Mengamankan Klien DNS melalui HTTPS (DoH)
Dimulai dengan Windows Server 2022, klien DNS mendukung DNS-over-HTTPS (DoH). Saat DoH diaktifkan, kueri DNS antara klien DNS Windows Server dan server DNS melewati koneksi HTTPS yang aman daripada dalam teks biasa. Dengan meneruskan kueri DNS di seluruh koneksi terenkripsi, kueri tersebut dilindungi dari penyadapan oleh pihak ketiga yang tidak tepercaya.
Mengonfigurasi klien DNS untuk mendukung DoH
Anda hanya dapat mengonfigurasi klien Windows Server untuk menggunakan DoH jika server DNS primer atau sekunder yang dipilih untuk antarmuka jaringan ada dalam daftar server DoH yang diketahui. Anda dapat mengonfigurasi klien DNS untuk memerlukan DoH, meminta DoH atau hanya menggunakan kueri DNS teks biasa tradisional. Untuk mengonfigurasi klien DNS untuk mendukung DoH di Windows Server dengan Pengalaman Desktop, lakukan langkah-langkah berikut:
Dari panel kontrol Windows Pengaturan, pilih Jaringan &Internet.
Pada halaman Jaringan & Internet, pilih Ethernet.
Pada layar Ethernet, pilih antarmuka jaringan yang ingin Anda konfigurasi untuk DoH.
Pada layar Jaringan, gulir ke bawah ke pengaturan DNS dan pilih tombol Edit .
Pada layar Edit pengaturan DNS, pilih Manual dari menu dropdown pengaturan IP otomatis atau manual. Pengaturan ini memungkinkan Anda mengonfigurasi server DNS Pilihan dan DNS Alternatif. Jika alamat server ini ada dalam daftar server DoH yang diketahui, dropdown enkripsi DNS pilihan akan diaktifkan. Anda bisa memilih antara pengaturan berikut untuk mengatur enkripsi DNS pilihan:
Hanya terenkripsi (DNS melalui HTTPS). Ketika pengaturan ini dipilih, semua lalu lintas kueri DNS akan melewati HTTPS. Pengaturan ini memberikan perlindungan terbaik untuk lalu lintas kueri DNS. Namun, itu juga berarti resolusi DNS tidak akan terjadi jika server DNS target tidak dapat mendukung kueri DoH.
Pilihan terenkripsi, diizinkan tidak terenkripsi. Ketika pengaturan ini dipilih, klien DNS akan mencoba menggunakan DoH lalu kembali ke kueri DNS yang tidak terenkripsi jika tidak memungkinkan. Pengaturan ini memberikan kompatibilitas terbaik untuk server DNS berkemampuan DoH, tetapi Anda tidak akan diberikan pemberitahuan apa pun jika kueri DNS dialihkan dari DoH ke teks biasa.
Tidak terenkripsi saja. Semua lalu lintas kueri DNS ke server DNS yang ditentukan tidak terenkripsi. Pengaturan ini mengonfigurasi klien DNS untuk menggunakan kueri DNS teks biasa tradisional.
Pilih Simpan untuk menerapkan pengaturan DoH ke klien DNS.
Jika Anda mengonfigurasi alamat server DNS untuk klien menggunakan PowerShell menggunakan Set-DNSClientServerAddress cmdlet, pengaturan DoH akan bergantung pada apakah pengaturan fallback server ada dalam daftar tabel server DoH yang diketahui. Saat ini Anda tidak dapat mengonfigurasi pengaturan DoH untuk klien DNS di Windows Server 2022 menggunakan Windows Admin Center atau sconfig.cmd.
Mengonfigurasi DoH melalui Kebijakan Grup
Pengaturan Kebijakan Grup lokal dan domain Windows Server 2022 menyertakan kebijakan Resolusi nama Konfigurasi DNS melalui HTTPS (DoH). Anda dapat menggunakannya untuk mengonfigurasi klien DNS untuk menggunakan DoH. Kebijakan ini ditemukan di simpul Computer Configuration\Policies\Administrative Templates\Network\DNS Client . Saat diaktifkan, kebijakan ini dapat dikonfigurasi dengan pengaturan berikut:
Izinkan DoH. Kueri akan dilakukan menggunakan DoH jika server DNS yang ditentukan mendukung protokol. Jika server tidak mendukung DoH, kueri yang tidak dienkripsi akan dikeluarkan.
Melarang Doh. Akan mencegah penggunaan DoH dengan kueri klien DNS.
Membutuhkan Doh. Akan mengharuskan kueri dilakukan menggunakan DoH. Jika server DNS yang dikonfigurasi tidak mendukung DoH, resolusi nama akan gagal.
Jangan aktifkan opsi Wajibkan DoH untuk komputer yang bergabung dengan domain karena Active Directory Domain Services sangat bergantung pada DNS karena layanan Server DNS Windows Server tidak mendukung kueri DoH. Jika Anda memerlukan lalu lintas kueri DNS di jaringan Active Directory Domain Services untuk dienkripsi, pertimbangkan untuk menerapkan aturan keamanan koneksi berbasis IPsec untuk melindungi lalu lintas ini. Lihat Mengamankan koneksi IPsec end-to-end dengan menggunakan IKEv2 untuk informasi selengkapnya.
Menentukan server DoH mana yang ada di daftar server yang diketahui
Windows Server dikirim dengan daftar server yang diketahui mendukung DoH.
Anda dapat menentukan server DNS mana yang ada di daftar ini dengan menggunakan Get-DNSClientDohServerAddress cmdlet PowerShell.
Daftar default server DoH yang diketahui adalah sebagai berikut:
| Pemilik Server | Alamat IP Server DNS |
|---|---|
| Suar awan | 1.1.1.1 1.0.0.1 2606:4700:4700::1111 2606:4700:4700::1001 |
| 8.8.8.8 8.8.4.4 2001:4860:4860::8888 2001:4860:4860::8844 |
|
| Quad 9 | 9.9.9.9 149.112.112.112 2620:fe::fe 2620:fe::fe:9 |
Menambahkan server DoH baru ke daftar server yang diketahui
Anda dapat menambahkan server DoH baru ke daftar server yang diketahui menggunakan Add-DnsClientDohServerAddress cmdlet PowerShell. Tentukan URL templat DoH dan apakah Anda akan mengizinkan klien untuk kembali ke kueri yang tidak terenkripsi jika kueri aman gagal. Sintaks perintah ini adalah:
Add-DnsClientDohServerAddress -ServerAddress '<resolver-IP-address>' -DohTemplate '<resolver-DoH-template>' -AllowFallbackToUdp $False -AutoUpgrade $True
Gunakan Tabel Kebijakan Resolusi Nama dengan DoH
Anda bisa menggunakan Tabel Kebijakan Resolusi Nama (NRPT) untuk mengonfigurasi kueri ke namespace DNS tertentu untuk menggunakan server DNS tertentu. Jika server DNS diketahui mendukung DoH, kueri yang terkait dengan domain tersebut akan dilakukan menggunakan DoH daripada dengan cara yang tidak terenkripsi.