Netzwerk & Sicherheit 12 Min. Lesezeit

DNS over HTTPS (DoH) im Unternehmen einrichten: Windows 11 & Server 2025 Anleitung

DoH auf Windows 11 per GPO ausrollen und den neuen Windows Server 2025 DoH-Resolver einrichten – mit PowerShell-Skripten, Sicherheitsempfehlungen und Fehlerbehebung.

Editorial Team
DNS over HTTPS einrichten: Win 11 & Server 2025

Warum DNS-Verschlüsselung 2026 für jedes Unternehmen Pflicht ist

Hand aufs Herz: Klassische DNS-Abfragen laufen im Klartext über das Netzwerk. Jeder, der den Traffic mitlesen kann, sieht sofort, welche Domains aufgerufen werden. In Zeiten von Zero-Trust-Architekturen und immer strengeren Compliance-Anforderungen ist das schlicht nicht mehr tragbar.

DNS over HTTPS (DoH) verschlüsselt diese Abfragen über HTTPS und schließt damit eine der letzten großen Sicherheitslücken in der Netzwerkkommunikation.

Und jetzt wird es richtig spannend: Seit dem kumulativen Update vom 10. Februar 2026 unterstützt Windows Server 2025 erstmals einen nativen DoH-Resolver auf der Serverseite. Das bedeutet, Sie können Ihre DNS-Infrastruktur komplett verschlüsseln – ganz ohne Drittanbieter-Resolver. In diesem Leitfaden zeige ich Ihnen Schritt für Schritt, wie Sie DoH auf Windows-11-Clients per Gruppenrichtlinie ausrollen und den neuen DoH-Resolver auf Windows Server 2025 einrichten.

Was ist DNS over HTTPS (DoH) und wie funktioniert es?

DNS over HTTPS (DoH) ist ein Protokoll nach RFC 8484, das DNS-Abfragen in HTTPS-Nachrichten einbettet und per TLS verschlüsselt. Statt auf dem traditionellen UDP-Port 53 laufen die Anfragen über Port 443 – also denselben Port, den ganz normaler Web-Traffic nutzt.

So sieht der Ablauf konkret aus:

  1. Der Client verschlüsselt die DNS-Anfrage und sendet sie als HTTPS-Request (POST oder GET) an den DoH-Resolver.
  2. Der DoH-Resolver entschlüsselt die Anfrage, führt die DNS-Auflösung durch und verschlüsselt die Antwort.
  3. Die verschlüsselte DNS-Antwort wird über HTTPS an den Client zurückgeschickt.

Das Ergebnis? Weder Ihr ISP noch ein Angreifer im Netzwerk können sehen, welche Domains aufgelöst werden. Gleichzeitig stellt die TLS-Zertifikatsvalidierung sicher, dass die Antwort wirklich vom legitimen DNS-Server stammt. Ziemlich elegant, wenn Sie mich fragen.

DoH vs. DoT vs. DNSSEC: Welches Protokoll für welchen Zweck?

Bevor wir in die Konfiguration einsteigen, ein kurzer Vergleich der drei wichtigsten DNS-Sicherheitsprotokolle. Das hilft bei der Entscheidung, welches Protokoll (oder welche Kombination) für Ihre Umgebung am besten passt:

Merkmal DoH DoT DNSSEC
Verschlüsselung Ja (HTTPS/TLS) Ja (TLS) Nein
Authentifizierung Ja (Zertifikat) Ja (Zertifikat) Ja (Signaturen)
Port 443 (TCP) 853 (TCP) 53 (UDP/TCP)
Blockierbarkeit Schwer (HTTPS-Traffic) Einfach (dedizierter Port) Einfach
Enterprise-Kontrolle Herausfordernder Einfacher Volle Kontrolle
Windows-GPO-Support Ja (ab Windows 11) Ja (ab Windows 11) Serverseitig

Meine Empfehlung: Setzen Sie DoH intern ein, wenn Ihre Clients direkt mit einem eigenen DoH-Resolver kommunizieren sollen. DoT ist die bessere Wahl, wenn Sie DNS-Traffic auf Netzwerkebene eindeutig identifizieren und filtern möchten. Und DNSSEC? Das ergänzt beide Protokolle, indem es die Integrität der DNS-Daten selbst absichert – idealerweise fahren Sie DNSSEC parallel zu DoH oder DoT.

