DNS figyelése HTTPS-en keresztül a DNS-kiszolgálón (előzetes verzió)

Fontos

A DNS-lekérdezések HTTPS-en keresztül (DoH) funkció a Windows Server DNS-kiszolgálóhoz jelenleg előzetes verzióban érhető el. Ezek az információk egy előzetes termékre vonatkoznak, amely a kiadás előtt jelentősen módosítható. A Microsoft nem vállal kifejezett vagy hallgatólagos szavatosságot az itt megadott információkra vonatkozóan.

Ez a cikk bemutatja, hogyan figyelheti a DNS-tevékenységeket HTTPS -n (DoH) keresztül a DNS-kiszolgálón eseménynaplók és teljesítményszámlálók használatával.

Ha engedélyezi a DoH-t a DNS-kiszolgálón, a kapacitástervezéshez, a teljesítményelemzéshez és a működési tudatossághoz szüksége van a titkosított DNS-forgalomra. Mivel a DoH-forgalom titkosított, a hagyományos hálózati monitorozási eszközök nem tudják megvizsgálni a DNS-lekérdezéseket. A cikkben ismertetett DoH-specifikus események és teljesítményszámlálók segítenek nyomon követni a titkosított lekérdezési tevékenységeket, mérni az átviteli sebességet, és azonosítani a DoH szolgáltatással kapcsolatos lehetséges problémákat.

A DoH a DNS-forgalmat a DNS-üzenetek HTTPS-en belüli beágyazásával titkosítja. A DoH működésével kapcsolatos további információkért tekintse meg a DNS-titkosítást a DNS HTTPS-en keresztüli használatával.

Előfeltételek

Mielőtt hozzákezdene, győződjön meg arról, hogy:

• Windows Server 2025 a 2026-02 biztonsági frissítéssel ((KB5075899)) vagy újabb verzióval.
• A DNS https-n keresztül engedélyezve és konfigurálva van a DNS-kiszolgálón (lásd: DNS engedélyezése HTTPS-en keresztül a DNS-kiszolgálón).
• Rendszergazdai vagy azzal egyenértékű hozzáférés a DNS Server szolgáltatást futtató Windows Serverhez.
• A Windows Eseménynapló és a Teljesítményfigyelő alapszintű ismerete.

Kiszolgálónaplók megtekintése

A rendszer alapértelmezés szerint engedélyezi a naplózási naplókat. Ezek a naplók nem befolyásolják jelentősen a DNS-kiszolgáló teljesítményét. A DNS-kiszolgáló naplózási eseményei lehetővé teszik az indítást, a leállítást és a változáskövetést a DNS-kiszolgálón. DoH-naplók megtekintése:

1. Válassza a Start gombot, írja be az Eseménynaplót, és nyissa meg az Eseménynaplót a legjobb egyezések listájából.

2. Az Eseménynaplóban lépjen az Alkalmazások és szolgáltatások > DNS-kiszolgálóra.

3. A DoH-specifikus események szűréséhez kattintson a jobb gombbal a DNS-kiszolgálóra, válassza az Aktuális napló szűrése lehetőséget, majd a szűrő párbeszédpanelen adja meg a következő DoH-eseményazonosítókat a Minden eseményazonosító mezőben: 597, 598, 599, 600, 601, 602, 603 Válassza az OK gombot a szűrő alkalmazásához.

Kiszolgálói események

Az alábbi táblázat a DoH auditeseményeit foglalja össze.

Eseményazonosító	Típus	Kategória	szint	Eseményszöveg
822	DoH URL-cím regisztrálva	DNS HTTPS-en keresztül	Informational	Successfully started HTTP server for DNS-over-HTTPS (DoH) server. The DoH server is listening on following URL(s): %1
823	A DoH inicializálása sikertelen	DNS HTTPS-en keresztül	Error	The DNS server could not initialize the HTTP server for DNS-over-HTTPS (DoH) and failed with error code %1.
824	A DoH-munkamenetek meghiúsultak	DNS HTTPS-en keresztül	Error	The DNS server could not create the HTTP server session for DNS-over-HTTPS (DoH) and failed with error code %1.
825	A DoH URL létrehozása nem sikerült	DNS HTTPS-en keresztül	Error	The DNS server could not register the URL: %1 for the DNS-over-HTTPS (DoH) server and failed with error code %2.
826	A DoH kéréssor létrehozása nem sikerült	DNS HTTPS-en keresztül	Error	The DNS server could not create the HTTP request queue for DNS-over-HTTPS (DoH) and failed with error code %1.
827	DoH-konfiguráció	DNS HTTPS-en keresztül	Informational	The configuration for DNS-over-HTTPS (DoH) server are: %1
828	A DoH leállt	DNS HTTPS-en keresztül	Informational	The DNS-over-HTTPS (DoH) server has shut down gracefully.
829	DoH-leállítási hiba	DNS HTTPS-en keresztül	Error	The DNS-over-HTTPS (DoH) server has shut down due to an error and failed with error code %1.

