Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Dimulai dengan Windows Server 2022, klien DNS mendukung DNS-over-HTTPS (DoH). Saat DoH diaktifkan, kueri DNS antara klien DNS Windows Server dan server DNS melewati koneksi HTTPS yang aman daripada dalam teks biasa. Dengan meneruskan kueri DNS di seluruh koneksi terenkripsi, kueri tersebut dilindungi dari penyadapan oleh pihak ketiga yang tidak tepercaya.
Mengonfigurasi klien DNS untuk mendukung DoH
Anda hanya dapat mengonfigurasi klien Windows Server untuk menggunakan DoH jika server DNS primer atau sekunder yang dipilih untuk antarmuka jaringan ada dalam daftar server DoH yang diketahui. Anda dapat mengonfigurasi klien DNS untuk memerlukan DoH, meminta DoH atau hanya menggunakan kueri DNS teks biasa tradisional. Untuk mengonfigurasi klien DNS untuk mendukung DoH di Windows Server dengan Pengalaman Desktop, lakukan langkah-langkah berikut:
Dari panel kontrol Pengaturan Windows, pilih Jaringan & Internet.
On the Network & Internet page, select Ethernet.
Pada layar Ethernet, pilih antarmuka jaringan yang ingin Anda konfigurasi untuk DoH.
On the Network screen, scroll down to DNS settings and select the Edit button.
Pada layar Edit pengaturan DNS, pilih Manual dari menu dropdown pengaturan IP otomatis atau manual. Pengaturan ini memungkinkan Anda mengonfigurasi server DNS Pilihan dan DNS Alternatif. Jika alamat server ini ada dalam daftar server DoH yang diketahui, dropdown enkripsi DNS pilihan akan diaktifkan. Anda bisa memilih antara pengaturan berikut untuk mengatur enkripsi DNS pilihan:
Hanya terenkripsi (DNS melalui HTTPS). Ketika pengaturan ini dipilih, semua lalu lintas kueri DNS akan melewati HTTPS. Pengaturan ini memberikan perlindungan terbaik untuk lalu lintas kueri DNS. Namun, itu juga berarti resolusi DNS tidak akan terjadi jika server DNS target tidak dapat mendukung kueri DoH.
Terenkripsi lebih diutamakan, namun tidak terenkripsi juga diizinkan. Ketika pengaturan ini dipilih, klien DNS akan mencoba menggunakan DoH lalu kembali ke kueri DNS yang tidak terenkripsi jika tidak memungkinkan. Pengaturan ini memberikan kompatibilitas terbaik untuk server DNS berkemampuan DoH, tetapi Anda tidak akan diberikan pemberitahuan apa pun jika kueri DNS dialihkan dari DoH ke teks biasa.
Unencrypted only. Semua lalu lintas kueri DNS ke server DNS yang ditentukan tidak terenkripsi. Pengaturan ini mengonfigurasi klien DNS untuk menggunakan kueri DNS teks biasa tradisional.
Select Save to apply the DoH settings to the DNS client.
Jika Anda mengonfigurasi alamat server DNS untuk klien menggunakan PowerShell menggunakan Set-DNSClientServerAddress cmdlet, pengaturan DoH akan bergantung pada apakah pengaturan fallback server ada dalam daftar tabel server DoH yang diketahui. At present you can't configure DoH settings for the DNS client on Windows Server 2022 using Windows Admin Center or sconfig.cmd.
Mengonfigurasi DoH melalui Kebijakan Grup
Pengaturan Kebijakan Grup lokal dan domain Windows Server 2022 menyertakan kebijakan Konfigurasi resolusi nama DNS melalui HTTPS (DoH). Anda dapat menggunakannya untuk mengonfigurasi klien DNS untuk menggunakan DoH. Kebijakan ini ditemukan di simpul Computer Configuration\Policies\Administrative Templates\Network\DNS Client . Saat diaktifkan, kebijakan ini dapat dikonfigurasi dengan pengaturan berikut:
Allow DoH. Kueri akan dilakukan menggunakan DoH jika server DNS yang ditentukan mendukung protokol. Jika server tidak mendukung DoH, kueri yang tidak dienkripsi akan dikeluarkan.
Prohibit DoH. Akan mencegah penggunaan DoH dengan kueri klien DNS.
Require DoH. Mengharuskan agar kueri dilakukan menggunakan DoH (DNS over HTTPS). Jika server DNS yang dikonfigurasi tidak mendukung DoH, resolusi nama akan gagal.
Jangan aktifkan opsi Wajibkan DoH untuk komputer yang bergabung dengan domain karena Active Directory Domain Services sangat bergantung pada DNS karena layanan Server DNS Windows Server tidak mendukung kueri DoH. Jika Anda memerlukan lalu lintas kueri DNS di jaringan Active Directory Domain Services untuk dienkripsi, pertimbangkan untuk menerapkan aturan keamanan koneksi berbasis IPsec untuk melindungi lalu lintas ini. Lihat Mengamankan koneksi IPsec end-to-end dengan menggunakan IKEv2 untuk informasi selengkapnya.
Menentukan server DoH mana yang ada di daftar server yang diketahui
Windows Server dikirim dengan daftar server yang diketahui mendukung DoH.
Anda dapat menentukan server DNS mana yang ada di daftar ini dengan menggunakan Get-DNSClientDohServerAddress cmdlet PowerShell.
Daftar default server DoH yang diketahui adalah sebagai berikut:
| Server Owner | Alamat IP Server DNS |
|---|---|
| Cloudflare | 1.1.1.1 1.0.0.1 2606:4700:4700::1111 2606:4700:4700::1001 |
| 8.8.8.8 8.8.4.4 2001:4860:4860::8888 2001:4860:4860::8844 |
|
| Quad 9 | 9.9.9.9 149.112.112.112 2620:fe::fe 2620:fe::fe:9 |
Menambahkan server DoH baru ke daftar server yang diketahui
Anda dapat menambahkan server DoH baru ke daftar server yang diketahui menggunakan Add-DnsClientDohServerAddress cmdlet PowerShell. Tentukan URL templat DoH dan apakah Anda akan mengizinkan klien untuk kembali ke kueri yang tidak terenkripsi jika kueri aman gagal. Sintaks perintah ini adalah:
Add-DnsClientDohServerAddress -ServerAddress '<resolver-IP-address>' -DohTemplate '<resolver-DoH-template>' -AllowFallbackToUdp $False -AutoUpgrade $True
Gunakan Tabel Kebijakan Resolusi Nama dengan DoH
Anda bisa menggunakan Tabel Kebijakan Resolusi Nama (NRPT) untuk mengonfigurasi kueri ke namespace DNS tertentu untuk menggunakan server DNS tertentu. Jika server DNS diketahui mendukung DoH, kueri yang terkait dengan domain tersebut akan dilakukan menggunakan DoH daripada dengan cara yang tidak terenkripsi.