[教程]如何开启Win10 DoH加密查询功能？

5月15日消息  在近日的 Windows 10 预览版本中，微软让 Insider 测试者们有机会对通过安全超文本传输协议(HTPPS)传输的域名解析服务(DNS)进行测试。感兴趣的朋友可安装 Windows 10 build 19628 以上的编译版本(Fast Ring / 快速更新通道)，然后手动启用 DNS over HTTPS(以下简称 DoH) 。如果不清楚自己的系统版本号，可按 WinKey + R 组合键，输入“winver”并查询。

确认系统版本号后，便可通过注册表编辑器等工具激活 DoH 客户端：

● 首先以管理员身份，在开始菜单中运行‘regedit’;

● 导航 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters;

● 新建名为‘EnableAutoDoh’的 DWORD 值、并设定为‘2’;

● 重启计算机以正式激活 DoH 功能。

需要指出的是，目前只有 Cloudflare、Google 和 Quad9 等大型网络服务商支持 DoH，下面是外媒 Softpedia 提供的一些参考。

如需更改Windows10 操作系统中的 DoH 域名解析服务器的设置，可参考如下方法：

网络与互联网 -> 网络与共享中心-> 更改适配器设置-> 邮件连接-> 选择属性-> 互联网协议 IPv4 / IPv6(请按实际情况选择)-> 属性 -> 手动指定 DNS 地址

配置支持DoH的公共DNS服务器：

CloudFlare & APNIC 亚太互联网信息中心：1.1.1.1 1.0.0.1 2606:4700:4700::1111 2606:4700:4700::1001

谷歌公司运营的加密公共DNS服务器地址如下：8.8.8.8 8.8.4.4 2001:4860:4860::8888 2001:4860:4860::8844

由IBM公司为主运营的Quad9公共DNS服务器地址如下：9.9.9.9 149.112.112.112 2620:fe::fe 2620:fe::9

转到Windows 10设置、网络、状态、高级、更改适配器选项，然后右键正在使用的网卡点属性、协议版本设置。

在双击IPv4/IPv6协议然后点击使用下面的DNS服务器地址，接下来输入上面那些支持DoH的公共DNS地址即可。

查看DNS请求数据是否已经加密：

Windows 10自带 Packetmon 工具可以用来分析网络流量，借助该工具我们可以用来验证配置DoH后流量状态。

# 打开PowerShell

# 重置网络流量分析

pktmon filter remove

# 过滤普通DNS服务器的53端口流量

pktmon filter add -p 53

# 开始记录数据

pktmon start --etw -m real-time

# 高级设置

# 如果你需要测试自定义DNS服务器请使用以下命令添加模板

netsh dns add encryption server= dohtemplate=

# 使用该命令可查询给定DNS地址已配置的模板

netsh dns show encryption server=

本月晚些时候，Windows 10 Version 2004(又称 2020 五月更新)将向广大用户开始推送。不过预计到今年下半年的时候，微软才会正式将 DoH 域名解析服务引入 Windows 10 秋季更新。