自从 Mozilla 和 Google 宣布,他们打算将来在默认设置中激活 DNS over HTTPS 并且 IETF 正式批准了草案(https://datatracker.ietf.org/wg/doh/about/),我试图了解对我们公司网络的影响。现在,每个应用程序都可以绕过内部 DNS 服务器(通过 DHCP 分配)并直接连接到公共 DNS 服务。管理员没有简单的方法来阻止应用程序和用户这样做,因为所有流量都是通过 HTTPS 路由的。
在我知道的大多数公司中,都有一个拆分 DNS 设置,允许内部(内部网)和外部(互联网)名称和 IP 解析相同的域名(例如mail.mycorp.example
)具有不同的解析值。它还允许添加额外的、仅限 Intranet 的服务,例如wiki.intra.mycorp.example
无法从 Internet 解析/访问的服务。基础设施名称也是如此,例如server01.eq.mycorp.example
.
我看到的问题是,如果应用程序本身更喜欢 DNS 而不是 HTTPS,并且没有正确回退到系统分配的 DNS 服务器,则内部域将无法访问。
我在 Windows 10 上使用 Firefox 61.0.1(64 位)进行了实验。我设置了:
network.trr.bootstrapAddress
= 1.1.1.1network.trr.uri
=https://mozilla.cloudflare-dns.com/dns-query
network.trr.mode
= 2
network.trr.mode = 2
应该更喜欢 DNS 而不是 HTTPS,但如果没有收到值,则mode = 1
回退到系统 DNS,我也尝试过,应该进行比赛并使用 Firefox 返回的第一个有效结果。
不幸的是,在 Firefox 中通过 HTTPS 激活 DNS 后,所有仅限内部的网站都不再工作。所有请求都以超时结束并因此失败。
我想念什么?在未来的设置中是否有更好的方法来处理仅限内部的 DNS 条目?