Elemzési események megtekintése

Az elemzési események alapértelmezés szerint nincsenek engedélyezve, engedélyeznie kell őket a DoH-specifikus elemzési események megtekintéséhez. A DoH-elemzési események részletes információkat nyújtanak a titkosított DNS-lekérdezési és választevékenységekről, például lekérdezésnevekről, típusokról, válaszkódokról és feldolgozási időkről. A titkosított lekérdezési és választevékenységeket nyomon követő DoH-specifikus események az alábbi lépések végrehajtásával tekinthetők meg:

A DNS diagnosztikai naplózásának engedélyezése:

1. Az Alkalmazások és szolgáltatások naplói > Microsoft > Windows > DNS-Server csomóponton válassza a jobb gombbal a DNS-Kiszolgáló lehetőséget, válassza a Nézet lehetőséget, majd válassza az Elemzési és hibakeresési naplók megjelenítése lehetőséget. Megjelenik az elemzési napló.

2. Kattintson a jobb gombbal az Elemzés elemre, majd válassza a Tulajdonságok lehetőséget.

3. Ha az eseménynaplóból szeretné lekérdezni és megtekinteni a naplókat, válassza a Amikor elérte a maximális eseménynapló-méretet, válassza Ne írja felül az eseményeket (naplók manuális törlése)lehetőséget, jelölje be a Naplózás engedélyezése jelölőnégyzetet, majd válassza az OK lehetőséget, amikor a rendszer megkérdezi, hogy engedélyezni szeretné-e ezt a naplót.

4. Ha engedélyezni szeretné a körkörös naplózást, válassza a Szükség szerint felülírás (először a legrégebbi események) lehetőséget, és válassza a Naplózás engedélyezése. Az OK gomb kiválasztása után lekérdezési hiba jelenik meg. A naplózás akkor is megtörténik, ha ez a hiba jelenik meg. A hiba csak azt jelenti, hogy nem tekintheti meg az eseménynaplóban jelenleg naplózott eseményeket.

5. Válassza az OK gombot a DNS-kiszolgáló elemzési eseménynaplójának engedélyezéséhez.

   

Az elemzési naplók alapértelmezés szerint a %SystemRoot%\System32\Winevt\Logs\Microsoft-Windows-DNSServer%4Analytical.etlfájlba vannak írva. A következő szakasz a DNS-kiszolgáló naplózásában és elemzési eseménynaplóiban megjelenő DoH-eseményeket ismerteti.

DNS over HTTPS analitikai események

A DoH-elemzési események hasonlóak a szokásos DNS-elemzési eseményekhez, de csak titkosított lekérdezéseket és válaszokat követnek nyomon. A DNS-kiszolgáló szolgáltatáshoz elérhető naplókról további információt a DNS-naplózás és -diagnosztika engedélyezése című témakörben talál.

Az alábbi táblázat a DoH elemzési eseményeit ismerteti:

Eseményazonosító	Típus	Kategória	Eseményszöveg
597	Titkosított lekérdezés érkezett	Lookup	QUERY_RECEIVED: Channel=%1; %2; InterfaceIP=%3; Source=%4; RD=%5; QNAME=%6; QTYPE=%7; XID=%8; Port=%9; Flags=%10; PacketData=%12; AdditionalInfo = VirtualizationInstanceOptionValue: %13; GUID=%14; %15
598	Titkosított válasz küldése	Lookup	RESPONSE_SUCCESS: Channel=%1; %2; InterfaceIP=%3; Destination=%4; AA=%5; AD=%6; QNAME=%7; QTYPE=%8; XID=%9; DNSSEC=%10; RCODE=%11; Port=%12; Flags=%13; Scope=%14; Zone=%15; PolicyName=%16; PacketData=%18; AdditionalInfo= %19; DataTag=%20; ElapsedTime=%21; GUID=%22; %23; %24;
599	Titkosított válaszhiba	Lookup	RESPONSE_FAILURE: Channel=%1; %2; InterfaceIP=%3; Reason=%4; Destination=%5; QNAME=%6; QTYPE=%7; XID=%8; RCODE=%9; Port=%10; Flags=%11; Zone=%12; PolicyName=%13; PacketData=%15; AdditionalInfo = VirtualizationInstance: %14; ElapsedTime=%17; GUID=%18; %19
600	Titkosított lekérdezés elutasítva	Lookup	IGNORED_QUERY: Channel=%1; %2; InterfaceIP=%3; Source=%4; Reason=%5
601	Titkosított válaszcsatorna hibája	Lookup	IGNORED_QUERY: Channel=%1; %2; InterfaceIP=%3; Source=%4; Reason=%5
602	Titkosított DDNS-frissítési kérelem érkezett	Dinamikus frissítés	DYN_UPDATE_RECV: Channel=%1; %2; InterfaceIP=%3; Source=%4; QNAME=%5; XID=%6; Port=%7; Flags=%8; SECURE=%9; PacketData=%11
603	Titkosított DDNS-frissítési válasz elküldve	Dinamikus frissítés	DYN_UPDATE_RESPONSE: Channel=%1; %2; InterfaceIP=%3; Destination=%4; QNAME=%5; XID=%6; ZoneScope=%7; Zone=%8; RCODE=%9; PolicyName=%10; PacketData=%12

