Schützen des DNS-Clients über HTTPS (DoH)

Ab Windows Server 2022 unterstützt der DNS-Client DNS-over-HTTPS (DoH). Wenn DoH aktiviert ist, werden DNS-Abfragen zwischen dem DNS-Client Windows Servers und dem DNS-Server über eine sichere HTTPS-Verbindung übergeben, anstatt nur Text. Indem Sie die DNS-Abfrage über eine verschlüsselte Verbindung übergeben, ist sie von nicht vertrauenswürdigen Drittanbietern geschützt.

Konfigurieren des DNS-Clients zur Unterstützung von DoH

Sie können den Windows Serverclient nur so konfigurieren, dass DoH verwendet wird, wenn der primäre oder sekundäre DNS-Server für die Netzwerkschnittstelle auf der Liste der bekannten DoH-Server ausgewählt ist. Sie können den DNS-Client so konfigurieren, dass DoH, DoH anfordern oder nur herkömmliche DNS-Abfragen verwenden. Führen Sie die folgenden Schritte aus, um den DNS-Client für die Unterstützung von DoH auf Windows Server mit Desktopumgebung zu konfigurieren:

  1. Wählen Sie im Windows Einstellungen-Systemsteuerung netzwerkinterne &Optionen aus.

  2. Wählen Sie auf der & Netzwerk-Internetseite Ethernet aus.

  3. Wählen Sie auf dem Ethernet-Bildschirm die Netzwerkschnittstelle aus, die Sie für DoH konfigurieren möchten.

    screen shot of ethernet settings

  4. Scrollen Sie auf dem Netzwerkbildschirm nach unten zu DNS-Einstellungen , und wählen Sie die Schaltfläche "Bearbeiten " aus.

  5. Wählen Sie auf dem Bildschirm "DNS-Einstellungen bearbeiten" die Option "Manuell" aus der Dropdownliste für automatische oder manuelle IP-Einstellungen aus. Diese Einstellung ermöglicht Es Ihnen, die bevorzugten DNS- und Alternativen DNS-Server zu konfigurieren. Wenn die Adressen dieser Server in der Liste der bekannten DoH-Server vorhanden sind, wird das Dropdown für die bevorzugte DNS-Verschlüsselung aktiviert. Sie können zwischen den folgenden Einstellungen wählen, um die bevorzugte DNS-Verschlüsselung festzulegen:

    • Nur verschlüsselt (DNS über HTTPS). Wenn diese Einstellung ausgewählt wird, werden alle DNS-Abfragedatenverkehr über HTTPS übergeben. Diese Einstellung bietet den besten Schutz für DNS-Abfragedatenverkehr. Es bedeutet jedoch auch, dass die DNS-Auflösung nicht auftritt, wenn der Ziel-DNS-Server doH-Abfragen nicht unterstützen kann.

    • Verschlüsselte bevorzugte, nicht verschlüsselte Zulässige. Wenn diese Einstellung ausgewählt wird, versucht der DNS-Client, DoH zu verwenden und dann auf nicht verschlüsselte DNS-Abfragen zurückzugreifen, wenn dies nicht möglich ist. Diese Einstellung bietet die beste Kompatibilität für doH-fähige DNS-Server, aber Sie werden keine Benachrichtigungen erhalten, wenn DNS-Abfragen von DoH zu Nur-Text wechseln.

    • Nur unverschlüsselt. Der gesamte DNS-Abfragedatenverkehr an den angegebenen DNS-Server ist nicht verschlüsselt. Diese Einstellung konfiguriert den DNS-Client, um herkömmliche NUR-Text-DNS-Abfragen zu verwenden.

      screen shot of dns settings

  6. Wählen Sie "Speichern" aus, um die DoH-Einstellungen auf den DNS-Client anzuwenden.

Wenn Sie die DNS-Serveradresse für einen Client mit PowerShell mithilfe des Set-DNSClientServerAddress Cmdlets konfigurieren, hängt die DoH-Einstellung davon ab, ob sich die Fallbackeinstellung des Servers in der Liste der bekannten DoH-Servertabelle befindet. Derzeit können Sie doH-Einstellungen für den DNS-Client auf Windows Server 2022 nicht mit Windows Admin Center oder sconfig.cmd konfigurieren.

