Мониторинг DNS по протоколу HTTPS на DNS-сервере (предварительная версия)

Это важно

DNS по протоколу HTTPS (DoH) для DNS-сервера в Windows Server в настоящее время находится в предварительной версии. Эта информация относится к предварительному продукту, который может быть существенно изменен до выпуска. Корпорация Майкрософт не предоставляет никаких гарантий, выраженных или подразумеваемых, в отношении информации, предоставленной здесь.

В этой статье объясняется, как отслеживать действия DNS по протоколу HTTPS (DoH) на DNS-сервере с помощью журналов событий и счетчиков производительности.

При включении DoH на DNS-сервере требуется видимость зашифрованного ТРАФИКА DNS для планирования емкости, анализа производительности и оперативной осведомленности. Так как трафик DoH зашифрован, традиционные средства мониторинга сети не могут проверять запросы DNS. События и счетчики производительности, описанные в этой статье, помогают отслеживать зашифрованные действия запросов, измерять пропускную способность и выявлять потенциальные проблемы со службой DoH.

DoH шифрует трафик DNS, инкапсулируя DNS-сообщения в HTTPS. Дополнительные сведения о том, как работает DoH, см. в статье о шифровании DNS с помощью DNS по протоколу HTTPS.

Предпосылки

Перед началом работы убедитесь, что у вас есть следующие ресурсы:

• Windows Server 2025 с установленным обновлением системы безопасности 2026-02 (KB5075899)) или более поздней версией.
• DNS по протоколу HTTPS включен и настроен на DNS-сервере (см. раздел "Включить DNS по протоколу HTTPS" на DNS-сервере).
• Администратор или эквивалентный доступ к Windows Server, на котором размещена служба DNS-сервера.
• Базовое понимание средства просмотра событий Windows и монитора производительности.

Просмотр журналов сервера

Система включает журналы аудита по умолчанию. Эти журналы не влияют на производительность DNS-сервера. События аудита DNS-сервера позволяют выполнять запуск, завершение работы и отслеживание изменений на DNS-сервере. Чтобы просмотреть журналы DoH:

1. Нажмите кнопку "Пуск", введите средство просмотра событий и откройте средство просмотра событий из списка лучших совпадений.

2. В средстве просмотра событий перейдите на DNS-сервер приложений и служб>.

3. Чтобы отфильтровать события, относящиеся к doH, щелкните правой кнопкой мыши DNS-сервер, выберите "Фильтр текущего журнала" и в диалоговом окне фильтра введите следующие идентификаторы событий DoH в поле "Все идентификаторы событий". 597, 598, 599, 600, 601, 602, 603 Нажмите кнопку "ОК ", чтобы применить фильтр.

События сервера

В следующей таблице перечислены события аудита DoH.

Идентификатор события	Тип	Категория	Level	Текст события
822	Зарегистрирован URL-адрес DoH	DNS по протоколу HTTPS	Informational	Successfully started HTTP server for DNS-over-HTTPS (DoH) server. The DoH server is listening on following URL(s): %1
823	Сбой инициализации DoH	DNS по протоколу HTTPS	Ошибка	The DNS server could not initialize the HTTP server for DNS-over-HTTPS (DoH) and failed with error code %1.
824	Сбой сеансов DoH	DNS по протоколу HTTPS	Ошибка	The DNS server could not create the HTTP server session for DNS-over-HTTPS (DoH) and failed with error code %1.
825	Не удалось создать URL-адрес DoH	DNS по протоколу HTTPS	Ошибка	The DNS server could not register the URL: %1 for the DNS-over-HTTPS (DoH) server and failed with error code %2.
826	Не удалось создать очередь запросов DoH	DNS по протоколу HTTPS	Ошибка	The DNS server could not create the HTTP request queue for DNS-over-HTTPS (DoH) and failed with error code %1.
827	Конфигурация DoH	DNS по протоколу HTTPS	Informational	The configuration for DNS-over-HTTPS (DoH) server are: %1
828	Завершение работы DoH	DNS по протоколу HTTPS	Informational	The DNS-over-HTTPS (DoH) server has shut down gracefully.
829	Ошибка отключения DoH	DNS по протоколу HTTPS	Ошибка	The DNS-over-HTTPS (DoH) server has shut down due to an error and failed with error code %1.

