Supervisión de DNS a través de HTTPS en el servidor DNS (versión preliminar)

Importante

DNS a través de HTTPS (DoH) para el servidor DNS en Windows Server se encuentra actualmente en versión preliminar. Esta información está relacionada con un producto de versión preliminar que puede modificarse sustancialmente antes de su lanzamiento. Microsoft no ofrece ninguna garantía, expresada o implícita, con respecto a la información proporcionada aquí.

En este artículo se explica cómo supervisar la actividad de DNS a través de HTTPS (DoH) en el servidor DNS mediante registros de eventos y contadores de rendimiento.

Al habilitar DoH en el servidor DNS, necesita visibilidad del tráfico DNS cifrado para planear la capacidad, el análisis de rendimiento y el reconocimiento operativo. Dado que el tráfico doH está cifrado, las herramientas tradicionales de supervisión de red no pueden inspeccionar las consultas DNS. Los contadores de rendimiento y eventos específicos de DoH descritos en este artículo le ayudarán a realizar un seguimiento de la actividad de consulta cifrada, medir el rendimiento e identificar posibles problemas con el servicio DoH.

DoH cifra el tráfico DNS mediante la encapsulación de mensajes DNS dentro de HTTPS. Para más información sobre cómo funciona DoH, consulte Cifrado DNS mediante DNS a través de HTTPS.

Prerrequisitos

Antes de comenzar, asegúrese de que tiene:

• Windows Server 2025 con la actualización de seguridad 2026-02 ((KB5075899)) o posterior instalada.
• DNS a través de HTTPS habilitado y configurado en el servidor DNS (consulte Habilitación de DNS a través de HTTPS en el servidor DNS).
• Administrador o acceso equivalente al servidor de Windows Server que hospeda el servicio servidor DNS.
• Conocimientos básicos del Visor de eventos de Windows y el Monitor de rendimiento.

Visualización de registros de servidor

El sistema habilita los registros de auditoría de forma predeterminada. Estos registros no afectan significativamente al rendimiento del servidor DNS. Los eventos de auditoría del servidor DNS habilitan el inicio, el apagado y el seguimiento de cambios en el servidor DNS. Para ver los registros de DoH:

1. Seleccione el botón Inicio, escriba Visor de eventos, y abra Visor de eventos en la lista de coincidencias más adecuada.

2. En el Visor de eventos, vaya a Aplicaciones y servicios > Servidor DNS.

3. Para filtrar los eventos específicos de DoH, haga clic con el botón derecho en Servidor DNS, seleccione Filtrar registro actual y, en el cuadro de diálogo de filtro, escriba los siguientes identificadores de evento DoH en el campo Todos los identificadores de eventos : 597, 598, 599, 600, 601, 602, 603. Seleccione Aceptar para aplicar el filtro.

Eventos del servidor

En la tabla siguiente se resumen los eventos de auditoría de DoH.

Id. del evento	Tipo	Categoría	Level	Texto del evento
822	Dirección URL de DoH registrada	DNS a través de HTTPS	Informational	Successfully started HTTP server for DNS-over-HTTPS (DoH) server. The DoH server is listening on following URL(s): %1
823	Error de inicialización de DoH	DNS a través de HTTPS	Error	The DNS server could not initialize the HTTP server for DNS-over-HTTPS (DoH) and failed with error code %1.
824	Las sesiones de DoH fallaron	DNS a través de HTTPS	Error	The DNS server could not create the HTTP server session for DNS-over-HTTPS (DoH) and failed with error code %1.
825	Error al crear la URL de DoH	DNS a través de HTTPS	Error	The DNS server could not register the URL: %1 for the DNS-over-HTTPS (DoH) server and failed with error code %2.
826	Error al crear la cola de solicitudes de DoH	DNS a través de HTTPS	Error	The DNS server could not create the HTTP request queue for DNS-over-HTTPS (DoH) and failed with error code %1.
827	Configuración de DoH	DNS a través de HTTPS	Informational	The configuration for DNS-over-HTTPS (DoH) server are: %1
828	Desactivación de DoH	DNS a través de HTTPS	Informational	The DNS-over-HTTPS (DoH) server has shut down gracefully.
829	Error de apagado de DoH	DNS a través de HTTPS	Error	The DNS-over-HTTPS (DoH) server has shut down due to an error and failed with error code %1.

