRPT) kullanabilirsiniz. DNS sunucusunun DoH'yu desteklediği biliniyorsa, bu etki alanıyla ilgili sorgular şifrelenmemiş bir şekilde değil DoH kullanılarak gerçekleştirilir.