Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Penting
DNS melalui HTTPS (DoH) untuk SERVER DNS di Windows Server saat ini dalam PRATINJAU. Informasi ini berkaitan dengan produk prarilis yang mungkin dimodifikasi secara substansial sebelum dirilis. Microsoft tidak memberikan jaminan, tersurat maupun tersirat, sehubungan dengan informasi yang diberikan di sini.
Apakah klien Anda tidak dapat tersambung ke server DNS Anda menggunakan DoH, atau kueri DNS terenkripsi gagal tanpa alasan yang jelas? Artikel ini membantu Anda mengidentifikasi dan memperbaiki masalah DNS umum melalui HTTPS (DoH) di Windows DNS Server. Baik Anda berurusan dengan kesalahan pengikatan sertifikat, konflik port, atau masalah performa, Anda akan menemukan panduan langkah demi langkah untuk membuat DoH berfungsi dengan benar.
Mulailah dengan daftar periksa pemecahan masalah untuk dengan cepat menentukan masalah Anda, lalu ikuti bagian khusus gejala untuk langkah-langkah resolusi terperinci. Artikel ini berlaku untuk Windows Server 2025 dan versi yang lebih baru dengan fitur pratinjau DoH diaktifkan.
Prasyarat
Sebelum memecahkan masalah DoH, pastikan Anda memiliki:
Windows Server 2025 dengan Pembaruan Keamanan 2026-02 ((KB5075899)) atau yang lebih baru terinstal.
DNS melalui HTTPS pada layanan Server DNS diaktifkan menggunakan instruksi yang disediakan setelah meminta akses menggunakan DoH di Windows DNS Server: Pendaftaran Pratinjau Publik.
Akses administratif atau setara ke Windows Server yang menghosting layanan DNS Server.
Sertifikat DoH harus memenuhi persyaratan berikut:
Ekstensi Penggunaan Kunci yang Ditingkatkan: Harus menyertakan pengidentifikasi objek Autentikasi Server (1.3.6.1.5.5.7.3.1)
Nama Subjek atau Nama Alternatif Subjek: Sertifikat yang ditandatangani dengan Nama Alternatif Subjek (SAN) yang spesifikasinya sesuai dengan nama domain lengkap atau alamat IP yang cocok dengan templat URI DoH yang telah Anda konfigurasikan.
Kunci privat: Harus ada di penyimpanan Komputer Lokal, yang terkait dengan sertifikat dengan benar, dan tidak boleh mengaktifkan perlindungan kunci privat yang kuat
Rantai kepercayaan: Harus dikeluarkan oleh CA yang dipercaya klien DNS
Panduan Pemecahan Masalah
Lakukan daftar periksa ini untuk mengidentifikasi masalah DoH Anda. Setiap pemeriksaan memiliki tautan ke langkah-langkah resolusi terperinci.
1. Verifikasi status DoH
✅ DoH diaktifkan: Get-DnsServerEncryptionProtocol menunjukkan EnableDoh : True
✅ Layanan DNS sedang berjalan: Get-Service DNS memperlihatkan Running
✅ Port yang telah dikonfigurasi sedang mendengarkan: netstat -an | findstr :<port> menunjukkan status LISTENING. Port default adalah 443.
Untuk mengatasi masalah konfigurasi layanan, lihat Gejala: DoH tidak dikonfigurasi atau dijalankan.
2. Verifikasi inisialisasi DoH
✅ ID Peristiwa 822 muncul di log peristiwa Server DNS setelah layanan dimulai ulang
✅ Tidak ada peristiwa kesalahan (823, 824, 825, 826) dalam log peristiwa
✅ Sertifikat terikat ke port yang dikonfigurasi: netsh http show sslcert
Untuk mengatasi kegagalan inisialisasi, lihat Gejala: DoH gagal menginisialisasi.
3. Verifikasi konektivitas klien
✅ Klien dapat menjangkau server DNS pada port DoH yang dikonfigurasi (uji menggunakan browser), secara default 443
✅ Firewall memungkinkan TCP masuk pada port DoH yang dikonfigurasi
✅ Klien mempercayai sertifikat server (tidak ada peringatan sertifikat)
Untuk mengatasi masalah konektivitas, lihat Gejala: Klien tidak dapat tersambung menggunakan DoH.