Voraussetzungen für die DoH-Bereitstellung

Client-seitig (Windows 11)

  • Betriebssystem: Windows 11 (alle Versionen) oder Windows 10 ab Build 19628
  • Netzwerkadapter: IPv4 und/oder IPv6 konfiguriert
  • DNS-Server: Muss DoH unterstützen (intern oder extern)
  • Administrative Templates: Aktuelle ADMX/ADML-Dateien für die GPO-Konfiguration

Server-seitig (Windows Server 2025 DoH-Resolver)

  • Windows Server 2025 mit dem kumulativen Sicherheitsupdate KB5075899 (Februar 2026) oder neuer
  • Zertifizierungsstelle (CA): Microsoft Enterprise CA oder ein Drittanbieter wie DigiCert oder Let's Encrypt
  • TLS-Zertifikat: Webserver-Zertifikat mit Server Authentication OID und passendem SAN-Eintrag
  • Firewall: Eingehende TCP-Verbindungen auf Port 443 für den DNS-Server erlaubt
  • Wichtig: Die serverseitige DoH-Funktion befindet sich aktuell in der Public Preview und muss über ein Online-Registrierungsformular bei Microsoft freigeschaltet werden

Windows 11: DoH auf dem Client konfigurieren

Methode 1: Über die Windows-Einstellungen (GUI)

Für einzelne Geräte oder zum schnellen Testen ist die manuelle Konfiguration völlig ausreichend:

  1. Öffnen Sie Einstellungen → Netzwerk & Internet.
  2. Klicken Sie auf Ihre aktive Verbindung (WLAN oder Ethernet).
  3. Scrollen Sie zu DNS-Serverzuweisung und klicken Sie auf Bearbeiten.
  4. Wählen Sie Manuell und aktivieren Sie IPv4.
  5. Tragen Sie einen DoH-fähigen DNS-Server ein (z. B. 1.1.1.1 für Cloudflare oder die IP Ihres internen DoH-Resolvers).
  6. Unter Bevorzugte DNS-Verschlüsselung wählen Sie:
    • Nur verschlüsselt (DNS über HTTPS) – maximale Sicherheit, aber keine Auflösung ohne DoH-Support
    • Verschlüsselt bevorzugt, unverschlüsselt zulässig – das würde ich für den Anfang empfehlen
  7. Wiederholen Sie den Vorgang für den alternativen DNS-Server und ggf. für IPv6.
  8. Klicken Sie auf Speichern.

Methode 2: Zentral per Gruppenrichtlinie (GPO)

Für die unternehmensweite Bereitstellung führt kein Weg an GPOs vorbei. So geht's:

  1. Stellen Sie sicher, dass die aktuellen ADMX/ADML-Templates für Windows 11 in Ihrem Central Store liegen. Falls nicht, laden Sie diese aus dem Microsoft Download Center herunter.
  2. Öffnen Sie die Gruppenrichtlinienverwaltung (gpmc.msc) und erstellen oder bearbeiten Sie ein GPO.
  3. Navigieren Sie zu: Computerkonfiguration → Richtlinien → Administrative Vorlagen → Netzwerk → DNS-Client
  4. Aktivieren Sie die Richtlinie „Namensauflösung von DNS über HTTPS (DoH) konfigurieren".
  5. Wählen Sie die gewünschte Option:
    • DoH zulassen: DNS-Abfragen nutzen DoH, wenn der Server es unterstützt; andernfalls wird unverschlüsselt aufgelöst
    • DoH erfordern: Nur verschlüsselte DNS-Auflösung – schlägt fehl, wenn der DNS-Server kein DoH kann
  6. Verknüpfen Sie das GPO mit der gewünschten OU.

Nicht vergessen: Sie müssen zusätzlich sicherstellen, dass die DNS-Server-Adressen der Clients auf DoH-fähige Server zeigen. Das geht entweder per DHCP oder über ein weiteres GPO unter DNS-Client → DNS-Server.

