這很重要
Windows Server 上 DNS Server 的 DNS over HTTPS(DoH)目前處於預覽階段。 這項資訊涉及發行前產品,在發行之前可能會有大幅修改。 Microsoft針對此處提供的資訊,不提供任何明示或默示擔保。
本文說明如何利用事件日誌和效能計數器監控 DNS 伺服器上的 DNS over HTTPS(DoH)活動。
當你在 DNS 伺服器啟用 DoH 時,你需要對加密的 DNS 流量進行存取,以進行容量規劃、效能分析及營運意識。 由於 DoH 流量是加密的,傳統網路監控工具無法檢查 DNS 查詢。 本文所描述的 DoH 專屬事件與效能計數器,有助於你追蹤加密查詢活動、衡量吞吐量,並找出 DoH 服務的潛在問題。
DoH 透過將 DNS 訊息封裝在 HTTPS 中來加密 DNS 流量。 想了解更多DoH的運作方式,請參考 DNS加密,使用DNS over HTTPS。
先決條件
開始之前,請確定您擁有:
- 安裝 2026-02 安全更新((KB5075899))或更新版本的 Windows Server 2025。
- 在您的 DNS 伺服器上啟用並設定 DNS over HTTPS(參見 DNS Server 啟用 DNS over HTTPS)。
- 擁有對託管 DNS Server 服務的 Windows Server 的管理員或同等存取權。
- 對 Windows 事件檢視器和效能監控器有基本了解。
查看伺服器日誌
系統預設啟用稽核日誌。 這些日誌對 DNS 伺服器效能影響不大。 DNS 伺服器上的審核事件可用於啟動、關閉及變更的追蹤。 查看衛生部日誌:
選擇 開始 按鈕,輸入 事件檢視器,然後從最佳配對清單中開啟 活動檢視 器。
在事件檢視器中,前往 應用程式與服務 > DNS 伺服器。
要篩選 DoH 專屬事件,請右鍵點擊 DNS Server,選擇 「篩選當前日誌」,並在篩選對話框中,於 「所有事件 ID」 欄位輸入以下 DoH 事件 ID:
597, 598, 599, 600, 601, 602, 603。 選取 [ 確定 ] 以套用篩選。
伺服器事件
下表總結了衛生部的審計事件。
| 事件識別碼 | 類型 | 類別 | Level | 活動文字 |
|---|---|---|---|---|
| 822 | DoH 註冊網址 | DNS over HTTPS | 資訊 | Successfully started HTTP server for DNS-over-HTTPS (DoH) server. The DoH server is listening on following URL(s): %1 |
| 823 | DoH 初始化失敗 | DNS over HTTPS | 錯誤 | The DNS server could not initialize the HTTP server for DNS-over-HTTPS (DoH) and failed with error code %1. |
| 824 | DoH連線失敗 | DNS over HTTPS | 錯誤 | The DNS server could not create the HTTP server session for DNS-over-HTTPS (DoH) and failed with error code %1. |
| 825 | DoH 建立網址失敗 | DNS over HTTPS | 錯誤 | The DNS server could not register the URL: %1 for the DNS-over-HTTPS (DoH) server and failed with error code %2. |
| 826 | DoH 創建請求佇列失敗 | DNS over HTTPS | 錯誤 | The DNS server could not create the HTTP request queue for DNS-over-HTTPS (DoH) and failed with error code %1. |
| 827 | DoH 配置 | DNS over HTTPS | 資訊 | The configuration for DNS-over-HTTPS (DoH) server are: %1 |
| 828 | DoH 關閉 | DNS over HTTPS | 資訊 | The DNS-over-HTTPS (DoH) server has shut down gracefully. |
| 829 | DoH 關機錯誤 | DNS over HTTPS | 錯誤 | The DNS-over-HTTPS (DoH) server has shut down due to an error and failed with error code %1. |
查看分析事件
分析事件預設不是啟用的,你需要啟用它們才能查看 DoH 專屬的分析事件。 DoH 分析事件提供加密 DNS 查詢與回應活動的詳細資訊,如查詢名稱、類型、回應代碼及處理時間。 您可以透過以下步驟查看追蹤加密查詢與回應活動的 DoH 專屬事件:
若要開啟 DNS 診斷記錄:
從 Microsoft > Windows > DNS-Server 的應用程式與服務日誌>節點,右鍵選擇 DNS-Server,選擇檢視,然後選擇顯示分析與除錯日誌。 分析記錄隨即顯示。
在Analytical上按一下滑鼠右鍵,然後選取屬性。
如果您想要從事件查看器查詢和檢視記錄,請選擇[當達到事件記錄大小上限],選取[不要覆寫事件(手動清除記錄)],然後選取[啟用記錄] 複選框,然後在詢問您是否要啟用此記錄時選取[確定]。
如果您要開啟循環記錄,請選擇 視需要覆寫(最舊的事件優先),然後選取 啟用記錄。 選擇 確定後,會顯示 查詢錯誤 。 即使顯示此錯誤,記錄仍會持續進行。 此錯誤僅表示您無法檢視目前正在事件查看器中記錄的事件。
選取 [ 確定 ] 以啟用 DNS 伺服器分析事件記錄檔。
