微软宣布 Windows DNS Server 的 DNS over HTTPS (DoH) 功能已结束预览阶段,正式面向 Windows Server 2025 开放。该功能通过 HTTPS 协议加密 DNS 查询流量,旨在为组织网络提供零信任架构下的安全 DNS 解析支持。
功能概述与安全价值
DNS over HTTPS (DoH) 为 Windows DNS Server 引入加密与认证的 DNS 解析机制,取代传统的明文 DNS 传输方式。该功能基于互联网工程任务组 (IETF) 定义的 DoH 标准构建,兼容 RFC 8484 规范。通过 TLS 证书验证 DNS 服务器身份,DoH 可有效防止未经授权的流量检查、中间人攻击及 DNS 欺骗行为。
部署优势与兼容性
企业无需重构现有的客户端到解析器架构即可部署 DoH。该功能能够无缝集成至现有网络架构,并支持与标准 DNS 并行运行,使组织可以按自身节奏完成迁移。微软表示,在数月的预览期间,DoH 功能已趋于稳定,企业可在遵循官方指导的前提下放心将其应用于生产环境。
部署要求与未来规划
部署 DoH 需满足以下条件:Windows Server 2025 系统环境,并安装最新的 Patch Tuesday 累积更新。目前该版本主要实现客户端到 DNS 服务器之间的通信加密,微软透露未来更新将加入 Windows DNS Server 与上游 DNS 解析器之间的加密通信支持。Windows 客户端此前已支持 DoH,本次 Server 端的正式可用意味着企业网络全部终端均可获得加密 DNS 保护。
via Neowin
