【第3季第2篇】Windows Server 2025 DNS:DNS over HTTPS、Geo-Resolution 与最新安全配置
系列:爱依航 · Windows Server 2025 运维系列
本篇主题:DNS 服务器部署与新特性(WS2025 新版)
环境:域名 iehang.cn / IP 192.168.10.10
开篇:DNS 的进化终于到了
从明文 DNS 查询,到 DNSSEC(签名验证),再到今天的 DNS over HTTPS(加密传输),DNS 安全这条路走了 20 年。
WS 2025 把 DoH 带入了企业内网 DNS 服务器,不再只是浏览器的事。
对于 AD 域环境来说,这是一个真正的安全升级:域控制器和成员服务器之间的 DNS 通信,终于可以被加密保护了。
Part 1 · WS 2025 DNS 基础部署
# 安装 DNS 角色
Install-WindowsFeature -Name DNS -IncludeManagementTools
# 配置上游转发器
Set-DnsServerForwarder -IPAddress 192.168.10.1 -Timeout 5
Add-DnsServerForwarder -IPAddress 8.8.8.8
# 验证 DNS 服务
Get-Service DNS
Get-DnsServer | Select-Object Name,IsMaster,Forwarders
Part 2 · DNS over HTTPS(DoH)配置
DoH 是什么
传统 DNS 使用 UDP/TCP 53 明文传输,任何中间设备都能看到查询内容。
DoH 把 DNS 查询封装在 HTTPS(443端口)里,流量看起来像普通网页访问,无法被轻易识别和拦截。
WS 2025 DNS 服务器可以同时作为 DoH 客户端(转发时)和 DoH 服务器(接收 DoH 查询)。
配置 DoH 服务器(WS 2025 新增)
# 启用 DoH(需要先配置证书)
# 方式一:通过 PowerShell 启用
Set-DnsServerDoHConfiguration -IPAddress 192.168.10.10 `
-Name "https://dns.iehang.cn/dns-query" `
-AutoUpgrade $true `
-Authentication "Certificate" `
-CertificateThumbprint "YOUR_CERT_THUMBPRINT"
# 方式二:通过 GUI
# DNS 管理器 → 右键服务器 → 属性 → 高级 → 启用 DNS over HTTPS
前提条件: 需要一张有效的 SSL 证书(可以是自签名测试用,生产环境建议用 AD CS 或 Let's Encrypt)。
验证 DoH
# 查看 DoH 配置
Get-DnsServerDoHConfiguration -IPAddress 192.168.10.10
# 测试 DoH 查询(WS 2025 新增测试命令)
Test-DnsServerDoH -IPAddress 192.168.10.10 -Name "dc.iehang.cn"
# 在客户端上测试 DoH(Windows 11 / Windows Server 2025)
Set-DnsClientDohPolicy -ServerAddress 192.168.10.10 `
-AutoUpgrade $true `
-AllowFallbackToUdp $true
Part 3 · DNS Policy Geo-Resolution(地理位置解析,WS 2025 增强)
WS 2025 增强了 DNS Policy,支持基于客户端地理位置(Subnet 定义)返回不同的解析结果。
场景:根据访问来源返回不同 IP
# 定义子网(IT 部门)
Add-DnsServerClientSubnet -Name "IT-Subnet" -IPv4Subnet "192.168.10.0/24"
# 定义子网(研发部门)
Add-DnsServerClientSubnet -Name "RD-Subnet" -IPv4Subnet "192.168.10.0/25"
# 定义内部资源记录(双 IP)
Add-DnsServerResourceRecordA -ZoneName "iehang.cn" -Name "internal-app" -IPv4Address "192.168.10.50"
Add-DnsServerResourceRecordA -ZoneName "iehang.cn" -Name "internal-app" -IPv4Address "192.168.10.51"
# 为 IT 子网创建 Zone Scope(优先返回 192.168.10.50)
Add-DnsServerZoneScope -ZoneName "iehang.cn" -Name "IT-Scope"
Add-DnsServerResourceRecordA -ZoneName "iehang.cn" -Name "internal-app" `
-IPv4Address "192.168.10.50" -ZoneScope "IT-Scope"
# 创建 DNS Policy 绑定
Add-DnsServerQueryResolutionPolicy -Name "IT-InternalApp-Policy" `
-ZoneName "iehang.cn" `
-ClientSubnet "EQ,IT-Subnet" `
-Action ALLOW `
-ZoneScope "IT-Scope" `
-PassThru
Part 4 · WS 2025 DNS 安全加固清单
# 1. 启用 DNS RRL(Response Rate Limiting)
Set-DnsServerRRL -Mode Enable -ResponsesPerSec 10 -ErrorsPerSec 20 -Window 5
# 2. 开启 DNSSEC 验证
Set-DnsServerDnsSecZoneSetting -ZoneName "iehang.cn" -SecureSecondaries SendSecure
# 3. 审核 DNS 查询日志(WS 2025 增强)
Set-DnsServerLogging -LogIPFilterQueries $true -LogQueries $true
Get-WinEvent -FilterHashtable @{LogName="DNS Server";StartTime=(Get-Date).AddDays(-1)} -MaxEvents 100
# 4. 检查未知来源的 DNS 查询(防 DNS 隧道攻击)
Get-WinEvent -FilterHashtable @{LogName="DNS Server";ID=256} -MaxEvents 50 | `
Where-Object {$_.Message -notlike "*192.168.10.*"} | Select TimeCreated,Message
Part 5 · 常见故障
故障一:DoH 启用后内部解析失败
# 降级 DoH 到仅对外部查询使用
Set-DnsServerDoHConfiguration -IPAddress 192.168.10.10 -AutoUpgrade $false
# 清除 DNS 缓存
Clear-DnsServerCache -ComputerName localhost
# 客户端回退到 UDP DNS
Set-DnsClientDohPolicy -ServerAddress 192.168.10.10 -AllowFallbackToUdp $true
故障二:DNS Policy 导致部分客户端无法解析
# 查看所有 Policy 状态
Get-DnsServerQueryResolutionPolicy -ZoneName "iehang.cn" | Format-Table Name,Enabled,Priority
# 禁用有问题的 Policy
Disable-DnsServerQueryResolutionPolicy -Name "Problematic-Policy"
# 临时清除所有自定义 Policy
Remove-DnsServerQueryResolutionPolicy -ZoneName "iehang.cn" -All
下期预告
WS 2025 DHCP 来了:DHCP over HTTPS、Azure Arc 集成、IPv6 DHCP Improvements……
下一期:Windows Server 2025 DHCP 部署与 Azure 混合管理。