4. Verifikasi pemrosesan kueri
✅ ID Peristiwa 597 (kueri diterima) muncul di Log Analitik.
✅ ID Peristiwa 598 (respons yang dikirim) muncul di log Analitik
✅ Tidak ada ID peristiwa 599 (kegagalan respons) atau ID peristiwa 600 (kueri ditolak)
Untuk mengatasi masalah pemrosesan kueri, lihat Gejala: Kueri DoH gagal atau waktu habis.
Petunjuk / Saran
Jika ID peristiwa 597 tidak muncul, pecahkan masalah konektivitas klien terlebih dahulu. Lihat Gejala: Klien tidak dapat terhubung menggunakan DoH.
5. Verifikasi performa
✅ Penghitung Permintaan DoH Diturunkan/detik = 0
✅ Respons DoH Terkirim/detik ≈ Permintaan DoH Diterima/detik
✅ Latensi kueri dapat diterima
Untuk mengatasi masalah performa, lihat Gejala: Masalah performa DoH.
Gejala: DoH tidak dikonfigurasi atau dijalankan
Anda mencoba menggunakan DoH tetapi klien terus menggunakan DNS yang tidak terenkripsi, atau Anda tidak dapat memverifikasi DoH diaktifkan di server.
Penyebab umum:
DoH tidak diaktifkan di server
Layanan DNS dihentikan
Kesalahan konfigurasi dalam pengaturan DoH
Cara mendiagnosis:
Untuk memeriksa konfigurasi DoH, jalankan perintah berikut:
Get-DnsServerEncryptionProtocol
Jika DoH dikonfigurasi dengan benar, Anda akan melihat:
EnableDoh : True
UriTemplate : https://dns.contoso.com:443/dns-query
Untuk memeriksa status layanan DNS, jalankan perintah berikut:
Get-Service DNS
Output harus menunjukkan Status: Running.
Untuk memverifikasi port yang dikonfigurasi mendengarkan, jalankan perintah berikut. Ganti 443 dengan port yang dikonfigurasi jika berbeda:
netstat -an | findstr :443
Anda akan melihat entri TCP dalam status LISTENING.
Untuk prosedur pemantauan terperinci, lihat Memantau DNS melalui HTTPS.
Cara mengatasinya:
Jika EnableDoh adalah False, untuk mengaktifkan DoH, jalankan perintah berikut:
Set-DnsServerEncryptionProtocol -EnableDoh $true -UriTemplate "https://dns.contoso.com:443/dns-query"
Ganti dns.contoso.com dengan FQDN server DNS Anda yang cocok dengan SAN sertifikat Anda.
Untuk memulai ulang layanan Server DNS, jalankan perintah berikut:
Restart-Service -Name DNS
Jika DoH sebelumnya tidak dikonfigurasi, lihat Mengaktifkan DNS melalui HTTPS di Windows DNS Server untuk instruksi penyiapan lengkap, termasuk persyaratan sertifikat.
Gejala: DoH gagal menginisialisasi
Anda mengaktifkan DoH tetapi layanan tidak menginisialisasi dengan benar. Klien tidak dapat tersambung menggunakan DoH.
Penyebab umum:
Masalah pengikatan sertifikat (ID peristiwa 823).
Konflik port (ID peristiwa 825, 826).
Konfigurasi templat URI tidak valid.
Cara mendiagnosis:
Periksa Windows Event Viewer untuk peristiwa Server DNS. BukaServer DNS>.
Untuk detail peristiwa lengkap, lihat di Monitor DNS melalui HTTPS - Peristiwa Server.
Periksa peristiwa spesifik ini:
ID Peristiwa 823 (DNS_EVENT_HTTP_SERVER_INIT_FAILED): Inisialisasi server HTTP gagal, biasanya karena masalah pengikatan sertifikat atau konflik port.
ID Peristiwa 824 (DNS_EVENT_HTTP_SERVER_SESSION_FAILED): Pembuatan sesi server HTTP gagal, biasanya karena kendala sumber daya.
