Microsoft hat in der Windows 11 eine Änderung vorgenommen, um eine DNS-Server-IP-Adresse von Cloudflare, Google oder Quad9 in den WLAN-Einstellungen schnell einzutragen.
Wer in den vorherigen Versionen schon eine Änderung in der Registry vorgenommen haben sollte (siehe hier), muss diese vorab erst löschen und einmal neu starten. Danach kann man in den Einstellungen -> Netzwerk und Internet -> DNS-Serverzuweisung unter WLAN oder Ethernet einen DNS-Server eintragen. All diese Mechanismen beruhen darauf, dass Windows bereits erkennt, dass eine bestimmte DNS-Server-IP-Adresse DoH unterstützt.
Als Beispiel:
– Cloudflare
– 1.1.1.1
– 1.0.0.1
– 2606:4700:4700::1111
– 2606:4700:4700::1001
– Google
– 8.8.8.8
– 8.8.4.4
– 2001:4860:4860::8888
– 2001:4860:4860::8844
– Quad9
– 9.9.9.9
– 149.112.112.112
– 2620:fe::fe
– 2620:fe::fe:9
Möchte man prüfen, welche DNS-Server Windows 11 schon kennt, startet man PowerShell und gibt entweder
netsh dns show encryption
oder
Get-DnsClientDohServerAddress
ein und kann so schnell erkennen, welche ohne Umwege möglich sind. Man kann auch einen neuen DNS-Server hinzufügen, das könnt ihr euch auf der Techcommunity-Seite genauer durchlesen.
Microsoft plant aber schon weiter: „In Zukunft möchten wir in der Lage sein, die DoH-Server-Konfiguration direkt vom DNS-Server zu ermitteln. Dies würde bedeuten, dass DoH-Server verwendet werden könnten, ohne dass sie in Windows eingebunden oder die Zuordnung von IP-Adresse zu DoH-Vorlage manuell konfiguriert werden muss.“
Danke an Under the Hood für das Bild.
Windows 11 Tutorials und Hilfe
- In unserem Windows 11 Wiki findet ihr sehr viele hilfreiche Tipps und Tricks.
- Falls ihr Fragen habt, dann stellt diese ganz einfach bei uns im Forum.
- Installationsmedien: Aktuelle Windows 11 ISOs findet ihr immer in der rechten Sidebar hier im Blog im Download-Bereich.
- Alle Beiträge zu Windows 11 im Blog findet ihr über diese Seite. Wobei auch alle anderen Artikel interessant sein können.
Ich verstehe den Sinn dahinter, einen DNS außerhalb des Intranetzes zu verwenden, noch immer nicht. Ab dem Zeitpunkt der Konfiguration funktioniert doch, nach meinem Verständnis, das komplette „private“ Netzwerk nicht mehr. DNS over HTTPS am Router zu konfigurieren, habe ich tatsächlich aber schon länger vorgenommen.
DNS hat mit DHCP nichts zu tun. Warum sollte „das komplette private Netzwerk nicht mehr“ funktionieren???
Der maximal einzige Unterschied wäre höchstens der Hostname. Ob ich meine Fritzbox jetzt mit 10.0.0.1 aufrufe oder fritz.box juckt? Wer IPv6 only mit richtig komplexen IPs nutzt schießt sich halt wie immer selbst in den Fuß.
Rant:
Wer Cloudflare, Google und Quad9 mit all seinen Webseitenbesuchen füttert dem ist eh nicht zu helfen. Denkt ihr die müssem dem FBI keine Auskunft erteilen? Ich habe daheim zwei unbound recursive resolver auf zwei Debian SBCs. Damit funktionieren Zensurfilter bei mir nicht, aber meine requests gehen nicht an Datenkraken.
Mit QNAME minimization, die Root-Server geht auch nicht an was ich abfrage:
https://www.isc.org/blogs/qname-minimization-and-privacy/
Beim eigenen Resolver kann ich dann auch selbst wieder meine Hostnamen eintragen. Also kenne ich weder das eine noch das andere Problem.
