Windows DNS Server 上的 DoH(DNS over HTTPS) 现已正式发布(GA)
Windows DNS Server 上的 DoH(DNS over HTTPS) 现已正式可用(GA)
2026 年 6 月 11 日
今天,微软宣布,Windows DNS Server 的 DoH(DNS over HTTPS,基于 HTTPS 的 DNS)支持现已在 Windows Server 2025 上正式发布(General Availability,GA),用于客户端到服务器之间的 DNS 流量。
当微软首次以公开预览版形式推出 Windows DNS Server 的 DNS over HTTPS(DoH)时,微软将其描述为企业网络基础设施 Zero Trust(零信任)升级的重要组成部分。
随着正式可用版本发布,组织现在可以直接在现有本地 DNS 基础架构中部署加密且经过身份验证的客户端到解析器 DNS 通信。
目标是帮助提升隐私保护能力、降低 DNS 欺骗风险 (sysin),并推动 Zero Trust DNS 的发展,而无需重新设计 DNS 解析架构。
此版本帮助组织保护现代网络中最关键、同时传统上暴露程度较高的组件之一,同时保持与现有企业 DNS 部署的兼容性。

为什么 DNS 安全比以往更加重要
DNS 始终是每一次网络交互的核心:
- 每个应用程序;
- 每项服务;
- 每个工作负载;
都依赖 DNS。
然而,长期以来 DNS 流量通常以明文方式传输,这可能导致:
- 敏感查询和响应数据被被动监听;
- 流量分析;
- 中间人攻击(Man-in-the-Middle);
- 未授权查看用户和系统行为。
随着企业环境采用 Zero Trust 架构,并面对不断变化的法规要求,加强 DNS 安全已经不再是可选项,而是基础能力。
Windows DNS Server 中 DoH 带来的能力
DNS over HTTPS 改变了 DNS 流量传输方式。
DNS 查询和响应会被封装在 HTTPS 中,并通过 TLS 加密。
正式版本中,Windows DNS Server 提供以下能力:
| 能力 | 对组织的价值 |
|---|---|
| 加密 DNS(客户端与服务器之间) | • DNS 查询和响应通过 HTTPS 在传输过程中进行加密。• 帮助防止窃听和未经授权的检查。• 帮助保护 DNS 数据在传输过程中不被篡改。 |
| 身份验证 | • TLS 证书帮助客户端验证 DNS 服务器身份。• 降低 DNS 欺骗和冒充攻击风险。 |
| 基于标准的互操作性 | • 基于 IETF DNS over HTTPS 标准 RFC 8484。• 设计用于支持现代 RFC 8484 兼容客户端,包括支持加密 DNS 的 Windows 客户端。 |
| 与现有基础架构集成 | • 直接运行于 Windows DNS Server 角色中,无需额外部署解析器。• 现有 DNS 解析行为保持不变。• 在需要时,传统未加密 DNS 可以与 DoH 并存,实现渐进式部署。• DNS 服务器之间通信仍使用传统未加密 DNS。 |
从预览版到正式发布:有哪些变化
在预览阶段,微软与私营和公共部门组织密切合作,验证真实环境部署,并评估使用体验。
正式发布版本针对生产环境设计,并带来了以下关键优势:
- 更高稳定性;
- 更好的支持能力;
- 更清晰的部署指导;
- 更高的运维信心;
- 更符合企业安全最佳实践和 Zero Trust 架构。
这一里程碑体现了来自不同企业环境的反馈和验证成果。
推进 Zero Trust DNS
Windows DNS Server 上的 DoH 不只是一个功能,它是整个 Windows 生态推动 Zero Trust DNS 的更大策略的一部分。
Windows 客户端已经支持加密 DNS。
现在,Windows Server 提供本地 DNS 解析器对应能力,使终端和基础架构之间能够实现加密且经过身份验证的 DNS 通信。
这种统一方式帮助组织在无需外部 DNS 服务或重新设计架构的情况下,建立一致的名称解析安全策略。
对于许多组织(包括美国联邦机构),这种模式也有助于满足客户端与解析器之间使用加密 DNS 协议的相关要求。
对于遵循美国联邦指导要求,例如:
的组织,此版本支持客户端与 Windows DNS Server 之间使用标准协议进行加密 DNS 通信。
当前版本重点实现:
- 客户端 → DNS 解析器通信加密
未来更新计划支持:
- Windows DNS Server → 上游 DNS 解析器之间的加密通信
这些能力结合后,将帮助构建符合美国联邦 Zero Trust 目标要求的完整加密 DNS 解析链路。
运维方面的预期变化
在 Windows DNS Server 启用 DoH 后:
- 支持的客户端通过 HTTPS 使用加密通信;
- 保持与大多数现有 DNS 部署兼容。
组织可以预期:
- DoH 客户端与 Windows DNS Server 之间的流量通过 TLS 加密;
- DNS 查询通过 HTTPS 请求传输;
- 现有 DNS 功能继续正常运行 (sysin);
- 加密 DNS 与传统 DNS 混合环境同时支持。
这使组织能够逐步采用加密 DNS,而不会影响现有工作负载。
开始使用
DoH 已在运行 2026 年 6 月 9 日更新(或更高版本)的 Windows Server 2025 上提供。
推荐部署流程:
- 配置可信 TLS 证书。
- 在 DNS Server 服务中启用 DoH。
- 配置支持的客户端使用安全端点。
更多详细信息请参阅:
在 DNS Server 中启用 DNS over HTTPS
构建更加安全的基础网络
DNS 长期以来一直是企业网络中最关键、同时暴露程度最高的协议之一。
随着 Windows DNS Server 中 DoH 正式发布,组织现在可以进一步保护这一基础能力。
建议将加密 DNS 引入现有基础架构:
- 提升组织安全水平;
- 更好地符合现代 Zero Trust 原则;
- 保护敏感网络信号避免暴露。
您的 DNS Server 软件已经完成升级,现在已准备好投入生产环境。
下载地址
Windows Server 2025 LTSC 简体中文版、繁体中文版、英文版 (updated Jun 2026):
请访问:https://sysin.org/blog/windows-server-2025/
虚机模板下载:
更多:Windows 下载汇总

浙公网安备 33010602011771号