微软正式宣布 Windows Server DNS 服务器的 DNS over HTTPS (DoH) 功能进入普遍可用 (GA) 阶段。该功能为企业提供加密且经过身份验证的 DNS 解析能力,无需重新设计客户端到解析器的架构即可部署。
核心安全优势
DoH 通过 HTTPS 协议对 DNS 流量进行加密,有效防止未经授权的审查、中间人攻击和流量分析。由于几乎每次网络交互都需要与 DNS 通信,该功能显著提升了整体网络安全性。其零信任架构设计还降低了 DNS 欺骗风险。
技术规格与兼容性
该功能基于互联网工程任务组 (IETF) 定义的 DoH 标准构建,兼容符合 RFC 8484 规范的现代客户端。通过 TLS 证书机制,客户端可验证 DNS 服务器身份,从而实现身份验证层面的防欺骗保护。
部署与迁移
DoH 可无缝集成到现有网络架构中,甚至可与标准 DNS 并行运行,允许企业按自身节奏迁移。部署需满足以下条件:运行 Windows Server 2025 并安装最新的 Patch Tuesday 更新。
后续路线图
微软表示,当前版本专注于加密客户端与解析器之间的通信,而 Windows DNS Server 与上游 DNS 解析器之间的加密通信支持已列入未来更新计划。
via Neowin