Visualización de eventos analíticos

Los eventos analíticos no están habilitados de forma predeterminada, debe habilitarlos para ver eventos analíticos específicos de DoH. Los eventos analíticos doH proporcionan información detallada sobre la actividad cifrada de consultas y respuestas de DNS, como nombres de consulta, tipos, códigos de respuesta y tiempos de procesamiento. Puede ver eventos específicos de DoH que realizan un seguimiento de la actividad cifrada de consultas y respuestas mediante los pasos siguientes:

Para habilitar el registro de diagnóstico DNS

1. En el nodo Registros > de aplicaciones y servicios de Microsoft > Windows > DNS-Server , seleccione DNS-Server, seleccione Ver y, a continuación, seleccione Mostrar registros analíticos y de depuración. Se muestra el registro analítico.

2. Haga clic con el botón derecho en Analítico y, a continuación, seleccione Propiedades.

3. Si desea consultar y ver los registros del visor de eventos, elija Cuando se alcance el tamaño máximo del registro de eventos, seleccione No sobrescribir eventos (Borrar registros manualmente), active la casilla Habilitar registro y, a continuación, seleccione Aceptar cuando se le pregunte si desea habilitar este registro.

4. Si desea habilitar el registro circular, seleccione Sobrescribir según sea necesario (los eventos más antiguos primero) y seleccione Habilitar registro. Después de seleccionar Aceptar, se muestra un error de consulta . El registro tiene lugar aunque se muestre este error. El error solo significa que no se pueden ver los eventos que se están registrando actualmente en el visor de eventos.

5. Seleccione Aceptar para habilitar el registro de eventos analíticos del servidor DNS.

   

Los registros analíticos se escriben por defecto en el archivo %SystemRoot%\System32\Winevt\Logs\Microsoft-Windows-DNSServer%4Analytical.etl. En la sección siguiente se explican los eventos DoH que se muestran en los registros de eventos analíticos y de auditoría del servidor DNS.

Eventos analíticos de DNS sobre HTTPS

Los eventos analíticos doH son similares a los eventos analíticos DNS estándar, pero solo realizan un seguimiento de las consultas y respuestas cifradas. Para obtener más información sobre los registros disponibles para el servicio servidor DNS, consulte Habilitación del registro y diagnóstico de DNS.

En la tabla siguiente se describen los eventos analíticos de DoH:

Id. del evento	Tipo	Categoría	Texto del evento
597	Consulta cifrada recibida	Lookup	QUERY_RECEIVED: Channel=%1; %2; InterfaceIP=%3; Source=%4; RD=%5; QNAME=%6; QTYPE=%7; XID=%8; Port=%9; Flags=%10; PacketData=%12; AdditionalInfo = VirtualizationInstanceOptionValue: %13; GUID=%14; %15
598	Respuesta cifrada enviada	Lookup	RESPONSE_SUCCESS: Channel=%1; %2; InterfaceIP=%3; Destination=%4; AA=%5; AD=%6; QNAME=%7; QTYPE=%8; XID=%9; DNSSEC=%10; RCODE=%11; Port=%12; Flags=%13; Scope=%14; Zone=%15; PolicyName=%16; PacketData=%18; AdditionalInfo= %19; DataTag=%20; ElapsedTime=%21; GUID=%22; %23; %24;
599	Error de respuesta cifrada	Lookup	RESPONSE_FAILURE: Channel=%1; %2; InterfaceIP=%3; Reason=%4; Destination=%5; QNAME=%6; QTYPE=%7; XID=%8; RCODE=%9; Port=%10; Flags=%11; Zone=%12; PolicyName=%13; PacketData=%15; AdditionalInfo = VirtualizationInstance: %14; ElapsedTime=%17; GUID=%18; %19
600	Consulta cifrada rechazada	Lookup	IGNORED_QUERY: Channel=%1; %2; InterfaceIP=%3; Source=%4; Reason=%5
601	Error del canal de respuesta cifrado	Lookup	IGNORED_QUERY: Channel=%1; %2; InterfaceIP=%3; Source=%4; Reason=%5
602	Solicitud de actualización de DDNS cifrada recibida	Actualización dinámica	DYN_UPDATE_RECV: Channel=%1; %2; InterfaceIP=%3; Source=%4; QNAME=%5; XID=%6; Port=%7; Flags=%8; SECURE=%9; PacketData=%11
603	Respuesta de actualización de DDNS cifrada enviada	Actualización dinámica	DYN_UPDATE_RESPONSE: Channel=%1; %2; InterfaceIP=%3; Destination=%4; QNAME=%5; XID=%6; ZoneScope=%7; Zone=%8; RCODE=%9; PolicyName=%10; PacketData=%12

