Windows 11开启DNS over HTTPS(DoH)有四种方法:一、通过设置手动配置;二、用netsh命令添加自定义DoH服务器(如阿里DNS);三、通过本地组策略强制启用(专业版/企业版);四、清除策略残留并重置DNS客户端状态。
如果您在 Windows 11 中希望提升网络隐私与安全性,但发现 DNS 查询仍以明文方式传输,则可能是系统未启用 DNS over HTTPS(DoH)加密功能。以下是开启 Windows 11 原生 DoH 加密 DNS 的多种可行方法:
一、通过系统设置手动配置DoH
该方法适用于大多数标准网络环境,无需第三方工具或命令行操作,直接利用 Windows 11 内置的网络设置界面完成配置,要求所选 DNS 服务器已预置在系统白名单中或已通过命令添加。
1、按 Win + I 打开“设置”应用。
2、点击左侧边栏的网络和 Internet,再根据当前连接类型选择WLAN(无线)或以太网。
3、在右侧找到并点击硬件属性(WLAN需先点此;以太网可跳过此步直接进入下一步)。
4、在“DNS 服务器分配”区域,点击编辑按钮。
5、将配置方式从自动(DHCP)切换为手动。
6、开启IPv4开关,在“首选 DNS”栏输入支持 DoH 的服务器地址,例如 8.8.8.8,并在其右侧下拉菜单中选择仅加密(通过HTTPS的DNS)。
7、在“备用 DNS”栏输入另一支持 DoH 的地址,例如 1.1.1.1,同样选择仅加密(通过HTTPS的DNS)。
8、点击保存,系统将立即应用新 DNS 设置。
二、使用netsh命令添加自定义DoH服务器(如阿里DNS)
Windows 11 默认仅允许启用内置白名单中的 DNS 服务器进行 DoH 加密。若需使用国内常用且低延迟的阿里 DNS(223.5.5.5),必须先通过 netsh 命令将其注册进系统加密 DNS 列表,否则“仅加密”选项将呈灰色不可选。
1、以管理员身份运行命令提示符(CMD)或 PowerShell。
2、执行以下命令添加阿里 DNS 的 DoH 终端:
netsh dns add encryption 223.5.5.5 "https://dns.alidns.com/dns-query" no no。
3、验证是否添加成功:运行 netsh dns show encryption,确认输出中包含 223.5.5.5 及对应 URL。
4、返回网络设置界面,按方法一第4–8步操作,在“首选 DNS”中填入 223.5.5.5 并启用“仅加密”选项。
三、通过本地组策略强制启用DoH(适用于专业版/企业版)
当系统设置界面无法启用加密选项,或存在策略级限制时,可通过组策略编辑器覆盖默认行为,强制启用加密 DNS 解析能力,尤其适用于域环境或受管设备。
1、按 Win + R 输入 gpedit.msc,回车打开本地组策略编辑器。
2、导航至路径:计算机配置 > 管理模板 > 网络 > DNS 客户端。
3、在右侧双击打开配置加密的名称解析策略。
4、选择已启用,并在下方“加密的名称解析”设置中勾选允许加密(而非“禁止加密”)。
5、点击确定保存策略设置。
6、以管理员身份运行 CMD,执行 gpupdate /force 强制刷新组策略。
7、重启计算机使策略完全生效,之后再进入网络设置即可启用 DoH。
四、清除策略残留并重置DNS客户端状态
若此前尝试启用 DoH 失败后出现策略反复还原、选项灰显或设置无法保存等问题,可能因组策略缓存或 DNS 客户端状态异常导致,需彻底清理相关配置文件并重建策略数据库。
1、以管理员身份运行命令提示符。
2、依次执行以下两条命令(注意第二条会删除全部本地组策略):
RD /S /Q "%WinDir%\System32\GroupPolicy"
RD /S /Q "%WinDir%\System32\GroupPolicyUsers"。
3、执行 gpupdate /force 重新生成默认组策略。
4、重启系统后,再使用方法一或方法二配置 DoH。