ID Peristiwa 825 (DNS_EVENT_HTTP_CREATE_URL_FAILED): Pendaftaran URL gagal karena format URI yang tidak valid atau konflik port.
Cari ID peristiwa 822 (DNS_EVENT_HTTP_URL_REGISTERED), yang menunjukkan keberhasilan inisialisasi. Jika peristiwa ini hilang setelah layanan dimulai ulang, inisialisasi gagal.
Cara mengatasinya:
Masalah pengikatan sertifikat
Jika Anda melihat ID peristiwa 823, jalankan perintah berikut untuk memverifikasi pengikatan sertifikat:
netsh http show sslcert
Cari entri yang cocok dengan alamat IP dan port Anda (misalnya, 0.0.0.0:443). Pastikan bahwa ini menunjukkan sidik jari dari sertifikat peladen DNS Anda.
Jika sertifikat tidak terikat atau memperlihatkan thumbprint yang salah, lihat Mengikat sertifikat untuk langkah-langkah mengikat sertifikat yang benar.
Pastikan sertifikat memenuhi persyaratan ini:
Sertifikat SSL/TLS yang valid di
LocalMachine\My storeNama Alternatif Subjek (SAN) cocok dengan FQDN di URI DoH Anda
Kunci pribadi diinstal
Tidak kedaluwarsa
Untuk penyiapan sertifikat terperinci, lihat Mengaktifkan DNS melalui HTTPS di Windows DNS Server.
Konflik port
Jika Anda melihat ID peristiwa 825 atau 826, layanan lain mungkin menggunakan port 443. Untuk memeriksa apa yang menggunakan port, jalankan perintah berikut:
netstat -ano | findstr :443
Jika proses lain menggunakan port 443, maka:
- Menghentikan layanan yang bertentangan, atau
- Untuk mengonfigurasi DoH agar menggunakan port yang berbeda, jalankan perintah berikut:
Set-DnsServerEncryptionProtocol -EnableDoh $true -UriTemplate "https://dns.contoso.com:8443/dns-query"
Kemudian ikat sertifikat Anda ke port baru dan perbarui aturan firewall yang sesuai.
Kesalahan konfigurasi
Pastikan templat URI Anda diformat dengan benar:
Dimulai dengan
https://Menyertakan FQDN yang cocok dengan SAN sertifikat Anda
Menyertakan jalur
/dns-queryContoh:
https://dns.contoso.com:443/dns-query
Untuk memeriksa konfigurasi templat URI saat ini, jalankan perintah berikut:
Get-DnsServerEncryptionProtocol | Select-Object UriTemplate
Jika templat URI salah atau hilang, jalankan perintah berikut untuk mengonfigurasi ulang:
Set-DnsServerEncryptionProtocol -EnableDoh $true -UriTemplate "https://dns.contoso.com:443/dns-query"
Ganti dns.contoso.com dengan FQDN server DNS Anda. Pastikan FQDN cocok dengan Nama Alternatif Subjek (SAN) di sertifikat Anda dengan tepat.
Setelah mengatasi masalah, jalankan perintah berikut untuk memulai ulang layanan DNS. Periksa ID peristiwa 822 untuk mengonfirmasi keberhasilan inisialisasi.
Restart-Service -Name DNS
Gejala: Klien tidak dapat terhubung menggunakan DoH
Anda mengonfigurasi dan memulai DoH di server, tetapi klien tidak dapat tersambung atau mereka mendapatkan kesalahan sertifikat.
Penyebab umum:
Jaringan atau firewall memblokir port DoH yang dikonfigurasi, yaitu 443 secara default.
Masalah kepercayaan sertifikat.
Klien menggunakan URI atau konfigurasi yang salah.
Cara mendiagnosis:
Uji konektivitas dari komputer klien dengan membuka browser web dan membuka URI DoH Anda (misalnya, https://dns.contoso.com/dns-query). Anda akan melihat salah satu hasil berikut:
Halaman kosong atau respons minimal menunjukkan server mendengarkan dan konektivitas jaringan berfungsi.
