如何让 win11 的 doh 支持域名

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

升级到 Windows 11

这是一个创建于 1456 天前的主题，其中的信息可能已经有所发展或是发生改变。

在 tg 聊天的时候发现了有人的系统 dns 设置和我手上几台都不一样，后面百度到了一些资料，时间线大概是这样的：

微软先发布 doh 的内测，支持使用普通的 dns 解析域名再使用域名作为 doh 服务器

之后微软砍掉了 doh 功能，再次上线后只允许白名单 ip 开启 doh 功能，给出的解释是解析 doh 域名的过程中有可能被劫持

道理我都懂，但是现在还有机会开启早期测试的 doh 吗，或者有没有什么比较好用的软件可以设置系统级的 doh 解析

左边是群友的，右边是我的

doh

域名

DNS

解析

17 条回复 2023-01-13 15:34:41 +08:00

love4taylor

PRO

2021-10-17 09:11:09 +08:00 via iPhone

https://github.com/mili-tan/AuroraDNS.GUI

yfugibr

2021-10-17 09:33:31 +08:00 via Android

dnscrypt-proxy, yogadns, simpledns

hingbong

2021-10-17 09:47:31 +08:00 via Android

https://docs.microsoft.com/en-us/windows-server/networking/dns/doh-client-support
用命令就能添加了，我都是用的 Windows 自带的 doh 客户端

yin1999

2021-10-17 09:50:46 +08:00 via Android

就用 IP 吧，如果系统白名单里面没有，可以自己手动在注册表里面添加

https://gist.github.com/yin1999/36e3aa82cf6cce56a67cba490136641b

hez2010

2021-10-17 12:55:12 +08:00

我是 dev insider 版本的，DNS 配置和左边的图一样

kebamt

2021-10-17 14:48:49 +08:00

求问不用第三方件怎么开启 DoH 呢？

ZhiyuanLin

2021-10-17 15:59:45 +08:00

https://gist.github.com/zhiyuan-lin/d2b883d67d4d72644d475b012bed9bd4
白名单可以用 PowerShell 添加，微软相关负责人明确说他们不会支持域名方式的 DoH 。
例如这个添加 AdGuard DNS 的。
```
Add-DnsClientDohServerAddress -ServerAddress '94.140.14.14' -DohTemplate 'https://dns.adguard.com/dns-query' -AllowFallbackToUdp $False -AutoUpgrade $True
Add-DnsClientDohServerAddress -ServerAddress '94.140.15.15' -DohTemplate 'https://dns.adguard.com/dns-query' -AllowFallbackToUdp $False -AutoUpgrade $True
Add-DnsClientDohServerAddress -ServerAddress '2a10:50c0::ad1:ff' -DohTemplate 'https://dns.adguard.com/dns-query' -AllowFallbackToUdp $False -AutoUpgrade $True
Add-DnsClientDohServerAddress -ServerAddress '2a10:50c0::ad2:ff' -DohTemplate 'https://dns.adguard.com/dns-query' -AllowFallbackToUdp $False -AutoUpgrade $True
```

tanghongkai

2021-10-17 18:39:34 +08:00

@hez2010 我猜测这是第一版的 doh，后面被砍掉了，你的版本号是多少呢

JonyOang

2021-10-17 19:41:26 +08:00

通过命令添加了可用，但针对 Wi-Fi 仅能全局设置，不能针对不同配置链接使用，可能姿势不对？

x66

2021-10-17 20:29:33 +08:00

我没太明白，如果系统的 doh 能配置为一个域名，那 doh 本身的域名应该由谁来负责解析？感觉像是鸡生蛋的问题？

ysc3839

2021-10-17 21:15:23 +08:00 via Android

@x66 就是用不安全的 DNS 来解析的。

x66

2021-10-17 21:18:03 +08:00

@ysc3839 如果是浏览器里面使用域名的 doh 还有操作系统的不安全 dns 来解析，可以理解。
那操作系统都配成域名的 doh，哪里还有不安全的 dns 来解析？

ysc3839

2021-10-17 22:14:03 +08:00 via Android

@x66 这我就不知道了，我没去了解过各个系统的做法。

tanghongkai

2021-10-18 16:26:55 +08:00

@x66 需要你填一个传统的 dns 用来解析那个域名，第一张图首选 DNS 只能填 ip，后面模板填 doh 的域名

tanghongkai

2021-10-18 16:27:49 +08:00

@x66 用来解析域名的那个 dns 可能不安全，把你的 doh 域名污染了

hez2010

2021-10-19 13:25:00 +08:00

@tanghongkai 最新的 dev insider 22478

tjysb

2023-01-13 15:34:41 +08:00

@x66 系统需要先用传统 DNS 请求解析 DoH 服务器的域名，然后再去连接这个解析出的 DoH 服务器 IP ，如果这次 DNS 解析被污染了，得到的 DoH 服务器 IP 可能并不是真实的。win 采用的方式是，绑定域名与 IP ，系统首次 DDS 查询一定是连这个 IP ，之后 DoH 服务器可以返回其他的距离用户更快的节点 IP 给用户。（大部分 DoH 都支持这个）