微软宣布 Windows Server 平台的 DNS over HTTPS (DoH) 功能已结束预览阶段,正式进入普遍可用 (GA) 状态。该功能为 Windows Server 2025 提供加密 DNS 解析能力,有助于企业构建零信任网络架构。
功能核心优势
DoH 通过 HTTPS 协议对 DNS 查询进行加密,可有效防止未授权窃听、中间人攻击及流量分析。由于采用 TLS 证书机制,客户端可验证 DNS 服务器身份,从而通过身份认证机制防范 DNS 欺骗攻击。该实现基于互联网工程任务组 (IETF) 定义的 DoH 标准,兼容 RFC 8484 规范的现代客户端。
部署架构特点
DoH 可无缝集成至现有网络架构,并支持与标准 DNS 并行运行,允许企业按自身节奏完成技术迁移。微软指出,过去数月的预览验证已使该功能达到生产环境稳定性要求。这一改进意味着几乎所有网络交互都将受益于加密 DNS 保护,显著提升整体网络安全性。
版本要求与未来规划
启用 DoH 需满足两项条件:运行 Windows Server 2025 并安装最新的 Patch Tuesday 更新。值得注意的是,Windows 客户端此前已支持 DoH,本次 Server 端的正式可用意味着企业内网全部终端均可实现端到端加密 DNS 解析。微软同时透露,Windows DNS Server 与上游 DNS 解析器之间的加密通信支持将在后续更新中推出。
via Neowin
