Surveiller DNS sur HTTPS dans DNS Server (Aperçu)

Important

DNS sur HTTPS (DoH) pour le serveur DNS sur Windows Server est actuellement en préversion. Ces informations concernent un produit en version préliminaire qui peut être sensiblement modifié avant sa commercialisation. Microsoft n’offre aucune garantie, exprimée ou implicite, en ce qui concerne les informations fournies ici.

Cet article explique comment surveiller l’activité DNS sur HTTPS (DoH) sur le serveur DNS à l’aide des journaux d’événements et des compteurs de performances.

Lorsque vous activez DoH sur votre serveur DNS, vous avez besoin d’une visibilité sur le trafic DNS chiffré pour la planification de la capacité, l’analyse des performances et la sensibilisation opérationnelle. Étant donné que le trafic DoH est chiffré, les outils de surveillance réseau traditionnels ne peuvent pas inspecter les requêtes DNS. Les événements et compteurs de performances spécifiques à DoH décrits dans cet article vous aident à suivre l’activité de requête chiffrée, à mesurer le débit et à identifier les problèmes potentiels avec votre service DoH.

DoH chiffre le trafic DNS en encapsulant des messages DNS au sein du protocole HTTPS. Pour en savoir plus sur le fonctionnement de DoH, consultez le chiffrement DNS à l’aide de DNS via HTTPS.

Prerequisites

Avant de commencer, assurez-vous d’avoir :

• Windows Server 2025 avec la mise à jour de sécurité 2026-02 ((KB5075899)) ou ultérieure installée.
• DNS sur HTTPS activé et configuré sur votre serveur DNS (voir Activer DNS sur HTTPS dans le serveur DNS).
• Administrateur ou accès équivalent à Windows Server hébergeant le service serveur DNS.
• Compréhension de base de l’Observateur d’événements Windows et de l’Analyseur de performances.

Afficher les journaux du serveur

Le système active les journaux d’audit par défaut. Ces journaux d’activité n’affectent pas considérablement les performances du serveur DNS. Les événements d’audit du serveur DNS activent le démarrage, l’arrêt et le suivi des modifications sur le serveur DNS. Pour afficher les journaux DoH :

1. Sélectionnez le bouton Démarrer , tapez l’Observateur d’événements et ouvrez l’Observateur d’événements dans la liste de correspondances optimale.

2. Dans l’Observateur d’événements, accédez à Applications et Services > Serveur DNS.

3. Pour filtrer les événements spécifiques à DoH, cliquez avec le bouton droit sur le serveur DNS, sélectionnez Filtrer le journal actuel et, dans la boîte de dialogue de filtre, entrez les ID d’événement DoH suivants dans le champ Tous les ID d’événement : 597, 598, 599, 600, 601, 602, 603. Sélectionnez OK pour appliquer le filtre.

Événements de serveur

Le tableau suivant récapitule les événements d’audit DoH.

ID de l’événement	Type	Catégorie	Level	Texte de l’événement
822	URL DoH inscrite	DNS sur HTTPS	Informational	Successfully started HTTP server for DNS-over-HTTPS (DoH) server. The DoH server is listening on following URL(s): %1
823	Échec de l’initialisation DoH	DNS sur HTTPS	Erreur	The DNS server could not initialize the HTTP server for DNS-over-HTTPS (DoH) and failed with error code %1.
824	Échec des sessions DoH	DNS sur HTTPS	Erreur	The DNS server could not create the HTTP server session for DNS-over-HTTPS (DoH) and failed with error code %1.
825	Échec de la création de l'URL DoH	DNS sur HTTPS	Erreur	The DNS server could not register the URL: %1 for the DNS-over-HTTPS (DoH) server and failed with error code %2.
826	Échec de la file d’attente de création de requête DoH	DNS sur HTTPS	Erreur	The DNS server could not create the HTTP request queue for DNS-over-HTTPS (DoH) and failed with error code %1.
827	Configuration DoH	DNS sur HTTPS	Informational	The configuration for DNS-over-HTTPS (DoH) server are: %1
828	Fermeture DoH	DNS sur HTTPS	Informational	The DNS-over-HTTPS (DoH) server has shut down gracefully.
829	Erreur de mise hors service DoH	DNS sur HTTPS	Erreur	The DNS-over-HTTPS (DoH) server has shut down due to an error and failed with error code %1.