![顯示 DNS 伺服器分析記錄的 [記錄屬性] 視窗的螢幕快照,並顯示啟用記錄檔時可能遺失事件的警告訊息。](../media/monitor-dns-over-https/enable-logging.png)
分析記錄預設會寫入檔案 %SystemRoot%\System32\Winevt\Logs\Microsoft-Windows-DNSServer%4Analytical.etl。 下一節將說明 DNS 伺服器稽核與分析事件日誌中顯示的 DoH 事件。
DNS over HTTPS 分析事件
DoH 的分析事件類似於標準 DNS 分析事件,但它們只追蹤加密的查詢與回應。 欲了解更多關於 DNS 伺服器服務可用日誌的資訊,請參閱 啟用 DNS 日誌與診斷。
下表描述了DoH的分析事件:
| 事件識別碼 | 類型 | 類別 | 活動文字 |
|---|---|---|---|
| 597 | 收到的加密查詢 | 查詢 | QUERY_RECEIVED: Channel=%1; %2; InterfaceIP=%3; Source=%4; RD=%5; QNAME=%6; QTYPE=%7; XID=%8; Port=%9; Flags=%10; PacketData=%12; AdditionalInfo = VirtualizationInstanceOptionValue: %13; GUID=%14; %15 |
| 598 | 已發送加密回應 | 查詢 | RESPONSE_SUCCESS: Channel=%1; %2; InterfaceIP=%3; Destination=%4; AA=%5; AD=%6; QNAME=%7; QTYPE=%8; XID=%9; DNSSEC=%10; RCODE=%11; Port=%12; Flags=%13; Scope=%14; Zone=%15; PolicyName=%16; PacketData=%18; AdditionalInfo= %19; DataTag=%20; ElapsedTime=%21; GUID=%22; %23; %24; |
| 599 | 加密回應失敗 | 查詢 | RESPONSE_FAILURE: Channel=%1; %2; InterfaceIP=%3; Reason=%4; Destination=%5; QNAME=%6; QTYPE=%7; XID=%8; RCODE=%9; Port=%10; Flags=%11; Zone=%12; PolicyName=%13; PacketData=%15; AdditionalInfo = VirtualizationInstance: %14; ElapsedTime=%17; GUID=%18; %19 |
| 600 | 加密查詢被拒絕 | 查詢 | IGNORED_QUERY: Channel=%1; %2; InterfaceIP=%3; Source=%4; Reason=%5 |
| 601 | 加密回應通道故障 | 查詢 | IGNORED_QUERY: Channel=%1; %2; InterfaceIP=%3; Source=%4; Reason=%5 |
| 602 | 收到加密 DDNS 更新請求 | 動態更新 | DYN_UPDATE_RECV: Channel=%1; %2; InterfaceIP=%3; Source=%4; QNAME=%5; XID=%6; Port=%7; Flags=%8; SECURE=%9; PacketData=%11 |
| 603 | 加密 DDNS 更新回應已發送 | 動態更新 | DYN_UPDATE_RESPONSE: Channel=%1; %2; InterfaceIP=%3; Destination=%4; QNAME=%5; XID=%6; ZoneScope=%7; Zone=%8; RCODE=%9; PolicyName=%10; PacketData=%12 |
TCP 欄位不適用於 DoH。
Channel欄位(%1)取代了它,對於DoH流量來說,值為2。 關於請求或回應的補充資訊(%2)會出現在 Channel 欄位後面。 每個事件包含詳細資訊,如 HTTP 版本、請求 ID 及狀態碼。 查詢事件的補充資訊格式如下:
HTTP=Version:HTTP/2; Verb:POST; RequestID:{4987238521587782}
對於回應事件,格式包含 HTTP 狀態:
HTTP=Version:HTTP/2; Verb:POST; RequestID:{4987238521587782}; Status:200
監控效能
下表描述可用的DoH效能計數器:
| 計數器名稱 | 類別 | Description |
|---|---|---|
| 每秒收到的DoH請求數 | DNS-over-HTTPS | 衡量伺服器每秒收到的 DoH 查詢封包數量 |
| DoH 回應發送/秒 | DNS-over-HTTPS | 衡量伺服器每秒成功傳送的 DoH 回應封包數量,包括來自權威資料、快取資料、轉發回應、遞迴結果,以及帶有 HTTP 或 DNS 錯誤碼的回應 |
| 每秒DoH請求丟棄數 | DNS-over-HTTPS | 衡量伺服器在正常處理前每秒丟棄的 DoH 查詢數量,原因包括伺服器資源限制、封包解析錯誤、速率限制、網路擁塞或安全政策 |
備註
當 DNS 伺服器服務重新啟動時,效能計數器會重置。
DoH 效能計數器會分別測量加密 DNS 查詢活動,與傳統 DNS 流量分開。 要監控DoH績效,請在下一節選擇您偏好的方法。
要使用 Performance Monitor 監控 DoH 效能計數器,請依照以下步驟操作:
選擇 開始,輸入 Performance Monitor,然後從結果中選擇 Performance Monitor 。
在 效能監控器中,選擇 新增 按鈕(綠色加號)來新增計數器。
在 可用計數器 清單中,展開 DNS over HTTPS。
選擇你想監控的DoH計數器:
- 每秒接收到的DoH請求數
- DoH 每秒發送的回應數量
- 每秒 DoH 請求數量損失
選擇 新增 以將選取的計數器加入監控圖表。
選擇 確定 開始監控計數器。