Protección de un cliente DNS en HTTPS (DoH)
A partir de Windows Server 2022, el cliente DNS admite DNS sobre HTTPS (DoH). Cuando DoH está habilitado, las consultas de DNS entre el cliente DNS de Windows Server y el servidor DNS pasan a través de una conexión HTTPS segura en lugar de en texto sin formato. Al pasar la consulta de DNS a través de una conexión cifrada, esta está protegida contra la interceptación de terceros que no son de confianza.
Configuración del cliente DNS para admitir DoH
Solo puede configurar el cliente de Windows Server para usar DoH si el servidor DNS primario o secundario seleccionado para la interfaz de red está en la lista de servidores DoH conocidos. Puede configurar el cliente DNS para requerir DoH, solicitar DoH o usar solo consultas de DNS de texto sin formato tradicionales. Para configurar el cliente DNS para que admita DoH en Windows Server con experiencia de escritorio, siga estos pasos:
En el panel de control Configuración de Windows, seleccione Red e Internet.
En la página Red e Internet, seleccione Ethernet.
En la pantalla Ethernet, seleccione la interfaz de red que desea configurar para DoH.
En la pantalla Red, desplácese hacia abajo hasta Configuración de DNS y seleccione el botón Editar.
En la pantalla Editar configuración de DNS, seleccione Manual en el menú desplegable de configuración de IP automática o manual. Esta configuración le permite configurar los servidores DNS preferidos y DNS alternativos. Si las direcciones de estos servidores se encuentran en la lista de servidores DoH conocidos, se habilitará la lista desplegable Cifrado DNS preferido. Puede elegir entre la siguiente configuración para establecer el cifrado DNS preferido:
Solo cifrado (DNS a través de HTTPS). Cuando se elige esta configuración, todo el tráfico de consulta de DNS pasará a través de HTTPS. Esta configuración proporciona la mejor protección para el tráfico de consultas de DNS. Sin embargo, también significa que la resolución DNS no se producirá si el servidor DNS de destino no puede admitir consultas DoH.
Se admiten cifrados preferidos y sin cifrar. Cuando se elige esta configuración, el cliente DNS intentará usar DoH y, a continuación, revertirá a las consultas de DNS sin cifrar si no es posible. Esta configuración proporciona la mejor compatibilidad para los servidores DNS compatibles con DoH, pero no se le proporcionará ninguna notificación si las consultas de DNS se cambian de DoH a texto sin formato.
Solo sin cifrar. Todo el tráfico de consulta de DNS al servidor DNS especificado no está cifrado. Esta configuración establece al cliente DNS para usar consultas de DNS de texto sin formato tradicionales.
Seleccione Guardar para aplicar la configuración de DoH al cliente DNS.
Si va a configurar la dirección del servidor DNS para un cliente mediante PowerShell mediante el cmdlet Set-DNSClientServerAddress, la configuración DoH dependerá de si la configuración de reserva del servidor está en la lista de la tabla de servidores DoH conocidos. En la actualidad, no se pueden configurar las opciones de DoH para el cliente DNS en Windows Server 2022 mediante Windows Admin Center o sconfig.cmd.
Configuración de DoH a través de directiva de grupo
La configuración de la directiva de grupo local y de dominio de Windows Server 2022 incluye la directiva de resolución de nombres Configurar DNS sobre HTTPS (DoH). Puede usarlo para configurar el cliente DNS para que use DoH. Esta directiva se encuentra en el nodo Computer Configuration\Policies\Administrative Templates\Network\DNS Client. Cuando está habilitada, esta directiva se puede configurar con las siguientes opciones:
Permitir DoH. Las consultas se realizarán mediante DoH si los servidores DNS especificados admiten el protocolo. Si los servidores no admiten DoH, se emitirán consultas no cifradas.
Prohibir DoH. Impedirá el uso de DoH con consultas de cliente DNS.
Requerir DoH. Requerirá que las consultas se realicen mediante DoH. Si los servidores DNS configurados no admiten DoH, se producirá un error en la resolución de nombres.
No habilites la opción Requerir DoH para equipos unidos a un dominio, ya que Active Directory Domain Services depende en gran medida de DNS porque el servicio Servidor DNS de Windows Server no admite consultas DoH. Si necesita cifrar el tráfico de consulta de DNS en Servicios de dominio de Active Directory red, considere implementar reglas de seguridad de conexión basadas en IPsec para proteger este tráfico. Consulte Protección de conexiones IPsec de un extremo a otro mediante IKEv2 para obtener más información.
Determinar qué servidores DoH están en la lista de servidores conocidos
Windows Server se incluye con una lista de servidores que se conoce que admiten DoH.
Puede determinar qué servidores DNS están en esta lista mediante el cmdlet Get-DNSClientDohServerAddress PowerShell.
La lista predeterminada de servidores DoH conocidos es la siguiente:
| Propietario del servidor | Direcciones IP del servidor DNS |
|---|---|
| Cloudflare | 1.1.1.1 1.0.0.1 2606:4700:4700::1111 2606:4700:4700::1001 |
| 8.8.8.8 8.8.4.4 2001:4860:4860::8888 2001:4860:4860::8844 |
|
| Quad 9 | 9.9.9.9 149.112.112.112 2620:fe::fe 2620:fe::fe:9 |
Agrega un nuevo servidor DoH a la lista de servidores conocidos
Puede agregar nuevos servidores DoH a la lista de servidores conocidos mediante el cmdlet Add-DnsClientDohServerAddress de PowerShell. Especifique la dirección URL de la plantilla DoH y si permitirá que el cliente vuelva a una consulta sin cifrar si se produce un error en la consulta segura. La sintaxis de este comando es:
Add-DnsClientDohServerAddress -ServerAddress '<resolver-IP-address>' -DohTemplate '<resolver-DoH-template>' -AllowFallbackToUdp $False -AutoUpgrade $True
Uso de la tabla de directivas de resolución de nombres con DoH
Puede usar la tabla de directivas de resolución de nombres (NRPT) para configurar consultas en un espacio de nombres DNS específico para usar un servidor DNS específico. Si se sabe que el servidor DNS admite DoH, las consultas relacionadas con ese dominio se realizarán mediante DoH en lugar de usar una forma no cifrada.