Q: DNS через HTTPS (DOH) и корпоративные расщепленные настройки DNS

Поскольку Mozilla и Google объявили, что в будущем они намерены активировать DNS через HTTPS в настройках по умолчанию, а IETF официально одобрила черновик ( https://datatracker.ietf.org/wg/doh/about/), я попытался понять влияние на нашу корпоративную сеть. Теперь каждое приложение может обходить внутренний DNS-сервер (назначенный через DHCP) и напрямую подключаться к общедоступной службе DNS. Для администратора нет простого способа предотвратить это, так как приложение и пользователи делают это, поскольку весь трафик направляется через HTTPS.

В большинстве известных мне корпораций существует раздельная настройка DNS, позволяющая разрешать внутренние (интрасеть) и внешние (интернет) имена и IP-адреса для одного и того же доменного имени (например, mail.mycorp.example) с разными значениями разрешения. Это также позволяет добавлять дополнительные, только интранет, такие услуги, как wiki.intra.mycorp.example, это не может быть разрешено / доступно из Интернета. То же самое касается имен инфраструктуры, таких как server01.eq.mycorp.example,

Проблема, которую я вижу, состоит в том, что, если само приложение предпочитает DNS вместо HTTPS и неправильно обращается к назначенным системой DNS-серверам, только внутренние домены не будут доступны.

Я провел эксперимент с Firefox 61.0.1 (64-разрядная версия) на Windows 10. Я установил:

• network.trr.bootstrapAddress = 1.1.1.1
• network.trr.uri знак равно https://mozilla.cloudflare-dns.com/dns-query
• network.trr.mode = 2

network.trr.mode = 2 следует предпочесть DNS вместо HTTPS, но использовать системный DNS, если значение не получено, mode = 1Я также пытался сделать гонку и использовать первый действительный результат, который получит Firefox.

К сожалению, после активации DNS через HTTPS в Firefox все только внутренние веб-сайты перестали работать. Все запросы заканчиваются тайм-аутом и не выполняются.

Что мне не хватает? Есть ли лучший способ обрабатывать только внутренние записи DNS в будущих настройках?