[技巧] 微软为Windows 11带来加密DNS自动查找功能(DNR) 以下是开启方法

网络指定解析器发现(DNR)是即将推出的IETF标准，该标准主要功能是用于自动发现提供加密的DNS服务器。

在有DNR前从本地网络获取 DNS 服务器的设备将无法使用加密DNS，除非用户手动查找并配置相关服务器。

在有DNR后设备能够在客户端使用加密的DNS协议 , 例如DoH 或 DoT等加密协议，无需手动在设备上配置。

Windows 11 Can Build 25982+ 已经支持此功能，不过目前尚未开启，需要用户修改注册表进行手动开启。

客户端DNR是如何工作的：

在启用DNR后机器首先会查询本地 DHCP 服务器以获取IP地址，查询期间它还会请求特殊的DNR特定地址。

这里的DNR特定地址指的是DCHPv4协议查询OPTION_V4_DNR，DHCPv6协议则查询OPTION_V6_DNR。

开启客户端DNR的本地DHCP服务器向自动获取加密DNS的所需信息，例如IP地址、协议、端口和验证信息。

收到此信息后客户端回自动与通过 DNR 发现的服务器建立加密的DNS隧道，不需要用户手动填写DNS信息。

从用户角度来看，正常联网的情况下就可以自动切换为加密的DNS隧道 , 无需额外工作即可更好的保护隐私。

如何启用DNR功能：

目前此功能仅支持Windows 11 Build 25982及后续版本，如果使用的版本低于此版本号则暂时还没有支持。

在受支持的版本上打开管理员模式的命令提示符，然后执行下面命令创建注册表启用或关闭解析器自动发现。

注意：对于国内用户仅建议专业用户进行测试，不建议普通用户开启，否则使用国外加密DNS后速度可能慢。

关于DNR的其他注意事项：

在测试期间微软与英国电信集团进行合作，英国电信在服务器上部署DNR原型让Windows 11可以获取DNS。

英国电信提供的DNS服务器支持DHCPv4和DHCPv6，同时英国电信DNS服务器已经部署DNS over HTTPS。

不过微软仅在Windows 11中实现IETF草案中的部分配置，因此不支持ADN模式、IPv6 RA 不支持加密DNS。