Überwachen von DNS über HTTPS in DNS Servern (Vorschau)

Von Bedeutung

DNS over HTTPS (DoH) für DNS Server unter Windows Server befindet sich derzeit in der VORSCHAU. Diese Informationen beziehen sich auf eine Vorabversion des Produkts, an der vor der Veröffentlichung noch wesentliche Änderungen vorgenommen werden können. Microsoft übernimmt keine Gewährleistungen, ausgedrückt oder impliziert, in Bezug auf die hier bereitgestellten Informationen.

In diesem Artikel wird erläutert, wie DNS-über HTTPS-Aktivitäten (DoH) auf DNS-Server mithilfe von Ereignisprotokollen und Leistungsindikatoren überwacht werden.

Wenn Sie DoH auf Ihrem DNS-Server aktivieren, benötigen Sie Einblicke in verschlüsselten DNS-Datenverkehr für die Kapazitätsplanung, Leistungsanalyse und betriebsbezogene Sensibilisierung. Da DoH-Datenverkehr verschlüsselt ist, können herkömmliche Netzwerküberwachungstools die DNS-Abfragen nicht überprüfen. Die in diesem Artikel beschriebenen doH-spezifischen Ereignisse und Leistungsindikatoren helfen Ihnen, verschlüsselte Abfrageaktivitäten, den Durchsatz zu messen und potenzielle Probleme mit Ihrem DoH-Dienst zu identifizieren.

DoH verschlüsselt DNS-Datenverkehr, indem DNS-Nachrichten in HTTPS gekapselt werden. Weitere Informationen zur Funktionsweise von DoH finden Sie unter DNS-Verschlüsselung mithilfe von DNS über HTTPS.

Voraussetzungen

Bevor Sie beginnen, stellen Sie sicher, dass Sie folgendes haben:

• Windows Server 2025 mit dem Sicherheitsupdate 2026-02 (KB5075899)) oder höher installiert.
• DNS über HTTPS aktiviert und auf Ihrem DNS-Server konfiguriert (siehe Aktivieren von DNS über HTTPS in DNS Server).
• Administrator oder gleichwertiger Zugriff auf den Windows Server, auf dem der DNS-Serverdienst gehostet wird.
• Grundlegendes Verständnis der Windows-Ereignisanzeige und des Leistungsmonitors.

Anzeigen von Serverprotokollen

Das System aktiviert standardmäßig Überwachungsprotokolle. Diese Protokolle wirken sich nicht erheblich auf die DNS-Serverleistung aus. DNS-Server-Auditereignisse ermöglichen die Nachverfolgung von Start-, Herunterfahr- und Änderungsprozessen auf dem DNS-Server. So zeigen Sie DoH-Protokolle an:

1. Wählen Sie die Schaltfläche "Start ", geben Sie " Ereignisanzeige" ein, und öffnen Sie die Ereignisanzeige aus der liste der besten Übereinstimmungen.

2. Wechseln Sie in der Ereignisanzeige zu "Anwendungen und Dienste > DNS Server".

3. Um nach DoH-spezifischen Ereignissen zu filtern, klicken Sie mit der rechten Maustaste auf DNS-Server, wählen Sie "Aktuelles Protokoll filtern" aus, und geben Sie im Filterdialogfeld die folgenden DoH-Ereignis-IDs in das Feld "Alle Ereignis-IDs" ein: 597, 598, 599, 600, 601, 602, 603 Wählen Sie "OK" aus, um den Filter anzuwenden.

Serverereignisse

In der folgenden Tabelle sind DoH-Überwachungsereignisse zusammengefasst.

