Microsoft перевела поддержку DNS-over-HTTPS (DoH) для DNS-сервера в Windows Server из предварительной версии в общую доступность. Функция шифрует трафик DNS между клиентом и сервером и доступна на Windows Server 2025. Об этом сообщил Хорхе Каньяс (Jorge Canas) в блоге команды Windows Core Networking 11 июня 2026 года.
DoH помещает DNS-запросы и ответы внутрь соединения HTTPS, зашифрованного по TLS. Раньше трафик DNS в корпоративных сетях передавался открытым текстом, что позволяло перехватывать запросы, анализировать поведение пользователей и проводить атаки типа «человек посередине». Теперь организации могут развернуть зашифрованную и аутентифицированную связь «клиент – резолвер» внутри уже имеющейся локальной инфраструктуры DNS, не перестраивая её архитектуру.
Что DoH даёт DNS-серверу Windows
С выходом в общую доступность DNS-сервер Windows получает четыре ключевые возможности:
| Возможность | Что это даёт организациям |
|---|---|
| Шифрование DNS (между клиентом и сервером) |
|
| Аутентификация |
|
| Совместимость на основе стандартов |
|
| Интеграция с существующей инфраструктурой |
|
Что изменилось по сравнению с предварительной версией
В период предварительной версии Microsoft отрабатывала развёртывания совместно с организациями частного и государственного сектора. По итогам этой работы релиз общей доступности предназначен для использования в производственных средах и приносит несколько улучшений:
- повышенная стабильность и улучшенная поддерживаемость;
- более чёткое руководство по развёртыванию;
- большая операционная предсказуемость;
- лучшее соответствие корпоративным практикам безопасности и моделям нулевого доверия (Zero Trust).
Шаг к модели «нулевого доверия» и федеральные требования США
Microsoft рассматривает DoH на DNS-сервере Windows как часть более широкой стратегии нулевого доверия DNS в экосистеме Windows. Клиенты Windows уже поддерживают зашифрованный DNS, а теперь серверную часть на локальном резолвере обеспечивает Windows Server. Такой подход помогает выстроить единый уровень безопасности для разрешения имён без внешних служб DNS и без перепроектирования архитектуры.
Релиз также помогает организациям, в том числе федеральным ведомствам США, выполнять требования к зашифрованным протоколам DNS между клиентами и резолверами – например, директиву OMB M-22-09 и руководство NIST по развёртыванию защищённого DNS (NIST SP 800-81r3).
Важное ограничение: текущий релиз шифрует только связь «клиент – резолвер». Связь между DNS-серверами по-прежнему идёт по традиционному незашифрованному DNS. Поддержку зашифрованного обмена между DNS-сервером Windows и вышестоящими резолверами Microsoft запланировала на будущее обновление.
Требования и порядок включения
DoH доступен на Windows Server 2025 с установленным обновлением от 9 июня 2026 года (KB5094125, сборка ОС 26100.32995) или более новым. Для входящих подключений DoH потребуется открыть TCP-порт 443 в брандмауэре.
Рекомендованный порядок развёртывания:
- настроить доверенный TLS-сертификат;
- включить DoH в службе DNS-сервера;
- настроить поддерживаемые клиенты на использование защищённой конечной точки.
Подробные инструкции приведены в документации Microsoft по включению DNS-over-HTTPS на DNS-сервере.