Просмотр аналитических событий

Аналитические события по умолчанию не включены, необходимо включить их для просмотра аналитических событий, относящихся к DoH. Аналитические события DoH предоставляют подробные сведения о зашифрованном действии DNS-запроса и ответа, таких как имена запросов, типы, коды ответов и время обработки. Вы можете просматривать события, связанные с DoH, отслеживающие зашифрованные действия запроса и ответа, выполнив следующие действия:

Чтобы включить ведение журнала диагностики DNS, выполните приведенные действия.

1. В узле журналы приложений и служб > Microsoft > Windows > DNS-Server щелкните правой кнопкой мыши DNS-Server, выберите «Вид», а затем выберите «Показать журналы аналитики и отладки». Отображается аналитический журнал.

2. Щелкните правой кнопкой мыши "Аналитика " и выберите "Свойства".

3. Если вы хотите запрашивать и просматривать журналы в Средстве просмотра событий, выберите Когда будет достигнут максимальный размер журнала событий, выберите Не перезаписывать события (очистить журналы вручную), установите флажок Включить ведение журнала, а затем выберите ОК, если вам нужно включить этот журнал.

4. Если вы хотите включить циклическое ведение журнала, выберите Перезаписать по мере необходимости (самые старые события) и выберите Включить ведение журнала. После нажатия кнопки "ОК" отображается ошибка запроса . Ведение журнала происходит, даже если отображается эта ошибка. Ошибка означает, что вы не можете просматривать события, которые в настоящее время регистрируются в журнале событий.

5. Нажмите кнопку "ОК ", чтобы включить журнал событий АНАЛИТИКИ DNS-сервера.

   

Журналы аналитики записываются по умолчанию в файл %SystemRoot%\System32\Winevt\Logs\Microsoft-Windows-DNSServer%4Analytical.etl. В следующем разделе описаны события DoH, отображаемые в журналах аудита и аналитики DNS-сервера.

Аналитические события DNS по протоколу HTTPS

Аналитические события DoH похожи на стандартные аналитические события DNS, но они отслеживают только зашифрованные запросы и ответы. Дополнительные сведения о журналах, доступных для службы DNS-сервера, см. в разделе "Включение ведения журнала и диагностики DNS".

В следующей таблице описаны аналитические события DoH:

Идентификатор события	Тип	Категория	Текст события
597	Зашифрованный запрос, полученный	Lookup	QUERY_RECEIVED: Channel=%1; %2; InterfaceIP=%3; Source=%4; RD=%5; QNAME=%6; QTYPE=%7; XID=%8; Port=%9; Flags=%10; PacketData=%12; AdditionalInfo = VirtualizationInstanceOptionValue: %13; GUID=%14; %15
598	Зашифрованный ответ, отправленный	Lookup	RESPONSE_SUCCESS: Channel=%1; %2; InterfaceIP=%3; Destination=%4; AA=%5; AD=%6; QNAME=%7; QTYPE=%8; XID=%9; DNSSEC=%10; RCODE=%11; Port=%12; Flags=%13; Scope=%14; Zone=%15; PolicyName=%16; PacketData=%18; AdditionalInfo= %19; DataTag=%20; ElapsedTime=%21; GUID=%22; %23; %24;
599	Сбой зашифрованного ответа	Lookup	RESPONSE_FAILURE: Channel=%1; %2; InterfaceIP=%3; Reason=%4; Destination=%5; QNAME=%6; QTYPE=%7; XID=%8; RCODE=%9; Port=%10; Flags=%11; Zone=%12; PolicyName=%13; PacketData=%15; AdditionalInfo = VirtualizationInstance: %14; ElapsedTime=%17; GUID=%18; %19
600	Зашифрованный запрос отклонен	Lookup	IGNORED_QUERY: Channel=%1; %2; InterfaceIP=%3; Source=%4; Reason=%5
601	Сбой зашифрованного канала ответа	Lookup	IGNORED_QUERY: Channel=%1; %2; InterfaceIP=%3; Source=%4; Reason=%5
602	Зашифрованный запрос на обновление DDNS, полученный	Динамическое обновление	DYN_UPDATE_RECV: Channel=%1; %2; InterfaceIP=%3; Source=%4; QNAME=%5; XID=%6; Port=%7; Flags=%8; SECURE=%9; PacketData=%11
603	Зашифрованный ответ обновления DDNS, отправленный	Динамическое обновление	DYN_UPDATE_RESPONSE: Channel=%1; %2; InterfaceIP=%3; Destination=%4; QNAME=%5; XID=%6; ZoneScope=%7; Zone=%8; RCODE=%9; PolicyName=%10; PacketData=%12

