Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Från och med Windows Server 2022 stöder DNS-klienten DNS-over-HTTPS (DoH). När DoH är aktiverat passerar DNS-frågor mellan Windows Servers DNS-klient och DNS-servern över en säker HTTPS-anslutning i stället för i oformaterad text. Genom att skicka DNS-frågan över en krypterad anslutning skyddas den från avlyssning av opålitliga tredje parter.
Konfigurera DNS-klienten så att den stöder DoH
Du kan bara konfigurera Windows Server-klienten att använda DoH om den primära eller sekundära DNS-servern som valts för nätverksgränssnittet finns med i listan över kända DoH-servrar. Du kan konfigurera DNS-klienten så att den kräver DoH, begär DoH eller bara använder traditionella DNS-frågor i klartext. Om du vill konfigurera DNS-klienten så att den stöder DoH på Windows Server med skrivbordsmiljö gör du följande:
Från kontrollpanelen för Windows-inställningar väljer du Nätverk och Internet.
På sidan Nätverk och Internet väljer du Ethernet.
På Ethernet-skärmen väljer du det nätverksgränssnitt som du vill konfigurera för DoH.
På skärmen Nätverk rullar du ned till DNS-inställningar och väljer knappen Redigera .
På skärmen Redigera DNS-inställningar väljer du Manuell i listrutan automatiska eller manuella IP-inställningar. Med den här inställningen kan du konfigurera önskad DNS och alternativa DNS-servrar. Om adresserna till dessa servrar finns i listan över kända DoH-servrar kommer listrutan Önskad DNS-kryptering att aktiveras. Du kan välja mellan följande inställningar för att ställa in önskad DNS-kryptering:
Endast krypterad (DNS över HTTPS). När den här inställningen väljs kommer all DNS-frågetrafik att passera över HTTPS. Den här inställningen ger det bästa skyddet för DNS-frågetrafik. Men det innebär också att DNS-matchning inte sker om mål-DNS-servern inte kan stödja DoH-frågor.
Krypterat önskas, okrypterat tillåtet. När den här inställningen väljs kommer DNS-klienten att försöka använda DoH och sedan återgå till okrypterade DNS-frågor om det inte är möjligt. Den här inställningen ger bästa möjliga kompatibilitet för DoH-kompatibla DNS-servrar, men du får inget meddelande om DNS-frågor växlas från DoH till oformaterad text.
Endast okrypterad. All DNS-frågetrafik till den angivna DNS-servern är okrypterad. Den här inställningen konfigurerar DNS-klienten så att den använder traditionella DNS-frågor i oformaterad text.
Välj Spara för att tillämpa DoH-inställningarna på DNS-klienten.
Om du konfigurerar DNS-serveradressen för en klient med hjälp av PowerShell med hjälp Set-DNSClientServerAddress av cmdleten beror DoH-inställningen på om serverns återställningsinställning finns i tabellen över kända DoH-servrar. För närvarande kan du inte konfigurera DoH-inställningar för DNS-klienten på Windows Server 2022 med hjälp av Windows Administrationscenter eller sconfig.cmd.
Konfigurera DoH via grupprincip
Inställningar för lokala Grupprinciper för Windows Server 2022 inkluderar namnmatchningsprincipen Konfigurera DNS över HTTPS (DoH). Du kan använda den för att konfigurera DNS-klienten att använda DoH. Den här principen finns i noden Computer Configuration\Policies\Administrative Templates\Network\DNS Client . När den här principen är aktiverad kan den konfigureras med följande inställningar:
Tillåt DoH. Frågor kommer att utföras med hjälp av DoH om de angivna DNS-servrarna stöder protokollet. Om servrarna inte stöder DoH kommer icke-krypterade frågor att utfärdas.
Förbjuda DoH. Förhindrar användning av DoH med DNS-klientfrågor.
Kräv DoH. Kräver att frågor utförs med hjälp av DoH. Om konfigurerade DNS-servrar inte stöder DoH misslyckas namnmatchningen.
Aktivera inte alternativet Kräv DoH för domänanslutna datorer eftersom Active Directory Domain Services är starkt beroende av DNS eftersom Windows Server DNS Server-tjänsten inte stöder DoH-frågor. Om du vill att DNS-frågetrafik i Active Directory Domain Services-nätverket ska krypteras bör du överväga att implementera IPsec-baserade anslutningssäkerhetsregler för att skydda trafiken. Mer information finns i Skydda IPsec-anslutningar från slutpunkt till slutpunkt med hjälp av IKEv2 .
Ta reda på vilka DoH-servrar som finns i listan över kända servrar
Windows Server levereras med en lista över servrar som är kända för att stödja DoH.
Du kan avgöra vilka DNS-servrar som finns i den här listan med hjälp av PowerShell-cmdleten Get-DNSClientDohServerAddress .
Standardlistan över kända DoH-servrar är följande:
| Serverägare | IP-adresser för DNS-server |
|---|---|
| Cloudflare | 1.1.1.1 1.0.0.1 2606:4700:4700::1111 2606:4700:4700::1001 |
| 8.8.8.8 8.8.4.4 2001:4860:4860::8888 2001:4860:4860::8844 |
|
| Quad 9 | 9.9.9.9 149.112.112.112 2620:fe::fe 2620:fe::fe:9 |
Lägg till en ny DoH-server i listan över kända servrar
Du kan lägga till nya DoH-servrar i listan över kända servrar med hjälp av PowerShell-cmdleten Add-DnsClientDohServerAddress . Ange URL:en för DoH-mallen och om du tillåter att klienten återgår till en okrypterad fråga om den säkra frågan misslyckas. Syntaxen för det här kommandot är:
Add-DnsClientDohServerAddress -ServerAddress '<resolver-IP-address>' -DohTemplate '<resolver-DoH-template>' -AllowFallbackToUdp $False -AutoUpgrade $True
Använd principtabell för namnmatchning med DoH
Du kan använda NRPT (Name Resolution Policy Table) för att konfigurera frågor till ett specifikt DNS-namnområde för att använda en specifik DNS-server. Om DNS-servern är känd för att stödja DoH kommer frågor relaterade till den domänen att utföras med hjälp av DoH i stället för på ett okrypterat sätt.