Afficher les événements analytiques

Les événements analytiques ne sont pas activés par défaut, vous devez les activer pour afficher les événements analytiques spécifiques à DoH. Les événements analytiques DoH fournissent des informations détaillées sur les activités de requête et de réponse DNS chiffrées, telles que les noms de requête, les types, les codes de réponse et les temps de traitement. Vous pouvez afficher les événements spécifiques à DoH qui effectuent le suivi de l’activité de requête et de réponse chiffrées en procédant comme suit :

Pour activer la journalisation des diagnostics DNS :

1. Dans le nœud Journaux > des applications et services de Microsoft > Windows > DNS-Server, faites un clic droit sur DNS-Server, sélectionnez Affichage, puis sélectionnez Afficher les journaux d’analyse et de débogage. Le journal analytique s’affiche.

2. Cliquez avec le bouton droit sur Analytique , puis sélectionnez Propriétés.

3. Si vous souhaitez interroger et afficher les journaux d’activité de l’observateur d’événements, choisissez Lorsque la taille maximale du journal des événements est atteinte, sélectionnez Ne pas remplacer les événements (Effacer manuellement les journaux), cochez la case Activer la journalisation, puis cochez OK lorsque vous avez demandé si vous souhaitez activer ce journal.

4. Si vous souhaitez activer la journalisation circulaire, choisissez Remplacer si nécessaire (les événements les plus anciens en premier) et sélectionnez Activer la journalisation. Après avoir sélectionné OK, une erreur de requête s’affiche . La journalisation a lieu même si cette erreur s’affiche. L’erreur signifie uniquement que vous ne pouvez pas afficher les événements en cours de journalisation dans l’observateur d’événements.

5. Sélectionnez OK pour activer le journal des événements DNS Server Analytics.

   

Les journaux d’analyse sont écrits par défaut dans le fichier %SystemRoot%\System32\Winevt\Logs\Microsoft-Windows-DNSServer%4Analytical.etl. La section suivante explique les événements DoH affichés dans les journaux d’événements d’audit et d’analyse du serveur DNS.

Événements analytiques DNS sur HTTPS

Les événements analytiques DoH sont similaires aux événements analytiques DNS standard, mais ils suivent uniquement les requêtes et réponses chiffrées. Pour plus d’informations sur les journaux disponibles pour le service serveur DNS, consultez Activer la journalisation et les diagnostics DNS.

Le tableau suivant décrit les événements analytiques DoH :

ID de l’événement	Type	Catégorie	Texte de l’événement
597	Requête chiffrée reçue	Recherche	QUERY_RECEIVED: Channel=%1; %2; InterfaceIP=%3; Source=%4; RD=%5; QNAME=%6; QTYPE=%7; XID=%8; Port=%9; Flags=%10; PacketData=%12; AdditionalInfo = VirtualizationInstanceOptionValue: %13; GUID=%14; %15
598	Réponse chiffrée envoyée	Recherche	RESPONSE_SUCCESS: Channel=%1; %2; InterfaceIP=%3; Destination=%4; AA=%5; AD=%6; QNAME=%7; QTYPE=%8; XID=%9; DNSSEC=%10; RCODE=%11; Port=%12; Flags=%13; Scope=%14; Zone=%15; PolicyName=%16; PacketData=%18; AdditionalInfo= %19; DataTag=%20; ElapsedTime=%21; GUID=%22; %23; %24;
599	Échec de réponse chiffrée	Recherche	RESPONSE_FAILURE: Channel=%1; %2; InterfaceIP=%3; Reason=%4; Destination=%5; QNAME=%6; QTYPE=%7; XID=%8; RCODE=%9; Port=%10; Flags=%11; Zone=%12; PolicyName=%13; PacketData=%15; AdditionalInfo = VirtualizationInstance: %14; ElapsedTime=%17; GUID=%18; %19
600	Requête chiffrée rejetée	Recherche	IGNORED_QUERY: Channel=%1; %2; InterfaceIP=%3; Source=%4; Reason=%5
601	Échec du canal de réponse chiffré	Recherche	IGNORED_QUERY: Channel=%1; %2; InterfaceIP=%3; Source=%4; Reason=%5
602	Demande de mise à jour DDNS chiffrée reçue	Mise à jour dynamique	DYN_UPDATE_RECV: Channel=%1; %2; InterfaceIP=%3; Source=%4; QNAME=%5; XID=%6; Port=%7; Flags=%8; SECURE=%9; PacketData=%11
603	Réponse de mise à jour DDNS chiffrée envoyée	Mise à jour dynamique	DYN_UPDATE_RESPONSE: Channel=%1; %2; InterfaceIP=%3; Destination=%4; QNAME=%5; XID=%6; ZoneScope=%7; Zone=%8; RCODE=%9; PolicyName=%10; PacketData=%12