A TCP mező nem alkalmazható a DoH-ra. A Channel mező (%1) lecseréli, és a DoH-forgalom esetében a 2 értéket hordozza. A kérelemre vagy válaszra vonatkozó kiegészítő információk (%2) a Channel mezőt követik. Minden esemény részletes információkat tartalmaz, például HTTP-verziót, kérelemazonosítót és állapotkódokat. Lekérdezési események esetén a kiegészítő információk a következő formátumot követik:

HTTP=Version:HTTP/2; Verb:POST; RequestID:{4987238521587782}

Válaszesemények esetén a formátum a HTTP-állapotot tartalmazza:

HTTP=Version:HTTP/2; Verb:POST; RequestID:{4987238521587782}; Status:200

Teljesítmény figyelése

Az alábbi táblázat az elérhető DoH-teljesítményszámlálókat ismerteti:

Számláló neve	Kategória	Description
Fogadott DoH-kérelmek másodpercenként	DNS-over-HTTPS	Azon DoH-lekérdezéscsomagok számát méri, amelyek másodpercenként érkeznek a kiszolgálóhoz
DoH-válaszok küldése/másodpercenként	DNS-over-HTTPS	Méri a kiszolgáló által másodpercenként sikeresen küldött DoH-válaszcsomagok számát, beleértve a mérvadó adatokból, a gyorsítótárazott adatokból, a továbbított válaszokból, a rekurziós eredményekből és a HTTP- vagy DNS-hibakódokkal kapott válaszok számát
DoH-kérelmek elutasítva / mp	DNS-over-HTTPS	A kiszolgáló által a normál feldolgozás előtt másodpercenként elvetett bejövő DoH-lekérdezések számát méri a kiszolgáló erőforráskorlátai, a csomagelemzési hibák, a sebességkorlátozás, a hálózati torlódás vagy a biztonsági szabályzatok miatt

Megjegyzés:

A teljesítményszámlálók alaphelyzetbe állítása a DNS-kiszolgáló szolgáltatás újraindításakor.

A DoH teljesítményszámlálói a titkosított DNS-lekérdezési tevékenységet a hagyományos DNS-forgalomtól elkülönítve mérik. A DoH teljesítményének figyeléséhez válassza ki az előnyben részesített metódust a következő szakaszban.

Teljesítményfigyelő

A DoH-teljesítményszámlálók Teljesítményfigyelővel való monitorozásához kövesse az alábbi lépéseket:

1. Válassza a Start elemet, írja be a Teljesítményfigyelő parancsot, majd az eredmények közül válassza a Teljesítményfigyelő lehetőséget.

2. A Teljesítményfigyelőben válassza a Hozzáadás gombot (zöld pluszjel) számlálók hozzáadásához.

3. Az Elérhető számlálók listában bontsa ki a DNS-t HTTPS-en keresztül.

4. Válassza ki a figyelni kívánt DoH-számlálókat:

   • Fogadott DoH-kérelmek másodpercenként
   • DoH-válaszok küldött másodpercenként
   • DoH-kérelmek elutasítva/másodperc

5. Válassza a Hozzáadás lehetőséget a kijelölt számlálók monitorozási gráfhoz való hozzáadásához.

6. Kattintson az OK gombra a számlálók figyelésének megkezdéséhez.

PowerShell

A PowerShell használatával programozott módon kérdezheti le a DoH teljesítményszámlálóit az alábbi lépésekkel:

1. Nyissa meg a PowerShellt rendszergazdaként a DNS-kiszolgálón.

2. Get-Counter A parancsmaggal lekérheti a DoH teljesítményszámláló adatait. Az alábbi példa az összes DoH-számlálót lekéri:

   Get-Counter -Counter "\DNS-over-HTTPS\*"
   

3. Adott számlálók folyamatos figyeléséhez használja a következő paramétert -Continuous :

   Get-Counter -Counter "\DNS-over-HTTPS\DoH Requests Received/sec" -Continuous
   

4. A számlálók adott időközönkénti mintavételezéséhez használja a paramétert -SampleInterval . Az alábbi példa 5 másodpercenként mintavételezi a DoH-kéréseket.

   Get-Counter -Counter "\DNS-over-HTTPS\DoH Requests Received/sec" -SampleInterval 5
   

5. Ha számlálóadatokat szeretne exportálni egy fájlba későbbi elemzés céljából, használja a -MaxSamples következő paramétert Export-Counter:

   Get-Counter -Counter "\DNS-over-HTTPS\*" -MaxSamples 100 | Export-Counter -Path "C:\DoHCounters.blg"
   

Kapcsolódó tartalom

• DNS engedélyezése HTTPS-en keresztül a DNS-kiszolgálón
• DNS-titkosítás HTTPS-en keresztüli DNS használatával
• DNS-naplózás és -diagnosztika engedélyezése
• Tudnivalók az eseménykövetésről