중요합니다
Windows Server의 DNS 서버에 대한 DNS over HTTPS(DoH)는 현재 미리 보기로 제공됩니다. 이 정보는 릴리스되기 전에 상당히 수정될 수 있는 시험판 제품과 관련이 있습니다. Microsoft는 여기에 제공된 정보와 관련하여 명시적이거나 묵시적인 보증을 하지 않습니다.
이 문서에서는 이벤트 로그 및 성능 카운터를 사용하여 DNS 서버에서 DNS over HTTPS(DoH) 활동을 모니터링하는 방법을 설명합니다.
DNS 서버에서 DoH를 사용하도록 설정하면 용량 계획, 성능 분석 및 운영 인식을 위해 암호화된 DNS 트래픽에 대한 가시성이 필요합니다. DoH 트래픽은 암호화되므로 기존 네트워크 모니터링 도구는 DNS 쿼리를 검사할 수 없습니다. 이 문서에 설명된 DoH 관련 이벤트 및 성능 카운터는 암호화된 쿼리 작업을 추적하고 처리량을 측정하며 DoH 서비스의 잠재적인 문제를 식별하는 데 도움이 됩니다.
DoH는 HTTPS 내에서 DNS 메시지를 캡슐화하여 DNS 트래픽을 암호화합니다. DoH 작동 방식에 대한 자세한 내용은 HTTPS를 통해 DNS를 사용하는 DNS 암호화를 참조하세요.
필수 조건
시작하기 전에 다음을 확인합니다.
- 2026-02 보안 업데이트(KB5075899) 이상이 설치된 Windows Server 2025
- DNS 서버에서 DNS over HTTPS가 사용하도록 설정되고 구성되었습니다(DNS 서버에서 DNS over HTTPS 사용 참조).
- DNS 서버 서비스를 호스트하는 Windows Server에 대한 관리자 또는 동등한 액세스 권한입니다.
- Windows 이벤트 뷰어 및 성능 모니터에 대한 기본적인 이해입니다.
서버 로그 보기
시스템은 기본적으로 감사 로그를 사용하도록 설정합니다. 이러한 로그는 DNS 서버 성능에 큰 영향을 주지 않습니다. DNS 서버 감사 이벤트를 사용하면 DNS 서버에서 시작, 종료 및 변경 내용 추적이 가능합니다. DoH 로그를 보려면:
시작 단추를 선택하고, 이벤트 뷰어를 입력하고, 가장 일치하는 목록에서 이벤트 뷰어를 엽니다.
이벤트 뷰어에서 애플리케이션 및 서비스 > DNS 서버로 이동합니다.
DoH 관련 이벤트를 필터링하려면 DNS 서버를 마우스 오른쪽 단추로 클릭하고 현재 로그 필터링을 선택한 다음 필터 대화 상자에서 모든 이벤트 ID 필드에
597, 598, 599, 600, 601, 602, 603다음 DoH 이벤트 ID를 입력합니다. 확인을 선택하여 필터를 적용합니다.
서버 이벤트
다음 표에서는 DoH 감사 이벤트를 요약합니다.
| 이벤트 ID | 유형 | 카테고리 | Level | 이벤트 텍스트 |
|---|---|---|---|---|
| 822 | DoH URL 등록됨 | HTTPS를 통한 DNS | Informational | Successfully started HTTP server for DNS-over-HTTPS (DoH) server. The DoH server is listening on following URL(s): %1 |
| 823 | DoH 초기화 실패 | HTTPS를 통한 DNS | 오류 | The DNS server could not initialize the HTTP server for DNS-over-HTTPS (DoH) and failed with error code %1. |
| 824 | DoH 세션 실패 | HTTPS를 통한 DNS | 오류 | The DNS server could not create the HTTP server session for DNS-over-HTTPS (DoH) and failed with error code %1. |
| 825 | DoH URL 만들기 실패 | HTTPS를 통한 DNS | 오류 | The DNS server could not register the URL: %1 for the DNS-over-HTTPS (DoH) server and failed with error code %2. |
| 826 | DoH 요청 큐 만들기 실패 | HTTPS를 통한 DNS | 오류 | The DNS server could not create the HTTP request queue for DNS-over-HTTPS (DoH) and failed with error code %1. |
| 827 | DoH 구성 | HTTPS를 통한 DNS | Informational | The configuration for DNS-over-HTTPS (DoH) server are: %1 |
| 828 | DoH 중단 | HTTPS를 통한 DNS | Informational | The DNS-over-HTTPS (DoH) server has shut down gracefully. |
| 829 | DoH 종료 오류 | HTTPS를 통한 DNS | 오류 | The DNS-over-HTTPS (DoH) server has shut down due to an error and failed with error code %1. |
분석 이벤트 보기
분석 이벤트는 기본적으로 사용하도록 설정되지 않으므로 DoH 관련 분석 이벤트를 볼 수 있도록 설정해야 합니다. DoH 분석 이벤트는 암호화된 DNS 쿼리 및 응답 활동(예: 쿼리 이름, 형식, 응답 코드 및 처리 시간)에 대한 자세한 정보를 제공합니다. 다음 단계를 사용하여 암호화된 쿼리 및 응답 작업을 추적하는 DoH 관련 이벤트를 볼 수 있습니다.