Falls die GPO-Einstellung in Ihrer Umgebung nicht auftaucht, prüfen Sie die ADMX-Version. Der zugehörige Registry-Schlüssel sieht so aus:

HKLM\Software\Policies\Microsoft\Windows NT\DNSClient\DoHPolicy

Werte:
2 = DoH zulassen (Allow)
3 = DoH erfordern (Require)

Methode 3: Per PowerShell – für Automatisierung und Massenbereitstellung

Wer's lieber skriptet (und ehrlich gesagt, bei größeren Umgebungen ist das oft der schnellste Weg), kann alles über PowerShell erledigen:

# Vordefinierte DoH-Server anzeigen
Get-DnsClientDohServerAddress

# Eigenen internen DoH-Server hinzufuegen
Add-DnsClientDohServerAddress `
    -ServerAddress "10.0.1.53" `
    -DohTemplate "https://dns.contoso.com/dns-query" `
    -AllowFallbackToUdp $false `
    -AutoUpgrade $true

# DoH-Einstellung fuer eine Netzwerkschnittstelle konfigurieren
$adapter = Get-NetAdapter | Where-Object { $_.Status -eq "Up" }
Set-DnsClientServerAddress -InterfaceIndex $adapter.InterfaceIndex `
    -ServerAddresses "10.0.1.53"

# Verifizieren, dass der DoH-Server registriert ist
Get-DnsClientDohServerAddress | Format-Table ServerAddress, DohTemplate, AutoUpgrade

Für die Verteilung auf viele Clients können Sie dieses Skript als Intune-Remediation-Script, SCCM-Paket oder GPO-Anmeldeskript ausrollen.

Windows Server 2025: Den neuen DoH-Resolver einrichten

Jetzt wird's richtig interessant. Das ist die große Neuerung für 2026: Seit dem kumulativen Update vom 10. Februar kann der Windows-DNS-Server selbst als DoH-Resolver arbeiten. Er empfängt und verarbeitet verschlüsselte DNS-Anfragen direkt von Ihren Clients – ganz ohne externe Resolver wie Cloudflare oder Google.

Schritt 1: Update und Feature-Aktivierung

  1. Installieren Sie das kumulative Update KB5075899 (oder neuer) auf Ihrem Windows Server 2025.
  2. Die DoH-Resolver-Funktion ist standardmäßig deaktiviert. Während der Public Preview müssen Sie den Zugang über das Microsoft-Registrierungsformular beantragen.
  3. Nach der Freischaltung konfigurieren Sie alles per PowerShell – eine GUI gibt's während der Preview leider noch nicht.

Schritt 2: TLS-Zertifikat vorbereiten

Ohne gültiges Zertifikat läuft hier gar nichts. Das DoH-Zertifikat muss diese Anforderungen erfüllen:

  • Enhanced Key Usage: Server Authentication OID (1.3.6.1.5.5.7.3.1)
  • Subject Alternative Name (SAN): Muss zum konfigurierten DoH-URI-Template passen (z. B. dns.contoso.com)
  • Privater Schlüssel: Im Local Computer Store gespeichert, ohne Strong Private Key Protection
  • Vertrauenskette: Ausgestellt von einer CA, der Server und Clients gleichermaßen vertrauen

So fordern Sie ein Zertifikat über eine interne Microsoft-CA an:

# Zertifikatsvorlage: Webserver
# Zertifikat fuer den DoH-Server anfordern
$enrollResult = Get-Certificate `
    -Template "WebServer" `
    -DnsName "dns.contoso.com" `
    -CertStoreLocation "Cert:\LocalMachine\My"

# Zertifikats-Thumbprint fuer spaetere Verwendung anzeigen
$enrollResult.Certificate.Thumbprint

Schritt 3: DoH-Resolver per PowerShell aktivieren

# DoH auf dem DNS-Server aktivieren
# (Die genaue Cmdlet-Syntax kann sich waehrend der Preview noch aendern)
Enable-DnsServerDohResolver `
    -CertificateThumbprint "ABC123DEF456..." `
    -DohTemplate "https://dns.contoso.com/dns-query"

# Status pruefen
Get-DnsServerDohResolver

# DNS-Server-Dienst neu starten
Restart-Service DNS

Schritt 4: Firewall-Regel konfigurieren

# Eingehende HTTPS-Verbindungen auf Port 443 fuer den DNS-Server zulassen
New-NetFirewallRule `
    -DisplayName "DNS over HTTPS (DoH) - Eingehend" `
    -Direction Inbound `
    -Protocol TCP `
    -LocalPort 443 `
    -Action Allow `
    -Program "%SystemRoot%\System32\dns.exe" `
    -Description "Erlaubt eingehende DoH-Anfragen an den Windows DNS Server"

Bekannte Einschränkung: Upstream-Abfragen bleiben unverschlüsselt

Das sollten Sie wissen: Wenn der Windows DNS Server Anfragen an vorgelagerte Server weiterleitet (Conditional Forwarder, Root Hints, autoritative Server), laufen diese Abfragen weiterhin unverschlüsselt über Port 53. Die Verschlüsselung gilt nur für die Strecke zwischen Client und Ihrem DNS-Server.