Kesalahan sertifikat menunjukkan masalah kepercayaan sertifikat, tetapi mengonfirmasi konektivitas jaringan dan aturan firewall sudah benar.
Batas waktu koneksi menunjukkan masalah jaringan atau firewall yang mencegah akses ke server DNS dengan menggunakan DoH.
Untuk memeriksa aturan firewall di server DNS, jalankan perintah berikut:
Get-NetFirewallRule | Where-Object {$_.DisplayName -like "*DNS*" -or $_.DisplayName -like "*443*"} | Format-Table DisplayName, Enabled, Direction, Action
Verifikasi kepercayaan sertifikat klien dengan memeriksa detail sertifikat di browser. Periksa apakah rantai sertifikat valid dan tepercaya.
Cara mengatasinya:
Konektivitas jaringan
Pertama, verifikasi konektivitas jaringan dari klien ke server DNS melalui HTTPS. Jalankan perintah berikut, ganti port jika Anda mengonfigurasi port nondefault:
Test-NetConnection -ComputerName dns.contoso.com -Port 443
Jika TcpTestSucceeded mengembalikan False, periksa perutean jaringan dan aturan firewall antara klien dan server.
Untuk membuat aturan Windows Firewall baru pada server untuk memperbolehkan koneksi masuk, jalankan perintah berikut. Ganti 443 dengan port yang dikonfigurasi jika berbeda:
New-NetFirewallRule -DisplayName "DNS over HTTPS" -Direction Inbound -Protocol TCP -LocalPort 443 -Action Allow
Jika Anda menggunakan firewall perangkat keras atau grup keamanan jaringan, pastikan firewall tersebut mengizinkan lalu lintas TCP masuk pada port DoH yang dikonfigurasi ke server DNS.
Kepercayaan sertifikat
Jika Anda menggunakan otoritas sertifikat privat (CA):
Pastikan klien DNS Anda mempercayai CA tersebut.
Menginstal sertifikat Root CA pada komputer klien.
Verifikasi rantai sertifikat selesai di server.
Atau, gunakan sertifikat yang ditandatangani oleh CA tepercaya publik yang sudah dipercaya klien.
Untuk menguji konektivitas jaringan ke port DoH server DNS dari klien, jalankan perintah berikut. Ganti 443 dengan port yang dikonfigurasi jika berbeda:
Test-NetConnection -ComputerName dns.contoso.com -Port 443
Untuk memverifikasi sertifikat dipercaya oleh klien, buka browser web dan buka https://dns.contoso.com/dns-query. Jika browser menampilkan peringatan sertifikat, klien tidak mempercayai rantai sertifikat.
Untuk panduan penyebaran sertifikat, lihat Mengaktifkan DNS melalui HTTPS di Windows DNS Server.
Konfigurasi klien
Verifikasi bahwa konfigurasi DoH klien sama persis dengan URI server Anda:
Windows 11: Pengaturan > Pengaturan DNS Jaringan &Internet > [Koneksi] >
Templat DoH harus cocok:
https://dns.contoso.com:443/dns-queryJika Anda menggunakan port nondefault, pastikan klien menentukannya.
Jika Anda mengonfigurasi klien tetapi mereka masih menggunakan DNS yang tidak terenkripsi, periksa apakah alamat IP server DNS di pengaturan jaringan klien cocok dengan server DNS Anda dengan DoH diaktifkan.
Gejala: Kueri DoH gagal atau waktu habis
Klien tersambung ke server DNS, tetapi kueri gagal atau tidak menerima respons.
Penyebab umum:
Masalah resolusi DNS upstream (ID peristiwa 599)
Ketidaksesuaian protokol klien (ID peristiwa 600)
Masalah konfigurasi DoH Klien
Masalah konfigurasi server DNS
Cara mendiagnosis:
Aktifkan pengelogan analitis untuk menangkap peristiwa per kueri terperinci:
Buka Penampil Peristiwa dan buka> Aplikasi dan Layanan> Windows >DNS-Server.
Klik kanan Analitik dan pilih Aktifkan Log.
Untuk prosedur pengelogan analitik terperinci, lihat Memantau DNS melalui HTTPS - Peristiwa Analitik.