DNS 진단 로깅을 사용하도록 설정하려면 다음을 수행합니다.
애플리케이션 및 서비스 로그 > Microsoft > Windows > DNS-Server 노드에서 DNS-Server를 마우스 오른쪽 으로 선택하고 보기를 선택한 다음 분석 및 디버그 로그 표시를 선택합니다. 분석 로그가 표시됩니다.
분석을 마우스 오른쪽 단추로 클릭한 다음 속성을 선택합니다.
이벤트 뷰어에서 로그를 쿼리하고 보려면 최대 이벤트 로그 크기가도달한 경우, 이벤트를 덮어쓰지 않음(로그를 수동으로 지우기)선택하고 로깅 사용 확인란을 선택한 다음, 이 로그를 사용하도록 설정할지 묻는 메시지가 표시되면 확인 선택합니다.
순환 로깅을 사용하도록 설정하려면 필요에 따라(가장 오래된 이벤트 먼저) 덮어쓰기를 선택하고 로깅 사용선택합니다. 확인을 선택하면 쿼리 오류가 표시됩니다. 로깅은 이 오류가 표시되는 경우에도 발생합니다. 이 오류는 현재 이벤트 뷰어에 기록되고 있는 이벤트를 볼 수 없다는 의미일 뿐입니다.
확인을 선택하여 DNS 서버 분석 이벤트 로그를 사용하도록 설정합니다.
분석 로그는 기본적으로 파일 %SystemRoot%\System32\Winevt\Logs\Microsoft-Windows-DNSServer%4Analytical.etl기록됩니다. 다음 섹션에서는 DNS 서버 감사 및 분석 이벤트 로그에 표시되는 DoH 이벤트에 대해 설명합니다.
HTTPS를 통한 DNS 분석 이벤트
DoH 분석 이벤트는 표준 DNS 분석 이벤트와 유사하지만 암호화된 쿼리 및 응답만 추적합니다. DNS 서버 서비스에 사용할 수 있는 로그에 대한 자세한 내용은 DNS 로깅 및 진단 사용을 참조하세요.
다음 표에서는 DoH 분석 이벤트에 대해 설명합니다.
