Q:HTTPS上的DNS（DOH）和公司拆分DNS设置

自从Mozilla和Google宣布，他们打算在未来的默认设置中通过HTTPS激活DNS，并且IETF正式批准了草案（），我试图了解这对我们公司网络的影响。现在，每个应用程序都可以绕过内部DNS服务器（通过DHCP分配），直接连接到公共DNS服务。管理员没有简单的方法来阻止应用程序和用户这样做，因为所有流量都是通过HTTPS路由的

在我所知道的大多数公司中，都有一个拆分的DNS设置，允许使用不同的解析值对同一域名（例如，

mail.mycorp.example

）进行内部（intranet）和外部（internet）名称和IP解析。它还允许添加额外的、仅限于内部网的服务，如

wiki.intra.mycorp.example

，这些服务无法从internet解析/访问。类似于

server01.eq.mycorp.example

的基础结构名称也是如此

我看到的问题是，如果应用程序本身更喜欢DNS而不是HTTPS，并且没有正确地返回到系统分配的DNS服务器，则只能访问内部域

我在Windows10上用Firefox61.0.1（64位）做了一个实验。我已设定：

• network.trr.bootstrapAddress

  =1.1.1

• network.trr.uri

  =

  https://mozilla.cloudflare-dns.com/dns-query

• 网络传输模式

  =2

network.trr.mode=2

应该更喜欢DNS而不是HTTPS，但如果没有收到任何值，则退回到系统DNS，

mode=1

，我也尝试过，应该进行竞争并使用Firefox返回的第一个有效结果

不幸的是，在Firefox中通过HTTPS激活DNS后，所有仅限内部的网站都不再工作。所有请求都以超时结束，并因此失败

我错过了什么？

---

在将来的设置中，是否有更好的方法来处理仅限内部的DNS条目？

您描述的确切配置适用于我的公司网络。它首先尝试内部站点的DoH，然后返回到本地DNS，内部站点正确解析和加载。

您的问题与这里的主题编程关系不大。您可能会在上得到更好的答案。我认为，当您看到“首选DNS而非HTTPS，但回退到系统DNS”时，这意味着如果DOH服务器根本不回复，就会发生回退。如果服务器回复“NXDOMAIN”，这是一个有效的回复，消费者没有理由返回到另一台服务器并执行另一个查询。这在文件中得到确认：2-首先。首先使用TRR，并且仅当名称解析失败时，才使用本机解析程序作为回退。名称解析失败与NXDOMAIN reply不同。使用（外部）DOH通常是因为您不信任本地DNS解析程序或您不信任从您到解析程序的路径。如果是由组织管理的专用网络，为什么员工会将其工具配置为使用外部DOH服务器，而不是由其工作的组织管理的本地DOH服务器？这至少可能会将敏感数据泄漏出网络。虽然从技术上讲，我很难完全禁止它，但您的网络策略可以明确声明反对它。