Periksa peristiwa utama ini:
ID Peristiwa 597: Kueri DoH diterima - mengonfirmasi bahwa kueri DNS terenkripsi sudah mencapai server
ID Peristiwa 598: Respons DoH telah dikirim - konfirmasi respons yang berhasil
ID Peristiwa 599: Kegagalan respons DoH - menunjukkan server berusaha menjawab tetapi tidak berhasil (kemungkinan masalah resolusi pada upstream)
ID Peristiwa 600: Kueri DoH ditolak - server secara aktif menghilangkan permintaan DoH tertentu
ID Peristiwa 601: Kegagalan kanal DoH - mungkin terjadi bersamaan dengan 600 atau 599 dalam beberapa kasus error
Cari pola:
Beberapa entri ID peristiwa 597 tetapi tidak ada entri ID peristiwa 598 menunjukkan bahwa server tidak dapat menyelesaikan kueri.
Entri ID Peristiwa 600 mungkin menunjukkan ketidakcocokan versi HTTP atau permintaan cacat.
ID Peristiwa 599 dengan
SERVFAIL RCODEmengindikasikan masalah forwarder hulu.
Cara mengatasinya:
Masalah DNS upstream (ID peristiwa: 599)
Jika Anda melihat ID peristiwa 599 dengan SERVFAIL atau kesalahan serupa, periksa konfigurasi DNS upstream di server DNS. Jalankan perintah berikut:
Get-DnsServerForwarder
Untuk menguji konektivitas ke penerus, jalankan perintah berikut:
Test-NetConnection -ComputerName <forwarder-ip> -Port 53
Jika penerus tidak dapat dijangkau atau salah dikonfigurasi, coba penerus alternatif menggunakan perintah berikut:
Set-DnsServerForwarder -IPAddress <new-forwarder-ip>
Untuk menguji resolusi secara manual, jalankan perintah berikut:
Resolve-DnsName -Name microsoft.com -Server localhost
Untuk pemecahan masalah DNS tradisional, lihat Pemecahan masalah server DNS.
Penolakan kueri (ID peristiwa 600)
ID Peristiwa 600 menandakan kueri telah ditolak. Penyebab umumnya meliputi:
Ketidaksesuaian permintaan HTTP: Server DNS menolak permintaan karena karakteristik permintaan HTTP yang tidak didukung atau tidak valid.
Permintaan cacat: Kueri tidak sesuai dengan RFC 8484.
Pembatasan kebijakan DNS: Kebijakan DNS mungkin menolak kueri.
Persyaratan permintaan sisi server tidak terpenuhi: DoH tidak diaktifkan pada antarmuka penerima atau ada ketidakcocokan templat URI atau validasi, konfigurasi, atau pemeriksaan kebijakan sisi server.
Periksa detail peristiwa untuk alasan penolakan. Jika klien menggunakan versi HTTP yang tidak kompatibel, perbarui perangkat lunak klien atau gunakan aplikasi klien DoH yang berbeda.
Untuk memverifikasi bahwa tidak ada kebijakan DNS yang mengganggu, jalankan perintah berikut:
Get-DnsServerQueryResolutionPolicy
Konfigurasi DoH Klien
Jika kueri gagal dari klien tertentu tetapi berfungsi dari klien lain, verifikasi konfigurasi DoH klien. Masalah umum mencakup:
- Templat URI DoH salah
- Alamat IP server DNS tidak cocok dengan server DNS yang digunakan untuk DoH
- Klien tidak dikonfigurasi untuk menggunakan DoH
Untuk panduan konfigurasi klien, lihat Mengamankan Klien DNS melalui HTTPS (DoH).
Konfigurasi server
Jika kueri gagal karena alasan selain yang tercantum sebelumnya dalam artikel ini, periksa konfigurasi server DNS umum:
Pastikan bahwa root hints dikonfigurasi dengan benar.
Verifikasi pemuatan zona untuk zona otoritatif.
Tinjau pengaturan rekursi jika server harus melakukan resolusi rekursif.