Von DHCP war doch gar nicht die Rede. Und natürlich interessiert mich das im normalen Netzwerk, dass ich ein Device nicht mehr per Hostname aufrufen kann. Gerade das ist ja der Sinn eines DNS Servers.
nun der sinn ergibt such dann wenn man mobile geräte auch mal ausserhalb des eigenen netzwerks benutzt.
ansonsten hast du natürlich recht was die internen adressen angeht.
da man natürlich nicht immer doh ein und auschalten will, sollte die hosts datei für interne adressen helfen
Die Antwort bleibst du uns weiter schuldig, warum „das komplette private Netzwerk nicht mehr“ funktionieren würde.
Du musst nur mehr tippen. Aber ich verstehe schon, du willst nicht drauf eingehen das es Quatsch war.
Wenn Du diese Einstellung am Router vornehmen kannst IST ES GUT !
-du bekommst in der Regel von deinem Provider einen dns server zugewiesen // ob der verschlüsselung tut ?!
Ich habe z.B. einen Kabelrouter, bei dem ich das SO NICHT explizit konfigurieren kann !!!
UND bin abhängig vom Provider DNS -mit denen mein Rauter versorgt wird- und SEINEN DNS Weiterleitungen.
JEDOCH kann man in solchem Fall die Netzwerkkarte konfigurieren, ALTERNATIVE DNS Server und auch die VERWENDUNGSREIHENFOLGE über die „Adaptereinstellungen // Netwerkkarte“ einzustellen.
DAMIT !!! kann man DANN DOCH !!! sicherstellen,
dass die ins WEB gehenden Namensauflösungen verschlüsselt werden :: bevorzugter DNS Server
lokale Netz- Adressen / Namen würden da die die Öffentlichen Server nicht kennen KÖNNEN
vom :: alternativen (Router) DNS aufgelöst.
Hinweis :
For full Details for NameResulution :: RTFMs and Internet Drafts as well as Microsofts Windows Internals
-geh mal -> Netzwerk-> Adaptereinstellungen -> IPv4 -> ….. „nur mal sehen !“
j
Ich Persönlich habe die DNS Server in Windows noch nie geändert, da ich dieses direkt in meinem Router eingestellt habe um mit Cloud Flare DNS zu arbeiten Vorteil ist, das dann alle Geräte standardmäßig mit diesen DNS Server Arbeiten.
Welchen Vorteil hat Cloudflare gegenüber den DoH/DoT-Servern von Digitalcourage oder dem Chaos Computer Club? Ist der U.S. Anbieter vertrauenswürdiger?
„…. Digitalcourage“
Dank denen durfte ich schon 2x gaaaaaaanz lange Fehler suchen.
Erst Tagelanger Serverausfall weil man bei einem Update alles vergeight hatte, Natürlich beide Server betroffen.
Und vor nicht all zu langer Zeit hat man die IP Adressen gewechselt und die alten liefen ins Leere. So was steht natürlich leider nicht auf der Titelseite der Tageszeitung um davon etwas mit zu bekommen.
Bei den bösen großen Anbietern kann man so was zu 99.99% ausschließen das so was passiert.
Und wer mal DNSBenchmaek anwirft … es liegen Welten was die Latenz angeht zwischen den kleinen und den großen!
Dann gleich DNS over TLS (DoT)
https://i.imgur.com/omP3FT8.png
Heute durch Zufall mal wieder damit in Kontakt gekommen …
Wie immer … MS hat hier über die Zeit auf all meinen Systemen wieder herum gepfuscht.
Mein händisch in die Registry eingefügten DNS-Anbieter sind noch da, sind bei IPv4 aber aus den Menü Einstellungen komplett verschwunden und es steht wieder alles auf Standard. Bei IPv6 sind meine Alternativen noch da da, dafür hat man aber das forcierte verschlüsseln deaktiviert und auf unverschlüsselt gestellt.
Da muss man sich also wer sicher sein will auch wieder ne *.bat basteln die beim Start die Registrierungseinträge wieder setzt wenn man nicht alle Nase lang kontrollieren will ob MS meint es wieder besser zu wissen.
Am 22.12 hat MS mit dem kumulativen Update schon wieder alle DNS Server auf Standard gesetzt, dieses mal nicht nur deaktiviert so dass man nach manuellem deaktivieren zumindest wieder sein Liste hat sondern wörtlich komplett aus dem System geschmissen. Dieser Laden kotzt einem doch nur noch an.
Dann geh doch zu Netto. äh Linux, Mac oder schreib es Microsoft. Nur am nörgeln….