Konfigurieren von DoH über Gruppenrichtlinie

Windows Server 2022 lokale und Domänen-Gruppenrichtlinie Einstellungen enthalten die Richtlinien zur Auflösung von DNS über HTTPS (DoH). Sie können es verwenden, um den DNS-Client zu konfigurieren, um DoH zu verwenden. Diese Richtlinie befindet sich im Computer Configuration\Policies\Administrative Templates\Network\DNS Client Knoten. Wenn diese Richtlinie aktiviert ist, kann diese Richtlinie mit den folgenden Einstellungen konfiguriert werden:

  • DoH zulassen. Abfragen werden mithilfe von DoH ausgeführt, wenn die angegebenen DNS-Server das Protokoll unterstützen. Wenn die Server DoH nicht unterstützen, werden nicht verschlüsselte Abfragen ausgestellt.

  • DoH verbieten. Verhindert die Verwendung von DoH mit DNS-Clientabfragen.

  • Benötigen Sie DoH. Erfordert, dass Abfragen mithilfe von DoH ausgeführt werden. Wenn konfigurierte DNS-Server DoH nicht unterstützen, schlägt die Namensauflösung fehl.

    screenshot of dns configuration

Aktivieren Sie die Option "DoH erfordern" für Domänenmitgliedscomputer nicht, da Active Directory Domain Services stark von DNS abhängig ist, da der Windows Server-DNS-Serverdienst doH-Abfragen nicht unterstützt. Wenn Sie DNS-Abfragedatenverkehr auf Active Directory Domain Services Netzwerk verschlüsseln müssen, sollten Sie IPsec basierende Verbindungssicherheitsregeln implementieren, um diesen Datenverkehr zu schützen. Weitere Informationen finden Sie unter Sichern von End-to-End-IPsec-Verbindungen mithilfe von IKEv2 .

Bestimmen Sie, welche DoH-Server in der Liste der bekannten Server enthalten sind.

Windows Server enthält eine Liste von Servern, die bekannt sind, DoH zu unterstützen. Mithilfe des Get-DNSClientDohServerAddress PowerShell-Cmdlets können Sie bestimmen, welche DNS-Server in dieser Liste vorhanden sind.

screenshot of powershell command

Die Standardliste bekannter DoH-Server lautet wie folgt:

Serverbesitzer DNS Server-IP-Adressen
Cloudflare 1.1.1.1
1.0.0.1
2606:4700:4700::1111
2606:4700:4700::1001
Google 8.8.8.8
8.8.4.4
2001:4860:4860::8888
2001:4860:4860::8844
Quad 9 9.9.9.9
149.112.112.112
2620:fe::fe
2620:fe::fe:9

Hinzufügen eines neuen DoH-Servers zur Liste bekannter Server

Sie können neue DoH-Server zur Liste der bekannten Server mithilfe des Add-DnsClientDohServerAddress PowerShell-Cmdlets hinzufügen. Geben Sie die URL der DoH-Vorlage an, und ob der Client zu einer nicht verschlüsselten Abfrage zurückkehren kann, sollte die sichere Abfrage fehlschlagen. Die Syntax des Befehls lautet wie folgt:

Add-DnsClientDohServerAddress -ServerAddress '<resolver-IP-address>' -DohTemplate '<resolver-DoH-template>' -AllowFallbackToUdp $False -AutoUpgrade $True

Verwenden der Tabelle "Namenauflösungsrichtlinie" mit DoH

Mithilfe der Namenauflösungsrichtlinie (NRPT) können Sie Abfragen für einen bestimmten DNS-Namespace konfigurieren, um einen bestimmten DNS-Server zu verwenden. Wenn der DNS-Server bekannt ist, um DoH zu unterstützen, werden Abfragen im Zusammenhang mit dieser Domäne mithilfe von DoH ausgeführt, anstatt auf nicht verschlüsselte Weise.