[译] Windows Insiders 现在可以测试 DNS over HTTPS

Windows Insiders can now test DNS over HTTPS

原文链接

如果您一直在等待在 Windows 10 上尝试通过 HTTPS （ DoH ） 进行 DNS 认证，那么很幸运：Windows Insiders 现在提供了第一个可测试版本！ 如果你没有期待，并且想知道 DoH 的全部意义，那么请注意，此功能将改变你的设备连接 Internet 的方式，并且处于早期测试阶段，因此只有在你确定已经准备好后再操作。 话虽如此，如果您想看到 Windows DoH 客户端的运行情况并帮助我们为客户提供更隐私的 Internet 体验，则需要执行以下操作：

首先，确定你的微软账户加入了 Windows Insider 计划。如果是，那么确定处于快速通道后跳转到第二步。如果不是，去这里然后按照快速通道的说明进行操作，完成后就可以收到最新的 Insider 预览版本。

全部完成后，打开 Windows Update，重启，然后确定正在运行 19628 或更高版本。你可以在 “设置 --> 系统 --> 关于” 中查看。

知道你的 Windows 安装了 DoH 客户端后，按照以下步骤激活：

• 打开注册表编辑器
• 导航到
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters
  注册表项
• 新建一个名为 EnableAutoDoh 的 DWORD 值
• 将值设置为 2

请注意：此处描述的注册表项和值仅用于在 Insider 版本中测试 DoH 客户端。 当 DoH 客户端在常规发行版中可用时将不再支持 DoH 的注册表配置。

现在 DoH 客户端已启用，如果你已经设置了以下服务器之一，Windows 将会开始使用 DoH：

你可以在控制面板或者 “ 设置 ” 应用中使用以上任何一个 IP 地址配置作为Windows 的 DNS 服务器。Windows 将会在 DNS 服务重启后开始使用 DoH 来代替传统的 DNS 端口 53 与以上服务器进行交流。触发 DNS 服务重启的最简单的方法就是重启电脑。

在控制面板中添加 DNS 服务器：

• 前往 网络和 Internet --> 网络和共享中心 --> 修改适配器设置
• 右键点击你想要添加 DNS 服务器的连接，然后点击属性
• 选择 “ Internet 协议版本 4 （TCP / IPv4）” 或 “ Internet 协议版本 6 （TCP / IPv6）” 然后点击属性。
• 确保 “使用以下 DNS 服务器地址” 已选中然后将 DNS 服务器地址添加到下面的字段中

你现在已将 Windows 配置为使用 DoH ，应该可以通过查看设备中没有纯文本 DNS 流量来验证其是否正常运行。 你可以使用Packetmon（ Windows 附带的网络流量分析器）来执行此操作。

首先打开一个新的命令提示符或 PowerShell 窗口。 运行以下命令以重置任何可能已安装 PacketMon 的网络流量筛选器。

pktmon filter remove

运行以下命令，为端口 53 （传统 DNS 使用的端口）添加流量过滤器（由于我们仅使用 DoH ，现在该端口应该没有流量）。

pktmon filter add -p 53

运行以下命令以开始实时记录流量。 所有端口 53 数据包都将打印到命令行。 如果你的设备仅配置有 DoH 服务器，则应显示很少或没有流量。

pktmon start --etw -m real-time

如果你要测试不在我们的自动优先列表中的 DoH 服务器（例如 ISP 的 DoH 服务器），则可以使用命令行将其手动添加到我们的列表中。 首先，为要添加的服务器标识 IP 地址和 DoH URI 模板。 然后，以管理员身份运行以下命令：

netsh dns add encryption server=你的服务器 IP 地址 dohtemplate=你的 DoH URI 模板

你可以通过运行以下命令来验证模板是否已应用到知名的 DoH 服务器列表中，该命令应向你显示用于给定 IP 地址的模板：

netsh dns show encryption server=你的服务器 IP 地址

现在当 Windows 配置为使用该 IP 地址作为 DNS 服务器时，它将使用 DoH 而不是传统 DNS 。