Untuk pemecahan masalah DNS yang komprehensif, lihat Memecahkan masalah server DNS.
Untuk menghindari pembuatan peristiwa yang berlebihan, nonaktifkan log Analitik saat pemecahan masalah selesai.
Gejala: Masalah performa DoH
DoH berfungsi tetapi Anda melihat latensi tinggi, kueri yang dihilangkan, atau performa yang buruk dibandingkan dengan DNS yang tidak terenkripsi.
Penyebab umum:
Batas kapasitas server
Overhead jabat tangan TLS
Kemacetan jaringan atau penggunaan CPU tinggi
Cara mendiagnosis:
Aktifkan pemantauan untuk penghitung berikut menggunakan Monitor DNS melalui HTTPS - Pantau Performa:
- Permintaan DoH Diterima/Detik
- Respons DoH yang Dikirim per Detik
- Permintaan DoH Dihilangkan/detik
Indikator utama masalah performa:
Permintaan DoH Dibuang/detik > 0: Server membuang kueri.
Permintaan Diterima/detik jauh lebih tinggi daripada Respons Terkirim/detik: Banyak kueri tidak mendapatkan jawaban.
Penggunaan CPU yang tinggi atau melonjak selama pemrosesan kueri DoH.
Pantau juga sumber daya sistem:
Pemanfaatan CPU
Penggunaan memori
Lalu lintas jaringan
Jika hanya kueri tertentu yang lambat, masalahnya mungkin berada di luar DoH. Misalnya, rekursi lambat ke server upstream untuk domain tertentu. Untuk mengisolasi overhead DoH dari penundaan DNS umum, bandingkan DoH dan performa DNS yang tidak terenkripsi untuk kueri yang sama. Jika keduanya lambat, masalahnya kemungkinan resolusi upstream daripada khusus DoH.
Cara mengatasinya:
Kueri yang dihilangkan
Jika DoH Requests Dropped/sec lebih besar dari 0, lakukan langkah-langkah berikut:
Berkorelasi dengan ID peristiwa 600 di log Server DNS untuk mengidentifikasi penyebab penurunan.
Periksa apakah server dibatasi sumber daya.
Get-Counter '\Processor(_Total)\% Processor Time' Get-Counter '\Memory\Available MBytes'Jika CPU atau memori secara konsisten tinggi, pertimbangkan:
- Meningkatkan skala server dengan lebih banyak sumber daya CPU atau RAM.
- Menambahkan server DNS tambahan untuk mendistribusikan beban.
- Menerapkan penyeimbangan beban DNS.
Latensi tinggi
Overhead handshake TLS dapat meningkatkan latensi kueri dibandingkan dengan DNS yang tidak terenkripsi. Untuk mendiagnosis masalah latensi:
Bandingkan waktu kueri DoH dengan garis besar DNS yang tidak terenkripsi untuk kueri yang sama.
Gunakan alat sisi client untuk mengukur waktu query DoH end-to-end.
Jika baik DoH maupun DNS yang tidak terenkripsi lambat untuk kueri yang sama, masalahnya adalah pada resolusi upstream, bukan khusus DoH.
Untuk mengurangi latensi khusus DoH:
Verifikasi kapasitas CPU server: Operasi TLS intensif CPU. Untuk memeriksa apakah CPU adalah hambatan selama lalu lintas DoH, jalankan perintah berikut:
Get-Counter '\Processor(_Total)\% Processor Time' -SampleInterval 1 -MaxSamples 30Jika CPU secara konsisten melebihi 70-80% selama lalu lintas DoH, pertimbangkan untuk meningkatkan sumber daya server atau mendistribusikan beban.
Tinjau panjang rantai sertifikat: Rantai sertifikat yang lebih pendek memvalidasi lebih cepat. Pastikan sertifikat perantara dikonfigurasi dengan benar untuk menghindari pencarian tambahan.
Periksa jalur jaringan: Latensi jaringan tinggi antara klien dan server DNS secara langsung memengaruhi waktu kueri. Gunakan
Test-NetConnectionatautracerouteuntuk menemukan hambatan jaringan.