Ereignis-ID	Typ	Kategorie	Ebene	Fehlermeldungstext
822	DoH-URL registriert	DNS über HTTPS	Information	Successfully started HTTP server for DNS-over-HTTPS (DoH) server. The DoH server is listening on following URL(s): %1
823	Fehler bei der DoH-Initialisierung	DNS über HTTPS	Fehler	The DNS server could not initialize the HTTP server for DNS-over-HTTPS (DoH) and failed with error code %1.
824	DoH-Sitzungen fehlgeschlagen	DNS über HTTPS	Fehler	The DNS server could not create the HTTP server session for DNS-over-HTTPS (DoH) and failed with error code %1.
825	DoH-URL-Erstellung fehlgeschlagen	DNS über HTTPS	Fehler	The DNS server could not register the URL: %1 for the DNS-over-HTTPS (DoH) server and failed with error code %2.
826	Fehler beim Erstellen der DoH-Anfragewarteschlange	DNS über HTTPS	Fehler	The DNS server could not create the HTTP request queue for DNS-over-HTTPS (DoH) and failed with error code %1.
827	DoH-Konfiguration	DNS über HTTPS	Information	The configuration for DNS-over-HTTPS (DoH) server are: %1
828	DoH abschalten	DNS über HTTPS	Information	The DNS-over-HTTPS (DoH) server has shut down gracefully.
829	DoH-Fehler beim Herunterfahren	DNS über HTTPS	Fehler	The DNS-over-HTTPS (DoH) server has shut down due to an error and failed with error code %1.

Anzeigen analytischer Ereignisse

Analytische Ereignisse sind standardmäßig nicht aktiviert, Sie müssen sie aktivieren, um doH-spezifische analyseereignisse anzuzeigen. DoH-Analyseereignisse bieten detaillierte Informationen zu verschlüsselten DNS-Abfrage- und Antwortaktivitäten, z. B. Abfragenamen, Typen, Antwortcodes und Verarbeitungszeiten. Sie können doH-spezifische Ereignisse anzeigen, die verschlüsselte Abfrage- und Antwortaktivitäten nachverfolgen, indem Sie die folgenden Schritte ausführen:

So aktivieren Sie die DNS-Diagnoseprotokollierung

1. Wählen Sie im Knoten Anwendungen und Diensteprotokolle > Microsoft > Windows > DNS-Server den 'DNS-Server' mit der rechten Maustaste aus, wählen Sie Ansicht und dann Analyse- und Debug-Logs anzeigen aus. Das Analyseprotokoll wird angezeigt.

2. Klicken Sie erst mit der rechten Maustaste auf Analytisch, und wählen Sie dann Eigenschaften aus.

3. Wenn Sie die Protokolle aus der Ereignisanzeige abfragen und anzeigen möchten, wählen Sie Wenn die maximale Ereignisprotokollgrößeerreicht ist, wählen Sie Ereignisse nicht überschreiben (Protokolle manuell löschen), aktivieren Sie das Kontrollkästchen Protokollierung aktivieren, und wählen Sie dann OK aus, wenn Sie gefragt werden, ob Sie dieses Protokoll aktivieren möchten.

4. Wenn Sie die Umlaufprotokollierung aktivieren möchten, wählen Sie Nach Bedarf überschreiben (älteste Ereignisse zuerst) und dann Protokollierung aktivieren aus. Nach dem Auswählen von OK wird ein Abfragefehler angezeigt. Die Protokollierung erfolgt auch dann, wenn dieser Fehler angezeigt wird. Der Fehler bedeutet nur, dass Sie die Ereignisse, die derzeit in der Ereignisanzeige protokolliert werden, nicht anzeigen können.

5. Wählen Sie OK aus, um das Analyseereignisprotokoll für DNS-Server zu aktivieren.

   

Analyseprotokolle werden standardmäßig in die Datei %SystemRoot%\System32\Winevt\Logs\Microsoft-Windows-DNSServer%4Analytical.etl geschrieben. Im nächsten Abschnitt werden die DoH-Ereignisse erläutert, die in den DNS-Serverüberwachungs- und Analyseereignisprotokollen angezeigt werden.