Le champ TCP n’est pas applicable à DoH. Le Channel champ (%1) le remplace et porte la valeur 2 pour le trafic DoH. Des informations complémentaires (%2) sur la demande ou la réponse suivent le Channel champ. Chaque événement inclut des informations détaillées telles que la version HTTP, l’ID de requête et les codes d’état. Pour les événements de requête, les informations complémentaires suivent ce format :

HTTP=Version:HTTP/2; Verb:POST; RequestID:{4987238521587782}

Pour les événements de réponse, le format inclut l’état HTTP :

HTTP=Version:HTTP/2; Verb:POST; RequestID:{4987238521587782}; Status:200

Superviser les performances

Le tableau suivant décrit les compteurs de performances DoH disponibles :

Nom du compteur	Catégorie	Descriptif
Demandes DoH reçues par seconde	DNS-over-HTTPS	Mesure le nombre de paquets de requête DoH que le serveur reçoit chaque seconde
Réponses DoH envoyées par secondes	DNS-over-HTTPS	Mesure le nombre de paquets de réponse DoH que le serveur envoie correctement chaque seconde, y compris les réponses provenant de données faisant autorité, les données mises en cache, les réponses transférées, les résultats de récursivité et les réponses avec des codes d’erreur HTTP ou DNS
Demandes DoH rejetées/s	DNS-over-HTTPS	Mesure le nombre de requêtes DoH entrantes supprimées par le serveur chaque seconde avant le traitement normal, en raison de limites de ressources du serveur, d’erreurs d’analyse de paquets, de limitation de débit, de congestion du réseau ou de stratégies de sécurité

Note

Les compteurs de performances sont réinitialisés lorsque le service serveur DNS redémarre.

Les compteurs de performances DoH mesurent l’activité de requête DNS chiffrée séparément du trafic DNS traditionnel. Pour surveiller les performances DoH, sélectionnez votre méthode préférée dans la section suivante.

Analyseur de performances

Pour surveiller les compteurs de performances DoH à l’aide de l’Analyseur de performances, procédez comme suit :

1. Sélectionnez Démarrer, tapez Analyseur de performances, puis sélectionnez Analyseur de performances dans les résultats.

2. Dans l’Analyseur de performances, sélectionnez le bouton Ajouter (signe plus vert) pour ajouter des compteurs.

3. Dans la liste des compteurs disponibles, dépliez DNS sur HTTPS.

4. Sélectionnez les compteurs DoH que vous souhaitez surveiller :

   • Demandes DoH reçues par seconde
   • Réponses DoH envoyées/s
   • Demandes DoH supprimées/s

5. Sélectionnez Ajouter pour ajouter les compteurs sélectionnés au graphique d’analyse.

6. Sélectionnez OK pour commencer à surveiller les compteurs.

PowerShell

Utilisez PowerShell pour interroger des compteurs de performances DoH par programmation avec les étapes suivantes :

1. Ouvrez PowerShell en tant qu’administrateur sur le serveur DNS.

2. Utilisez l’applet Get-Counter de commande pour récupérer les données du compteur de performances DoH. L’exemple suivant récupère tous les compteurs DoH :

   Get-Counter -Counter "\DNS-over-HTTPS\*"
   

3. Pour surveiller des compteurs spécifiques en continu, utilisez le -Continuous paramètre :

   Get-Counter -Counter "\DNS-over-HTTPS\DoH Requests Received/sec" -Continuous
   

4. Pour échantillonner des compteurs à intervalles spécifiques, utilisez le -SampleInterval paramètre. L'exemple suivant interroge des requêtes DoH toutes les 5 secondes :

   Get-Counter -Counter "\DNS-over-HTTPS\DoH Requests Received/sec" -SampleInterval 5
   

5. Pour exporter des données de compteur dans un fichier pour une analyse ultérieure, utilisez le -MaxSamples paramètre avec Export-Counter:

   Get-Counter -Counter "\DNS-over-HTTPS\*" -MaxSamples 100 | Export-Counter -Path "C:\DoHCounters.blg"
   

Contenu connexe

• Activer DNS sur HTTPS dans le serveur DNS
• Chiffrement DNS à l’aide de DNS via HTTPS
• Activer la journalisation et les diagnostics DNS
• À propos du suivi d’événements