在 Windows 11 中，系统自带了对加密 DNS（DoH/DoT）的支持，使用命令行可以快速设置加密 DNS

一、打开终端

按下 win+R 组合键进入「运行」→ 输入 cmd→ 按下shift+ctrl+回车以管理员运行终端

二、全局开启 DoH / DoT 支持

netsh dns set global doh=yes dot=yes

• doh=yes：开启 DoH 支持
• dot=yes：开启 DoT 支持

三、设置dns服务器

设置dot：

netsh dns add encryption server=223.5.5.5 dothost=dns.alidns.com autoupgrade=yes
netsh dns add encryption server=2400:3200:baba::1 dothost=dns.alidns.com autoupgrade=yes 

由于Windows 11图形化界面无法设置dot，autoupgrade必须设置为yes

设置doh：

netsh dns add encryption server=223.5.5.5 dohtemplate=https://dns.alidns.com/dns-query autoupgrade=yes
netsh dns add encryption server=2400:3200:baba::1 dohtemplate=https://dns.alidns.com/dns-query autoupgrade=yes

如果autoupgrade=no强制使用DoH(失败后不会退普通dns)，则必须在图形化设置中将DNS over HTTPS设置为开(自动模板)

其他dns服务器可以看之前我之前发的文章：常见的dns合集

四、在网络适配器中指定这些 DNS 服务器

目前为止，只是设置了dns模板，还需要在网络适配器里把这些 IP 设置为 DNS 服务器

1. 打开「设置」→「网络和 Internet」
2. 选择当前正在使用的网络（如以太网）
3. 进入「DNS 服务器分配」→ 点击「编辑」
4. 选择「手动」，开启 IPv4 / IPv6
5. 分别填入你前面配置的 服务器 IP，例如：
   • IPv4：119.29.29.29、223.5.5.5
   • IPv6：2402:4e00::、2400:3200:baba::1
6. Windows 11 会自动识别出它们有加密模板，并使用 DoH/DoT

ipconfig /all:

wireshark抓包：