DNS über HTTPS-Analyseereignisse

DoH-Analyseereignisse ähneln standardmäßigen DNS-Analyseereignissen, verfolgen jedoch nur verschlüsselte Abfragen und Antworten. Weitere Informationen zu den Protokollen, die für den DNS-Serverdienst verfügbar sind, finden Sie unter Aktivieren der DNS-Protokollierung und -Diagnose.

In der folgenden Tabelle werden die DoH-Analyseereignisse beschrieben:

Ereignis-ID	Typ	Kategorie	Fehlermeldungstext
597	Empfangene verschlüsselte Abfrage	Suche	QUERY_RECEIVED: Channel=%1; %2; InterfaceIP=%3; Source=%4; RD=%5; QNAME=%6; QTYPE=%7; XID=%8; Port=%9; Flags=%10; PacketData=%12; AdditionalInfo = VirtualizationInstanceOptionValue: %13; GUID=%14; %15
598	Verschlüsselte Antwort gesendet	Suche	RESPONSE_SUCCESS: Channel=%1; %2; InterfaceIP=%3; Destination=%4; AA=%5; AD=%6; QNAME=%7; QTYPE=%8; XID=%9; DNSSEC=%10; RCODE=%11; Port=%12; Flags=%13; Scope=%14; Zone=%15; PolicyName=%16; PacketData=%18; AdditionalInfo= %19; DataTag=%20; ElapsedTime=%21; GUID=%22; %23; %24;
599	Verschlüsselter Antwortfehler	Suche	RESPONSE_FAILURE: Channel=%1; %2; InterfaceIP=%3; Reason=%4; Destination=%5; QNAME=%6; QTYPE=%7; XID=%8; RCODE=%9; Port=%10; Flags=%11; Zone=%12; PolicyName=%13; PacketData=%15; AdditionalInfo = VirtualizationInstance: %14; ElapsedTime=%17; GUID=%18; %19
600	Verschlüsselte Abfrage abgelehnt	Suche	IGNORED_QUERY: Channel=%1; %2; InterfaceIP=%3; Source=%4; Reason=%5
601	Fehler des verschlüsselten Antwortkanals	Suche	IGNORED_QUERY: Channel=%1; %2; InterfaceIP=%3; Source=%4; Reason=%5
602	Empfangene verschlüsselte DDNS-Updateanforderung	Dynamisches Update	DYN_UPDATE_RECV: Channel=%1; %2; InterfaceIP=%3; Source=%4; QNAME=%5; XID=%6; Port=%7; Flags=%8; SECURE=%9; PacketData=%11
603	Verschlüsselte DDNS-Updateantwort gesendet	Dynamisches Update	DYN_UPDATE_RESPONSE: Channel=%1; %2; InterfaceIP=%3; Destination=%4; QNAME=%5; XID=%6; ZoneScope=%7; Zone=%8; RCODE=%9; PolicyName=%10; PacketData=%12

Das TCP-Feld gilt nicht für DoH. Das Channel Feld (%1) ersetzt es und trägt den Wert 2 für DoH-Datenverkehr. Ergänzende Informationen (%2) zur Anforderung oder Antwort folgen dem Channel Feld. Jedes Ereignis enthält detaillierte Informationen wie HTTP-Version, Anforderungs-ID und Statuscodes. Bei Abfrageereignissen werden die ergänzenden Informationen in folgendem Format angegeben:

HTTP=Version:HTTP/2; Verb:POST; RequestID:{4987238521587782}

Für Antwortereignisse enthält das Format den HTTP-Status:

HTTP=Version:HTTP/2; Verb:POST; RequestID:{4987238521587782}; Status:200

Überwachen der Leistung

In der folgenden Tabelle werden die verfügbaren DoH-Leistungsindikatoren beschrieben:

