DNS サーバーで HTTPS 経由で DNS を監視する (プレビュー)

Important

Windows Server 上の DNS サーバーの DNS over HTTPS (DoH) は現在プレビュー段階です。 この情報は、リリース前に大幅に変更される可能性があるプレリリース製品に関連しています。 Microsoft は、ここに記載されている情報に関して、明示または黙示を問わず、一切の保証を行いません。

この記事では、イベント ログとパフォーマンス カウンターを使用して、DNS サーバー上の DNS over HTTPS (DoH) アクティビティを監視する方法について説明します。

DNS サーバーで DoH を有効にする場合は、容量計画、パフォーマンス分析、運用認識のために、暗号化された DNS トラフィックを可視化する必要があります。 DoH トラフィックは暗号化されているため、従来のネットワーク監視ツールでは DNS クエリを検査できません。 この記事で説明する DoH 固有のイベントとパフォーマンス カウンターは、暗号化されたクエリ アクティビティの追跡、スループットの測定、DoH サービスに関する潜在的な問題の特定に役立ちます。

DoH は、HTTPS 内の DNS メッセージをカプセル化することによって DNS トラフィックを暗号化します。 DoH のしくみの詳細については、 HTTPS 経由の DNS を使用した DNS 暗号化に関するページを参照してください。

[前提条件]

開始する前に、以下の項目があることを確認します:

• Windows Server 2025 に 2026-02 セキュリティ更新プログラム ((KB5075899)) またはそれ以降がインストールされている。
• DNS サーバーで HTTPS 経由の DNS を有効にして構成します (「DNS サーバー で HTTPS 経由の DNS を有効にする」を参照)。
• DNS サーバー サービスをホストしている Windows Server への管理者または同等のアクセス。
• Windows イベント ビューアーとパフォーマンス モニターの基本的な理解。

サーバー ログの表示

既定では、監査ログが有効になります。 これらのログは、DNS サーバーのパフォーマンスに大きな影響を与えません。 DNS サーバー監査イベントを使用すると、DNS サーバーでの起動、シャットダウン、変更の追跡が可能になります。 DoH ログを表示するには:

1. [スタート] ボタンを選択し、「イベント ビューアー」と入力し、最適な一致リストからイベント ビューアーを開きます。

2. イベント ビューアーで、 DNS サーバー > アプリケーションとサービスに移動します。

3. DoH 固有のイベントをフィルター処理するには、 DNS サーバーを右クリックし、[ 現在のログのフィルター] を選択し、フィルター ダイアログで[すべてのイベント ID] フィールドに次の DoH イベント ID を入力します: 597, 598, 599, 600, 601, 602, 603。 [ OK] を 選択してフィルターを適用します。

サーバー イベント

次の表は、DoH 監査イベントをまとめたものです。

イベント ID	タイプ	カテゴリ	レベル	イベント テキスト
822	登録された DoH URL	HTTPS 経由の DNS	Informational	Successfully started HTTP server for DNS-over-HTTPS (DoH) server. The DoH server is listening on following URL(s): %1
823	DoH 初期化に失敗しました	HTTPS 経由の DNS	エラー	The DNS server could not initialize the HTTP server for DNS-over-HTTPS (DoH) and failed with error code %1.
824	DoH セッションが失敗しました	HTTPS 経由の DNS	エラー	The DNS server could not create the HTTP server session for DNS-over-HTTPS (DoH) and failed with error code %1.
825	DoH 作成 URL が失敗しました	HTTPS 経由の DNS	エラー	The DNS server could not register the URL: %1 for the DNS-over-HTTPS (DoH) server and failed with error code %2.
826	DoH 要求キューの作成に失敗しました	HTTPS 経由の DNS	エラー	The DNS server could not create the HTTP request queue for DNS-over-HTTPS (DoH) and failed with error code %1.
827	DoH 構成	HTTPS 経由の DNS	Informational	The configuration for DNS-over-HTTPS (DoH) server are: %1
828	DoH 終了	HTTPS 経由の DNS	Informational	The DNS-over-HTTPS (DoH) server has shut down gracefully.
829	DoH シャットダウン エラー	HTTPS 経由の DNS	エラー	The DNS-over-HTTPS (DoH) server has shut down due to an error and failed with error code %1.

