Windows Server 引入 HTTPS DNS 功能，全面提升网络安全防护能力

尽管域名系统（DNS）是现代网络应用的核心基础之一，但它至今仍是互联网上最缺乏安全性的技术环节。为改变这一现状，微软正大力推动加密 DNS 传输的普及。

根据简鹿办公了解，近日，微软宣布在 Windows Server 2025 中正式推出基于 HTTPS 的 DNS（DoH）功能，以实现客户端与服务器之间通信流量的加密。该功能此前已在 Windows 个人版系统中上线多年，如今终于扩展到了服务器操作系统中。

微软表示，为 DNS 流量增加加密支持，能够显著提升网络的安全性和可靠性。作为“零信任”架构的重要组成部分，DoH 此前仅以公开预览版的形式提供。零信任理念认为用户和设备不应被默认视为可信，因此 DoH 通过 TLS 证书保护的 HTTPS 协议来路由 DNS 流量，从而增加了一道额外的安全防护层。

自 1985 年问世以来，几乎所有应用程序、服务和业务负载都在使用 DNS，但其域名解析过程至今仍依赖未加密的明文流量。通过加密客户端与服务器之间的通信，DoH 能够有效防止恶意第三方的窃听。

此外，加密流量还能保护 DNS 数据免遭篡改，并通过 HTTPS/TLS 验证 DNS 服务器的身份。微软的 DoH 实现遵循 IETF 制定的 DNS over HTTPS 标准（RFC 8484），因此能够与现代合规客户端稳定兼容。同时，它也可以无缝集成到现有基础设施中（如 Windows DNS Server 服务）。在需要时，传统的未加密 DNS 流量依然可以与 DoH 并行运行。

在推出 DoH 预览版后，微软联合外部机构对其在实际应用场景中的表现进行了评估。目前，微软确信该功能能够在不给系统管理员增加过多负担的前提下，带来实质性的安全提升。因此，各组织可以根据自身进度逐步采用 DoH，同时保留现有的未加密 DNS 基础设施。

需要注意的是，DoH 功能适用于已更新至最新“补丁星期二”版本的 Windows Server 2025 系统。微软官方已提供详细指南，指导用户如何在 Windows Server DNS 服务中启用和验证该功能。此外，微软也特别提醒：两台 DNS 服务器之间交换的流量不在 DoH 的加密范围内。