Nicht ideal, aber Microsoft hat verschlüsselte Upstream-Abfragen für ein zukünftiges Update angekündigt.

Überprüfung: Funktioniert DoH korrekt?

Client-seitige Überprüfung

Vertrauen ist gut, Kontrolle ist besser. Nach der Konfiguration sollten Sie unbedingt verifizieren, dass die DNS-Abfragen auch wirklich verschlüsselt rausgehen:

# Methode 1: DNS-Verschluesselungsstatus pruefen
Get-DnsClientServerAddress | Format-Table InterfaceAlias, ServerAddresses

# Methode 2: Mit PktMon pruefen, ob kein DNS-Traffic auf Port 53 laeuft
pktmon start --capture --pkt-size 0
# Einige DNS-Abfragen ausloesen (z.B. nslookup microsoft.com)
pktmon stop
pktmon format PktMon.etl -o dns-check.txt

# In der Ausgabe sollte KEIN Traffic auf Port 53 erscheinen,
# wenn DoH korrekt konfiguriert ist.
# Der Traffic laeuft stattdessen ueber Port 443.
# Methode 3: Mit Resolve-DnsName testen
Resolve-DnsName -Name "www.microsoft.com" -Type A
# Wenn die Aufloesung funktioniert und PktMon keinen Port-53-Traffic zeigt,
# ist DoH aktiv.

Server-seitige Überprüfung

# DoH-Resolver-Status pruefen
Get-DnsServerDohResolver

# DNS-Server-Statistiken anzeigen (DoH-Abfragen zaehlen)
Get-DnsServerStatistics | Select-Object -ExpandProperty Query

# TLS-Verbindungen auf Port 443 pruefen
netstat -an | findstr ":443"

Sicherheitsaspekte: Monitoring und Kontrolle im Unternehmen

Das Dilemma: Verschlüsselung vs. Sichtbarkeit

Hier liegt der Haken an der ganzen Sache: DoH verschlüsselt DNS-Abfragen – super für die Privatsphäre, aber potenziell ein Problem für die Sicherheitsüberwachung. Wenn Mitarbeiter oder (schlimmer noch) Malware einen externen DoH-Resolver wie Cloudflare nutzen, umgehen sie damit Ihre internen DNS-Filterregeln und Sicherheitsmechanismen.

Die NSA empfiehlt Unternehmen seit 2021, eigene DoH-Resolver zu betreiben und alle bekannten externen DoH-Resolver zu blockieren. Mit dem neuen Windows Server 2025 DoH-Resolver ist genau das jetzt endlich nativ möglich.

Empfohlene Schutzmaßnahmen

  • Eigenen DoH-Resolver betreiben: Nutzen Sie den Windows Server 2025 DoH-Resolver oder Alternativen wie Pi-hole bzw. AdGuard mit DoH-Support
  • Externe DoH-Resolver blockieren: Erstellen Sie Firewall-Regeln, die den Zugriff auf bekannte öffentliche DoH-Endpunkte (1.1.1.1, 8.8.8.8, 9.9.9.9 usw.) über Port 443 unterbinden
  • Browser-DoH deaktivieren: Firefox, Chrome und Edge bringen eigene DoH-Einstellungen mit, die Ihren Unternehmens-DNS komplett umgehen können. Schalten Sie das per GPO ab:
    • Chrome/Edge: Richtlinie DnsOverHttpsMode auf off
    • Firefox: Richtlinie DNSOverHTTPSEnabled: false
  • DNS-Logging aktivieren: Protokollieren Sie alle DNS-Abfragen auf dem internen Resolver – so bleibt die Sichtbarkeit erhalten, während die Transportschicht verschlüsselt ist
  • Canary-Domain nutzen: Die Domain use-application-dns.net sorgt dafür, dass Browser automatisch auf den Unternehmens-DNS zurückfallen