El campo TCP no es aplicable a DoH. El Channel campo (%1) lo reemplaza y lleva el valor de 2 para el tráfico DoH. La información complementaria (%2) sobre la solicitud o respuesta sigue el Channel campo . Cada evento incluye información detallada, como la versión HTTP, el identificador de solicitud y los códigos de estado. Para los eventos de consulta, la información complementaria sigue este formato:

HTTP=Version:HTTP/2; Verb:POST; RequestID:{4987238521587782}

En el caso de los eventos de respuesta, el formato incluye el estado HTTP:

HTTP=Version:HTTP/2; Verb:POST; RequestID:{4987238521587782}; Status:200

Supervisión del rendimiento

En la tabla siguiente se describen los contadores de rendimiento de DoH disponibles:

Nombre del contador	Categoría	Description
Solicitudes de DoH recibidas por segundo	DNS a través de HTTPS	Mide el número de paquetes de consulta DoH que recibe el servidor cada segundo
Respuestas DoH enviadas por segundo	DNS a través de HTTPS	Mide el número de paquetes de respuesta doH que el servidor envía correctamente cada segundo, incluidas las respuestas de datos autoritativos, datos almacenados en caché, respuestas reenviadas, resultados de recursividad y respuestas con códigos de error HTTP o DNS.
Solicitudes doH eliminadas por segundo	DNS a través de HTTPS	Mide el número de consultas DoH entrantes eliminadas por el servidor cada segundo antes del procesamiento normal, debido a los límites de recursos del servidor, los errores de análisis de paquetes, la limitación de velocidad, la congestión de red o las directivas de seguridad.

Nota:

Los contadores de rendimiento se restablecen cuando se reinicia el servicio servidor DNS.

Los contadores de rendimiento de DoH miden la actividad de consulta DNS cifrada por separado del tráfico DNS tradicional. Para supervisar el rendimiento de DoH, seleccione el método preferido en la sección siguiente.

Supervisión del rendimiento

Para supervisar los contadores de rendimiento de DoH mediante el Monitor de rendimiento, siga estos pasos:

1. Seleccione Inicio, escriba Monitor de rendimiento y, a continuación, seleccione Monitor de rendimiento en los resultados.

2. En Monitor de rendimiento, seleccione el botón Agregar (signo más verde) para agregar contadores.

3. En la lista Contadores disponibles, expanda DNS over HTTPS.

4. Seleccione los contadores de DoH que desea supervisar:

   • Solicitudes de DoH recibidas por segundo
   • Respuestas DoH enviadas/segundo
   • Solicitudes DoH descartadas por segundo

5. Seleccione Agregar para agregar los contadores seleccionados al gráfico de supervisión.

6. Seleccione Aceptar para iniciar la supervisión de los contadores.

PowerShell

Use PowerShell para consultar los contadores de rendimiento de DoH mediante programación con los pasos siguientes:

1. Abra PowerShell como administrador en el servidor DNS.

2. Use el cmdlet Get-Counter para recuperar los datos del contador de rendimiento de DoH. En el ejemplo siguiente se recuperan todos los contadores DoH:

   Get-Counter -Counter "\DNS-over-HTTPS\*"
   

3. Para supervisar contadores específicos continuamente, use el -Continuous parámetro :

   Get-Counter -Counter "\DNS-over-HTTPS\DoH Requests Received/sec" -Continuous
   

4. Para muestrear contadores a intervalos específicos, use el -SampleInterval parámetro . El siguiente ejemplo muestrea solicitudes DoH cada 5 segundos:

   Get-Counter -Counter "\DNS-over-HTTPS\DoH Requests Received/sec" -SampleInterval 5
   

5. Para exportar datos de contador a un archivo para su análisis posterior, use el -MaxSamples parámetro con Export-Counter:

   Get-Counter -Counter "\DNS-over-HTTPS\*" -MaxSamples 100 | Export-Counter -Path "C:\DoHCounters.blg"
   

Contenido relacionado

• Habilitación de DNS a través de HTTPS en el servidor DNS
• Cifrado DNS mediante DNS a través de HTTPS
• Habilitación del registro y diagnóstico de DNS
• Acerca del seguimiento de eventos