Name des Leistungsindikators	Kategorie	Description
Empfangene DoH-Anforderungen/sek.	DNS-over-HTTPS	Misst die Anzahl der DoH-Abfragepakete, die der Server jede Sekunde empfängt.
Gesendete DoH-Antworten/Sek.	DNS-over-HTTPS	Misst die Anzahl der DoH-Antwortpakete, die der Server erfolgreich sendet, einschließlich Antworten von autoritativen Daten, zwischengespeicherten Daten, weitergeleiteten Antworten, Rekursionsergebnissen und Antworten mit HTTP- oder DNS-Fehlercodes
DoH-Anforderungen verworfen/sek.	DNS-over-HTTPS	Misst die Anzahl der eingehenden DoH-Abfragen, die der Server pro Sekunde vor der normalen Verarbeitung verwirft, aufgrund von Serverressourcengrenzwerten, Paketverarbeitungsfehlern, Ratenbegrenzung, Netzwerküberlastung oder Sicherheitsrichtlinien.

Hinweis

Leistungsindikatoren werden zurückgesetzt, wenn der DNS-Serverdienst neu gestartet wird.

DoH-Leistungsindikatoren messen verschlüsselte DNS-Abfrageaktivitäten separat vom herkömmlichen DNS-Datenverkehr. Um die DoH-Leistung zu überwachen, wählen Sie ihre bevorzugte Methode im folgenden Abschnitt aus.

Leistungsmonitor

Führen Sie die folgenden Schritte aus, um DoH-Leistungsindikatoren mithilfe des Leistungsmonitors zu überwachen:

1. Wählen Sie "Start", geben Sie "Leistungsmonitor" ein, und wählen Sie dann " Leistungsmonitor " aus den Ergebnissen aus.

2. Wählen Sie im Leistungsmonitor die Schaltfläche "Hinzufügen " (grünes Pluszeichen) aus, um Leistungsindikatoren hinzuzufügen.

3. Erweitern Sie in der Liste "Verfügbare Zähler", DNS über HTTPS.

4. Wählen Sie die DoH-Zähler aus, die Sie überwachen möchten:

   • Empfangene DoH-Anforderungen pro Sekunde
   • Gesendete DoH-Antworten/Sek.
   • DoH-Anforderungen verworfen/sek.

5. Wählen Sie "Hinzufügen" aus, um dem Überwachungsdiagramm die ausgewählten Indikatoren hinzuzufügen.

6. Wählen Sie "OK" aus, um die Überwachung der Leistungsindikatoren zu starten.

PowerShell

Verwenden Sie PowerShell zum programmgesteuerten Abfragen von DoH-Leistungsindikatoren mit den folgenden Schritten:

1. Öffnen Sie PowerShell als Administrator auf dem DNS-Server.

2. Verwenden Sie das Get-Counter Cmdlet, um DoH-Leistungsindikatordaten abzurufen. Im folgenden Beispiel werden alle DoH-Zähler abgerufen:

   Get-Counter -Counter "\DNS-over-HTTPS\*"
   

3. Verwenden Sie den -Continuous Parameter, um bestimmte Indikatoren kontinuierlich zu überwachen:

   Get-Counter -Counter "\DNS-over-HTTPS\DoH Requests Received/sec" -Continuous
   

4. Verwenden Sie den -SampleInterval-Parameter, um Zähler in bestimmten Intervallen zu erfassen. Im folgenden Beispiel werden alle 5 Sekunden DoH-Anforderungen ausgeführt:

   Get-Counter -Counter "\DNS-over-HTTPS\DoH Requests Received/sec" -SampleInterval 5
   

5. Verwenden Sie zum Exportieren von Gegendaten in eine Datei zur späteren Analyse den -MaxSamples Parameter mit Export-Counter:

   Get-Counter -Counter "\DNS-over-HTTPS\*" -MaxSamples 100 | Export-Counter -Path "C:\DoHCounters.blg"
   

Verwandte Inhalte

• Aktivieren von DNS über HTTPS in DNS Server
• DNS-Verschlüsselung mit DNS über HTTPS
• Aktivieren der DNS-Protokollierung und -Diagnose
• Informationen zur Ereignisablaufverfolgung