Browser-DoH per GPO deaktivieren – so geht's

# Chrome: DoH deaktivieren
New-ItemProperty `
    -Path "HKLM:\SOFTWARE\Policies\Google\Chrome" `
    -Name "DnsOverHttpsMode" `
    -Value "off" `
    -PropertyType String -Force

# Microsoft Edge: DoH deaktivieren
New-ItemProperty `
    -Path "HKLM:\SOFTWARE\Policies\Microsoft\Edge" `
    -Name "DnsOverHttpsMode" `
    -Value "off" `
    -PropertyType String -Force

# Firefox: DoH per Registry deaktivieren
New-ItemProperty `
    -Path "HKLM:\SOFTWARE\Policies\Mozilla\Firefox\DNSOverHTTPS" `
    -Name "Enabled" `
    -Value 0 `
    -PropertyType DWord -Force

Fehlerbehebung: Häufige DoH-Probleme und Lösungen

Problem 1: DNS-Auflösung funktioniert nach DoH-Aktivierung nicht mehr

Ursache: Die konfigurierten DNS-Server unterstützen kein DoH, aber die Richtlinie steht auf „DoH erfordern".

Lösung: Ändern Sie die Einstellung erstmal auf „DoH zulassen", damit der Client auf unverschlüsselte Abfragen zurückfallen kann. Dann prüfen Sie, ob der DNS-Server wirklich DoH unterstützt:

# DoH-Support manuell mit curl testen
curl -H "accept: application/dns-json" `
    "https://dns.contoso.com/dns-query?name=microsoft.com&type=A"

# Antwortet der Server, ist DoH aktiv.
# Bei Timeout oder Fehler: kein DoH-Support.

Problem 2: GPO-Einstellung „DNS über HTTPS konfigurieren" fehlt

Ursache: Veraltete Administrative Templates im Central Store. Das ist tatsächlich einer der häufigsten Stolpersteine, den ich bei Kunden sehe.

Lösung:

  1. Laden Sie die aktuellen Administrative Templates für Windows 11 aus dem Microsoft Download Center herunter.
  2. Kopieren Sie die ADMX-Dateien nach \\domain\SYSVOL\domain\Policies\PolicyDefinitions.
  3. Die ADML-Sprachdateien kommen in den passenden Sprachunterordner (z. B. de-DE).
  4. Schließen Sie die Gruppenrichtlinienverwaltung und öffnen Sie sie neu.

Problem 3: Interne Hostnamen werden nicht mehr aufgelöst

Ursache: Wenn der DoH-Resolver ein externer Dienst ist (z. B. Cloudflare), kann er Ihre internen DNS-Zonen naturgemäß nicht auflösen.

Lösung: Verwenden Sie Ihren internen DNS-Server als DoH-Resolver. Genau dafür ist der Windows Server 2025 DoH-Resolver gedacht – Clients senden verschlüsselte Anfragen an Ihren eigenen Server, der sowohl interne als auch externe Namen auflösen kann.

Problem 4: DoH-Resolver auf Windows Server 2025 startet nicht

Ursache: In den allermeisten Fällen liegt's am TLS-Zertifikat.

Lösung: Gehen Sie diese Checkliste durch:

# Zertifikat im Local Machine Store pruefen
Get-ChildItem -Path "Cert:\LocalMachine\My" | Where-Object {
    $_.HasPrivateKey -and
    $_.EnhancedKeyUsageList.FriendlyName -contains "Server Authentication"
} | Format-List Subject, Thumbprint, NotAfter, HasPrivateKey

# DNS-Server-Ereignisprotokoll auf Fehler pruefen
Get-WinEvent -LogName "DNS Server" -MaxEvents 20 | Format-Table TimeCreated, Message -Wrap

# Port 443 auf Konflikte pruefen (laeuft evtl. schon IIS?)
netstat -ano | findstr ":443"

Problem 5: Performance-Einbruch nach DoH-Aktivierung

Ursache: Der TLS-Handshake bei der ersten Verbindung bringt zusätzliche Latenz mit. Bei vielen parallelen DNS-Abfragen kann sich das bemerkbar machen.