分析イベントを表示する

分析イベントは既定では有効になっていません。DoH 固有の分析イベントを表示するには、それらを有効にする必要があります。 DoH 分析イベントは、暗号化された DNS クエリと応答アクティビティに関する詳細情報 (クエリ名、型、応答コード、処理時間など) を提供します。 次の手順を使用して、暗号化されたクエリと応答アクティビティを追跡する DoH 固有のイベントを表示できます。

DNS 診断ログを有効にするには:

1. Microsoft > Windows > DNS-Server ノード>アプリケーションとサービス ログから、DNS-Server を右選択し、[表示] を選択して、[分析ログとデバッグ ログの表示] を選択します。 分析ログが表示されます。

2. 分析 を右クリックしてから、プロパティ を選択します。

3. イベント ビューアーからログに対してクエリを実行して表示する場合は、[イベント ログの最大サイズに達したときに ] を選択し、[イベントを上書きしない (ログを手動でクリアする)を選択し、[ログ記録 を有効にする] チェック ボックスをオンにして、このログを有効にするかどうかを確認するメッセージが表示されたら[OK] を選択します。

4. 循環ログを有効にする場合は、[必要に応じて上書きする (最も古いイベントが最初に)] を選択し、[ログ記録を有効にする] を選択します。 [OK] を選択すると、クエリ エラーが表示されます。 このエラーが表示されている場合でも、ログ記録が行われます。 このエラーは、現在ログに記録されているイベントをイベント ビューアーに表示できないことのみを意味します。

5. [OK] を選択して、DNS サーバー解析イベントログを有効にします。

   

分析ログは、既定でファイル %SystemRoot%\System32\Winevt\Logs\Microsoft-Windows-DNSServer%4Analytical.etl に書き込まれます。 次のセクションでは、DNS サーバーの監査および分析イベント ログに表示される DoH イベントについて説明します。

HTTPS 経由の DNS 分析イベント

DoH 分析イベントは標準の DNS 分析イベントに似ていますが、暗号化されたクエリと応答のみを追跡します。 DNS サーバー サービスで使用できるログの詳細については、「 DNS ログと診断を有効にする」を参照してください。

次の表では、DoH 分析イベントについて説明します。

イベント ID	タイプ	カテゴリ	イベント テキスト
597	受信した暗号化されたクエリ	参照	QUERY_RECEIVED: Channel=%1; %2; InterfaceIP=%3; Source=%4; RD=%5; QNAME=%6; QTYPE=%7; XID=%8; Port=%9; Flags=%10; PacketData=%12; AdditionalInfo = VirtualizationInstanceOptionValue: %13; GUID=%14; %15
598	送信された暗号化された応答	参照	RESPONSE_SUCCESS: Channel=%1; %2; InterfaceIP=%3; Destination=%4; AA=%5; AD=%6; QNAME=%7; QTYPE=%8; XID=%9; DNSSEC=%10; RCODE=%11; Port=%12; Flags=%13; Scope=%14; Zone=%15; PolicyName=%16; PacketData=%18; AdditionalInfo= %19; DataTag=%20; ElapsedTime=%21; GUID=%22; %23; %24;
599	暗号化された応答エラー	参照	RESPONSE_FAILURE: Channel=%1; %2; InterfaceIP=%3; Reason=%4; Destination=%5; QNAME=%6; QTYPE=%7; XID=%8; RCODE=%9; Port=%10; Flags=%11; Zone=%12; PolicyName=%13; PacketData=%15; AdditionalInfo = VirtualizationInstance: %14; ElapsedTime=%17; GUID=%18; %19
600	暗号化されたクエリが拒否されました	参照	IGNORED_QUERY: Channel=%1; %2; InterfaceIP=%3; Source=%4; Reason=%5
601	暗号化された応答チャネルの失敗	参照	IGNORED_QUERY: Channel=%1; %2; InterfaceIP=%3; Source=%4; Reason=%5
602	受信した暗号化された DDNS 更新要求	動的更新	DYN_UPDATE_RECV: Channel=%1; %2; InterfaceIP=%3; Source=%4; QNAME=%5; XID=%6; Port=%7; Flags=%8; SECURE=%9; PacketData=%11
603	送信された暗号化された DDNS 更新応答	動的更新	DYN_UPDATE_RESPONSE: Channel=%1; %2; InterfaceIP=%3; Destination=%4; QNAME=%5; XID=%6; ZoneScope=%7; Zone=%8; RCODE=%9; PolicyName=%10; PacketData=%12