Batasan sumber daya
Jika server kurang disediakan:
Pantau penggunaan sumber daya garis besar selama operasi normal.
Identifikasi waktu penggunaan puncak dan korelasikan dengan volume kueri.
Pertimbangkan:
- Penskalakan vertikal (VM atau server fisik yang lebih besar).
- Penskalakan horizontal (beberapa server DNS di belakang load balancer).
- Mengoptimalkan konfigurasi zona DNS untuk mengurangi beban transfer zona.
Untuk memantau tren jangka panjang dan merencanakan kapasitas, jalankan perintah berikut:
Get-Counter '\DNS-over-HTTPS\DoH Requests Received/sec' -Continuous
Untuk panduan perencanaan kapasitas, lihat Memantau DNS melalui HTTPS - Memantau Performa.
Diagnostik tingkat lanjut
Saat pemecahan masalah dasar tidak menyelesaikan masalah, gunakan teknik lanjutan ini untuk mengumpulkan informasi diagnostik terperinci.
Mengaktifkan pengelogan analitis
Log Analitik Server DNS menangkap peristiwa per kueri terperinci, termasuk operasi khusus DoH. Saat log diaktifkan, log tersebut akan mencatat ID kejadian 597-600 untuk setiap kueri, respons, kegagalan, dan penolakan DoH.
Untuk instruksi langkah demi langkah tentang mengaktifkan dan menggunakan pengelogan analitis, lihat Memantau DNS melalui HTTPS - Peristiwa Analitis.
Penting
Nonaktifkan pengelogan analitis setelah selesai, karena menghasilkan sejumlah besar peristiwa di server yang sibuk.
Analisis peristiwa terperinci
Saat Anda meninjau peristiwa DoH, periksa bidang peristiwa ini untuk petunjuk diagnostik.
QNAME: Nama domain yang dicari. Bidang ini membantu Anda mengidentifikasi apakah masalah spesifik domain.
QTYPE: Jenis catatan DNS, seperti A, AAAA, MX, dan lainnya.
RCODE: Kode respons, seperti NOERROR, SERVFAIL, NXDOMAIN, dan lainnya.
Alasan: Untuk ID peristiwa 600, bidang ini memberikan alasan penolakan.
IP Klien: Sumber kueri. Bidang ini membantu Anda mengidentifikasi klien yang bermasalah.
Menghubungkan peristiwa dari waktu ke waktu:
Cari pola. Apakah kegagalan terjadi pada waktu tertentu?
Periksa apakah beberapa klien mengalami masalah yang sama.
Identifikasi apakah kegagalan berkorelasi dengan periode beban tinggi.
Referensi silang dengan log lain:
Sistem pencatatan untuk kesalahan Schannel TLS.
Catatan log operasional Server DNS untuk masalah zona dan penerusan.
Log aplikasi untuk kesalahan tingkat layanan.
Analisis Performa
Untuk analisis performa mendalam:
Menetapkan metrik garis besar selama operasi normal.
Bandingkan performa saat ini dengan garis besar.
Identifikasi penyimpangan dan berkorelasi dengan peristiwa atau perubahan konfigurasi.
Penghitung kinerja utama untuk dipantau dari waktu ke waktu:
Get-Counter -Counter @(
'\DNS-over-HTTPS\DoH Requests Received/sec',
'\DNS-over-HTTPS\DoH Responses Sent/sec',
'\DNS-over-HTTPS\DoH Requests Dropped/sec',
'\Processor(_Total)\% Processor Time',
'\Memory\Available MBytes'
) -SampleInterval 5 -MaxSamples 60
Perintah ini mengambil sampel penghitung setiap 5 detik selama 5 menit, menyediakan data tren.
Menganalisis tren:
Apakah kinerja menurun dari waktu ke waktu?
Apakah waktu tertentu dalam sehari menunjukkan masalah?
Apakah performa berkorelasi dengan volume kueri?
Gunakan data ini untuk:
Merencanakan peningkatan kapasitas.
Identifikasi hambatan konfigurasi.
Optimalkan pengaturan server DNS.
Untuk panduan pemantauan performa yang komprehensif, lihat Memantau DNS melalui HTTPS.