Lösung: Keine Panik – DoH nutzt persistente HTTPS-Verbindungen und HTTP/2-Multiplexing. Nach dem initialen Handshake ist die Performance mit klassischem DNS vergleichbar. Prüfen Sie trotzdem, ob der DoH-Server ausreichend dimensioniert ist und TLS 1.3 zum Einsatz kommt (deutlich schnellerer Handshake als TLS 1.2).

Rollout-Strategie: DoH schrittweise einführen

Bitte nicht einfach auf „DoH erfordern" umstellen und hoffen, dass alles klappt. Ein stufenweiser Ansatz spart Ihnen eine Menge Ärger:

  1. Phase 1 – Pilotgruppe (2–4 Wochen): Konfigurieren Sie DoH im Modus „DoH zulassen" für eine kleine Testgruppe aus der IT-Abteilung. Behalten Sie die DNS-Logs im Auge.
  2. Phase 2 – Erweiterter Rollout (2–4 Wochen): Weiten Sie die Konfiguration auf weitere Abteilungen aus. Deaktivieren Sie parallel Browser-DoH per GPO und blockieren Sie externe DoH-Resolver in der Firewall.
  3. Phase 3 – Erzwingung: Wechseln Sie auf „DoH erfordern", sobald alle DNS-Server DoH unterstützen und die Testphase erfolgreich war.
  4. Phase 4 – Monitoring: Überwachen Sie regelmäßig die DNS-Logs und stellen Sie sicher, dass kein unverschlüsselter DNS-Traffic mehr über Port 53 läuft.

Häufig gestellte Fragen (FAQ)

Verlangsamt DNS over HTTPS die Internetverbindung?

Kurze Antwort: kaum spürbar. Der initiale TLS-Handshake fügt eine geringe Latenz hinzu (typischerweise 10–50 ms bei der ersten Verbindung). Danach nutzt DoH persistente Verbindungen und HTTP/2-Multiplexing, sodass die Geschwindigkeit mit klassischem DNS vergleichbar ist. In der Praxis merken Endbenutzer keinen Unterschied.

Können Virenscanner und Firewalls DoH-Traffic noch analysieren?

Der Traffic zwischen Client und Resolver ist verschlüsselt – Netzwerk-Firewalls können da nicht einfach reinschauen. Genau deshalb ist es so wichtig, einen eigenen internen DoH-Resolver zu betreiben. So protokolliert Ihr Server alle DNS-Abfragen im Klartext, während die Transportschicht verschlüsselt bleibt. Kombinieren Sie das mit DNS-Logging und SIEM-Integration für vollständige Sichtbarkeit.

Funktioniert DoH auch mit Split-DNS und VPN?

Ja, aber es braucht sorgfältige Konfiguration. Bei VPN-Verbindungen wird der DNS-Traffic normalerweise über den VPN-Tunnel geleitet. Stellen Sie sicher, dass der VPN-DNS-Server ebenfalls DoH unterstützt, oder richten Sie eine Ausnahme für den VPN-Adapter ein. Bei Split-DNS-Szenarien muss der DoH-Resolver alle relevanten DNS-Zonen auflösen können.

Was ist der Unterschied zwischen DoH im Browser und DoH im Betriebssystem?

Ein wichtiger Punkt, der oft übersehen wird: Browser wie Firefox und Chrome haben eigene DoH-Einstellungen, die völlig unabhängig vom Betriebssystem funktionieren. Das heißt, selbst wenn Windows kein DoH nutzt, kann der Browser seine DNS-Abfragen verschlüsselt an einen externen Resolver senden – und damit Ihre DNS-Richtlinien komplett aushebeln. Für Unternehmen ist es deshalb essenziell, Browser-DoH per GPO zu deaktivieren und DoH zentral auf OS-Ebene zu steuern.

Ist der Windows Server 2025 DoH-Resolver produktionsreif?

Stand April 2026: Nein, noch nicht ganz. Die Funktion befindet sich in der Public Preview, und Microsoft rät explizit davon ab, sie in Produktionsumgebungen einzusetzen – es können noch Bugs und Breaking Changes auftreten. Für Test- und Evaluierungsumgebungen funktioniert sie aber tadellos. Planen Sie den Produktionseinsatz für die General-Availability-Phase, die Microsoft für ein späteres Update angekündigt hat.

Über den Autor Editorial Team

Our team of expert writers and editors.