TCP フィールドは DoH には適用されません。 Channel フィールド (%1) は、そのフィールドを置き換え、DoH トラフィックの値 2 を保持します。 要求または応答に関する補足情報 (%2) は、 Channel フィールドに従います。 各イベントには、HTTP バージョン、要求 ID、状態コードなどの詳細情報が含まれます。 クエリ イベントの場合、補完的な情報は次の形式に従います。

HTTP=Version:HTTP/2; Verb:POST; RequestID:{4987238521587782}

応答イベントの場合、形式には HTTP 状態が含まれます。

HTTP=Version:HTTP/2; Verb:POST; RequestID:{4987238521587782}; Status:200

パフォーマンスを監視する

次の表では、使用可能な DoH パフォーマンス カウンターについて説明します。

カウンター名	カテゴリ	Description
受信した DoH 要求数/秒	DNSオーバーHTTPS	サーバーが 1 秒ごとに受信する DoH クエリ パケットの数を測定します
送信された DoH 応答数/秒	DNSオーバーHTTPS	サーバーが 1 秒ごとに正常に送信した DoH 応答パケットの数を測定します。これには、権限のあるデータからの応答、キャッシュされたデータ、転送された応答、再帰結果、HTTP または DNS エラー コードを使用した応答が含まれます。
DoH リクエスト ドロップ数/秒	DNSオーバーHTTPS	サーバー リソースの制限、パケット解析エラー、レート制限、ネットワーク輻輳、またはセキュリティ ポリシーにより、通常の処理の前にサーバーによって 1 秒ごとに破棄される受信 DoH クエリの数を測定します

注

DNS サーバー サービスが再起動すると、パフォーマンス カウンターがリセットされます。

DoH パフォーマンス カウンターは、従来の DNS トラフィックとは別に、暗号化された DNS クエリ アクティビティを測定します。 DoH パフォーマンスを監視するには、次のセクションで推奨される方法を選択します。

パフォーマンス モニター

パフォーマンス モニターを使用して DoH パフォーマンス カウンターを監視するには、次の手順に従います。

1. [スタート] を選択し、「パフォーマンス モニター」と入力し、結果から [パフォーマンス モニター] を選択します。

2. パフォーマンス モニターで、[追加] ボタン (緑のプラス記号) を選択してカウンターを追加します。

3. 使用可能なカウンターの一覧で、HTTPS 経由で DNS を展開します。

4. 監視する DoH カウンターを選択します。

   • 受信した DoH 要求数/秒
   • 送信された DoH 応答数/秒
   • DoHリクエスト削除/秒

5. [ 追加] を選択して、選択したカウンターを監視グラフに追加します。

6. [ OK] を 選択してカウンターの監視を開始します。

PowerShell

PowerShell を使用して、次の手順で DoH パフォーマンス カウンターにプログラムでクエリを実行します。

1. DNS サーバーの管理者として PowerShell を開きます。

2. doH パフォーマンス カウンター データを取得するには、 Get-Counter コマンドレットを使用します。 次の例では、すべての DoH カウンターを取得します。

   Get-Counter -Counter "\DNS-over-HTTPS\*"
   

3. 特定のカウンターを継続的に監視するには、 -Continuous パラメーターを使用します。

   Get-Counter -Counter "\DNS-over-HTTPS\DoH Requests Received/sec" -Continuous
   

4. 特定の間隔でカウンターをサンプリングするには、 -SampleInterval パラメーターを使用します。 次の例では、DoH 要求が 5 秒ごとに要求されます。

   Get-Counter -Counter "\DNS-over-HTTPS\DoH Requests Received/sec" -SampleInterval 5
   

5. 後で分析するためにカウンター データをファイルにエクスポートするには、-MaxSamplesで Export-Counter パラメーターを使用します。

   Get-Counter -Counter "\DNS-over-HTTPS\*" -MaxSamples 100 | Export-Counter -Path "C:\DoHCounters.blg"
   

関連コンテンツ

• DNS サーバーで HTTPS 経由の DNS を有効にする
• HTTPS 経由の DNS を使用した DNS 暗号化
• DNS ログと診断を有効にする
• イベント トレースについて