Client DNS sécurisé sur HTTPS (DoH)

à compter de Windows Server 2022, le client dns prend en charge le protocole dns-sur-https (DoH). lorsque DoH est activé, les requêtes DNS entre ’ le client dns du serveur Windows et le serveur dns passent via une connexion https sécurisée plutôt qu’en texte brut. En passant la requête DNS sur une connexion chiffrée, elle est protégée contre l’interception par des tiers non approuvés.

Configuration du client DNS pour prendre en charge DoH

vous pouvez uniquement configurer le client Windows Server de sorte qu’il utilise DoH si le serveur DNS principal ou secondaire sélectionné pour l’interface réseau figure dans la liste des serveurs DoH connus. Vous pouvez configurer le client DNS pour exiger des DoH, demander des DoH ou utiliser uniquement des requêtes DNS de texte brut traditionnelles. pour configurer le client DNS afin qu’il prenne en charge DoH sur Windows Server avec expérience utilisateur, procédez comme suit :

  1. dans le Windows Paramètres panneau de configuration, sélectionnez réseau Internet.

  2. Sur la & page Internet réseau, sélectionnez &.

  3. Sur l’écran Ethernet, sélectionnez l’interface réseau que vous souhaitez configurer pour DoH.

    screen shot of ethernet settings

  4. Dans l’écran réseau, faites défiler l’écran jusqu’à paramètres DNS , puis cliquez sur le bouton modifier .

  5. Dans l’écran modifier les paramètres DNS, sélectionnez manuel dans la liste déroulante paramètres IP automatique ou manuel. Ce paramètre vous permet de configurer les serveurs DNS et secondaires DNS préférés. Si les adresses de ces serveurs sont présentes dans la liste des serveurs DoH connus, la liste déroulante de chiffrement DNS par défaut est activée. Vous pouvez choisir entre les paramètres suivants pour définir le chiffrement DNS préféré :

    • Chiffré uniquement (DNS sur https). Lorsque ce paramètre est choisi, tout le trafic des requêtes DNS passe via HTTPs. Ce paramètre fournit la meilleure protection du trafic des requêtes DNS. Toutefois, cela signifie également que la résolution DNS ne se produit pas si le serveur DNS cible ne peut pas prendre en charge les requêtes DoH.

    • Le chiffrement par défaut, non chiffré, est autorisé. Lorsque ce paramètre est choisi, le client DNS tente d’utiliser DoH, puis revient aux requêtes DNS non chiffrées si cela n’est pas possible. Ce paramètre fournit la meilleure compatibilité pour les serveurs DNS compatibles DoH, mais vous ne disposez d’aucune notification si les requêtes DNS sont basculées de DoH à texte brut.

    • Non chiffré uniquement. Tout le trafic de requête DNS vers le serveur DNS spécifié n’est pas chiffré. Ce paramètre configure le client DNS pour qu’il utilise des requêtes DNS classiques en texte brut.

      screen shot of dns settings

  6. Sélectionnez Enregistrer pour appliquer les paramètres DOH au client DNS.

Si vous configurez l’adresse du serveur DNS pour un client à l’aide de PowerShell à l’aide de l' Set-DNSClientServerAddress applet de commande, le paramètre DOH varie selon que le ’ paramètre de secours du serveur figure ou non dans la liste des tables des serveurs DOH connus. à l’heure actuelle, vous ne pouvez pas configurer les paramètres DoH pour le client DNS sur Windows Server 2022 à l’aide de Windows centre d’administration ou de sconfig. cmd.

Configuration de DoH à l’aide de stratégie de groupe

les paramètres locaux et de stratégie de groupe de domaine Windows Server 2022 incluent la stratégie de résolution de noms configurer DNS sur https (DoH) . Vous pouvez l’utiliser pour configurer le client DNS afin qu’il utilise DoH. Cette stratégie se trouve dans le Computer Configuration\Policies\Administrative Templates\Network\DNS Client nœud. Lorsqu’elle est activée, cette stratégie peut être configurée avec les paramètres suivants :

  • Autoriser DOH. Les requêtes sont exécutées à l’aide de DoH si les serveurs DNS spécifiés prennent en charge le protocole. Si les serveurs ne prennent pas en charge DoH, les requêtes non chiffrées seront émises.

  • Interdire DOH. Empêchera l’utilisation de DoH avec des requêtes de client DNS.

  • Exiger DOH. Requiert l’exécution de requêtes à l’aide de DoH. Si les serveurs DNS configurés ne prennent pas en charge DoH, la résolution de noms échoue.

    screenshot of dns configuration

n’activez pas l’option Require DoH pour les ordinateurs joints à un domaine, car Active Directory Domain Services s’appuie fortement sur DNS car le service serveur DNS Windows server ne prend pas en charge les requêtes DoH. Si vous avez besoin d’un trafic de requête DNS sur Active Directory Domain Services réseau à chiffrer, envisagez d’implémenter des règles de sécurité de connexion basées sur IPsec pour protéger ce trafic. Pour plus d’informations , consultez Sécurisation des connexions IPSec de bout en bout à l’aide de IKEv2 .

Déterminer quels serveurs DoH figurent dans la liste des serveurs connus

Windows Server est fourni avec une liste de serveurs connus pour prendre en charge DoH. Vous pouvez déterminer les serveurs DNS répertoriés dans cette liste à l’aide de l’applet de commande Get-DNSClientDohServerAddress PowerShell.

screenshot of powershell command

La liste par défaut des serveurs DoH connus est la suivante :

Propriétaire du serveur Adresses IP du serveur DNS
Cloudflare 1.1.1.1
1.0.0.1
2606:4700:4700::1111
2606:4700:4700::1001
Google 8.8.8.8
8.8.4.4
2001:4860:4860::8888
2001:4860:4860::8844
Quadruple 9 9.9.9.9
149.112.112.112
2620 : Fe :: Fe
2620 : Fe :: Fe : 9

Ajouter un nouveau serveur DoH à la liste des serveurs connus

Vous pouvez ajouter de nouveaux serveurs DoH à la liste des serveurs connus à l’aide de l’applet de commande Add-DnsClientDohServerAddress PowerShell. Spécifiez l’URL du modèle DoH et indiquez si vous autorisez le client à revenir à une requête non chiffrée en cas d’échec de la requête sécurisée. Syntaxe de la commande :

Add-DnsClientDohServerAddress -ServerAddress '<resolver-IP-address>' -DohTemplate '<resolver-DoH-template>' -AllowFallbackToUdp $False -AutoUpgrade $True

Utiliser la table de stratégie de résolution de noms avec DoH

Vous pouvez utiliser la table de stratégie de résolution de noms (NRPT) pour configurer des requêtes vers un espace de noms DNS spécifique afin d’utiliser un serveur DNS spécifique. Si le serveur DNS est connu pour prendre en charge DoH, les requêtes associées à ce domaine sont exécutées à l’aide de DoH plutôt que de manière non chiffrée.