| 이벤트 ID | 유형 | 카테고리 | 이벤트 텍스트 |
|---|---|---|---|
| 597 | 암호화된 쿼리 수신됨 | Lookup | QUERY_RECEIVED: Channel=%1; %2; InterfaceIP=%3; Source=%4; RD=%5; QNAME=%6; QTYPE=%7; XID=%8; Port=%9; Flags=%10; PacketData=%12; AdditionalInfo = VirtualizationInstanceOptionValue: %13; GUID=%14; %15 |
| 598 | 암호화된 응답 전송 | Lookup | RESPONSE_SUCCESS: Channel=%1; %2; InterfaceIP=%3; Destination=%4; AA=%5; AD=%6; QNAME=%7; QTYPE=%8; XID=%9; DNSSEC=%10; RCODE=%11; Port=%12; Flags=%13; Scope=%14; Zone=%15; PolicyName=%16; PacketData=%18; AdditionalInfo= %19; DataTag=%20; ElapsedTime=%21; GUID=%22; %23; %24; |
| 599 | 암호화된 응답 실패 | Lookup | RESPONSE_FAILURE: Channel=%1; %2; InterfaceIP=%3; Reason=%4; Destination=%5; QNAME=%6; QTYPE=%7; XID=%8; RCODE=%9; Port=%10; Flags=%11; Zone=%12; PolicyName=%13; PacketData=%15; AdditionalInfo = VirtualizationInstance: %14; ElapsedTime=%17; GUID=%18; %19 |
| 600 | 암호화된 쿼리가 거부됨 | Lookup | IGNORED_QUERY: Channel=%1; %2; InterfaceIP=%3; Source=%4; Reason=%5 |
| 601 | 암호화된 응답 채널 오류 | Lookup | IGNORED_QUERY: Channel=%1; %2; InterfaceIP=%3; Source=%4; Reason=%5 |
| 602 | 암호화된 DDNS 업데이트 요청 수신 | 동적 업데이트 | DYN_UPDATE_RECV: Channel=%1; %2; InterfaceIP=%3; Source=%4; QNAME=%5; XID=%6; Port=%7; Flags=%8; SECURE=%9; PacketData=%11 |
| 603 | 암호화된 DDNS 업데이트 응답 전송 | 동적 업데이트 | DYN_UPDATE_RESPONSE: Channel=%1; %2; InterfaceIP=%3; Destination=%4; QNAME=%5; XID=%6; ZoneScope=%7; Zone=%8; RCODE=%9; PolicyName=%10; PacketData=%12 |
TCP 필드는 DoH에 적용되지 않습니다.
Channel 필드(%1)가 해당 필드를 대체하여 DoH 트래픽에 대해 2의 값을 가집니다. 요청 또는 응답에 대한 보완 정보(%2)는 필드를 따릅니다 Channel . 각 이벤트에는 HTTP 버전, 요청 ID 및 상태 코드와 같은 자세한 정보가 포함됩니다. 쿼리 이벤트의 경우 보완 정보는 다음 형식을 따릅니다.
HTTP=Version:HTTP/2; Verb:POST; RequestID:{4987238521587782}
응답 이벤트의 경우 형식에는 HTTP 상태가 포함됩니다.
HTTP=Version:HTTP/2; Verb:POST; RequestID:{4987238521587782}; Status:200
성능 모니터링
다음 표에서는 사용 가능한 DoH 성능 카운터에 대해 설명합니다.
| 카운터 이름 | 카테고리 | Description |
|---|---|---|
| DoH 요청 수신/초 | DNS over HTTPS | 서버가 매 초마다 수신하는 DoH 쿼리 패킷 수를 측정합니다. |
| DoH 응답 수/초 | DNS over HTTPS | 신뢰할 수 있는 데이터의 응답, 캐시된 데이터, 전달된 응답, 재귀 결과 및 HTTP 또는 DNS 오류 코드를 사용하여 응답을 포함하여 서버가 매 초마다 성공적으로 전송하는 DoH 응답 패킷 수를 측정합니다. |
| DoH 요청 실패/sec | DNS over HTTPS | 서버 리소스 제한, 패킷 구문 분석 오류, 속도 제한, 네트워크 정체 또는 보안 정책으로 인해 일반 처리 전에 서버에서 1초마다 삭제한 들어오는 DoH 쿼리 수를 측정합니다. |
비고
DNS 서버 서비스가 다시 시작될 때 성능 카운터가 다시 설정됩니다.
DoH 성능 카운터는 기존 DNS 트래픽과 별도로 암호화된 DNS 쿼리 작업을 측정합니다. DoH 성능을 모니터링하려면 다음 섹션에서 원하는 방법을 선택합니다.
성능 모니터를 사용하여 DoH 성능 카운터를 모니터링하려면 다음 단계를 수행합니다.
시작을 선택하고 성능 모니터를 입력한 다음 결과에서 성능 모니터를 선택합니다.
성능 모니터에서 추가 단추(녹색 더하기 기호)를 선택하여 카운터를 추가합니다.
사용 가능한 카운터 목록에서 HTTPS를 통해 DNS를 확장합니다.
모니터링할 DoH 카운터를 선택합니다.
- DoH 요청 수신/초
- DoH 응답 보낸 수/초
- DoH 요청 누락/초
추가를 선택하여 선택한 카운터를 모니터링 그래프에 추가합니다.
확인을 선택하여 카운터 모니터링을 시작합니다.