Поле TCP не применимо для DoH. Поле Channel (%1) заменяет его и несет значение 2 для трафика DoH. Дополнительные сведения (%2) о запросе или ответе содержатся после поля Channel. Каждое событие содержит подробные сведения, такие как версия HTTP, идентификатор запроса и коды состояния. Для событий запроса дополнительные сведения соответствуют этому формату:

HTTP=Version:HTTP/2; Verb:POST; RequestID:{4987238521587782}

Для событий ответа формат включает состояние HTTP:

HTTP=Version:HTTP/2; Verb:POST; RequestID:{4987238521587782}; Status:200

Мониторинг производительности

В следующей таблице описаны доступные счетчики производительности DoH:

Имя счетчика	Категория	Description
Полученные запросы DoH в секунду	DNS-over-HTTPS (DNS через HTTPS)	Измеряет количество пакетов запросов DoH, которые сервер получает каждую секунду.
Ответы DoH, отправленные в секунду	DNS-over-HTTPS (DNS через HTTPS)	Измеряет количество пакетов ответа DoH, которые сервер успешно отправляет каждую секунду, включая ответы от достоверных данных, кэшированных данных, перенаправленных ответов, результатов рекурсии и ответов с помощью кодов ошибок HTTP или DNS
Удаленные запросы DoH/с	DNS-over-HTTPS (DNS через HTTPS)	Измеряет количество входящих запросов DoH, удаленных сервером каждую секунду до нормальной обработки, из-за ограничений ресурсов сервера, ошибок анализа пакетов, ограничения скорости, перегрузки сети или политик безопасности

Замечание

Счетчики производительности сбрасываются при перезапуске службы DNS-сервера.

Счетчики производительности DoH измеряют активность зашифрованных DNS-запросов отдельно от традиционного DNS-трафика. Чтобы отслеживать производительность DoH, выберите предпочтительный метод в следующем разделе.

Мониторинг производительности.

Чтобы отслеживать счетчики производительности DoH с помощью монитора производительности, выполните следующие действия.

1. Выберите "Пуск", введите монитор производительности и выберите "Монитор производительности " из результатов.

2. В мониторе производительности нажмите кнопку "Добавить " (зеленый знак "плюс"), чтобы добавить счетчики.

3. В списке доступных счетчиков разверните DNS по протоколу HTTPS.

4. Выберите счетчики DoH, которые вы хотите отслеживать:

   • Полученные запросы DoH в секунду
   • Ответы DoH, отправленные в секунду
   • Отброшенные запросы DoH/с

5. Нажмите кнопку "Добавить ", чтобы добавить выбранные счетчики в граф мониторинга.

6. Нажмите кнопку "ОК ", чтобы начать мониторинг счетчиков.

PowerShell

Используйте PowerShell для программного запроса счетчиков производительности DoH, выполнив следующие действия.

1. Откройте PowerShell в качестве администратора на DNS-сервере.

2. Используйте командлет Get-Counter для получения данных счетчика производительности DoH. В следующем примере извлекаются все счетчики DoH:

   Get-Counter -Counter "\DNS-over-HTTPS\*"
   

3. Чтобы постоянно отслеживать определенные счетчики, используйте -Continuous параметр:

   Get-Counter -Counter "\DNS-over-HTTPS\DoH Requests Received/sec" -Continuous
   

4. Для выборки счетчиков с определенным интервалом используйте параметр -SampleInterval. В следующем примере примеры запросов DoH каждые 5 секунд:

   Get-Counter -Counter "\DNS-over-HTTPS\DoH Requests Received/sec" -SampleInterval 5
   

5. Чтобы экспортировать данные счетчика в файл для последующего анализа, используйте параметр -MaxSamplesExport-Counter.

   Get-Counter -Counter "\DNS-over-HTTPS\*" -MaxSamples 100 | Export-Counter -Path "C:\DoHCounters.blg"
   

Связанный контент

• Включение DNS по протоколу HTTPS на DNS-сервере
• Шифрование DNS с помощью DNS по протоколу HTTPS
• Включение ведения журнала DNS и диагностики
• Сведения о трассировке событий