9
DNS Anfragen an gelöschten DNS Server
Hallo Zusammen,
ich habe aktuell ein komisches Problem.
Ende Februar haben wir unsren DNS Server ersetzt.
Der Neue hat eine andre IP bekommen.
- Alter Server: 192.168.0.106
- Neuer Server: 192.168.0.100
Den DNS Server bekommen unsere Clients via DHCP.
Jetzt schaue ich gerade die Logs unsrer Firewall durch und sehe, dass einige Clients jeden Morgen eine DNS Abfrage an unsren Alten (und mittlerweile gelöschten) DNS Server schicken.
Die darauf folgenden gehen an den Neuen.
Daraufhin habe ich mir die Clients angeschaut, konnte aber nichts feststellen.
Ipconfig Zeigt, dass DNS Anfragen an den neuen Server gehen, in den Adaptereinstellungen ist nichts manuell eingetragen (läuft ja via DHCP) und auch in den System-Logs finde ich keine Meldungen aller "der DNS Server 192.168.0.106" ist nicht erreichbar.
Auf unsrem DHCP Server (in den Bereichsoptionen) wurden alle Einträge, die auf den Alten DNS Server verwiesen geändert.
An sich funktioniert alles.
Ich frage mich nur warum immer noch DNS Anfragen an die 192.168.0.106 verschickt werden.
Hat da jemand eine Idee?
MFG
Gladop
ich habe aktuell ein komisches Problem.
Ende Februar haben wir unsren DNS Server ersetzt.
Der Neue hat eine andre IP bekommen.
- Alter Server: 192.168.0.106
- Neuer Server: 192.168.0.100
Den DNS Server bekommen unsere Clients via DHCP.
Jetzt schaue ich gerade die Logs unsrer Firewall durch und sehe, dass einige Clients jeden Morgen eine DNS Abfrage an unsren Alten (und mittlerweile gelöschten) DNS Server schicken.
Die darauf folgenden gehen an den Neuen.
Daraufhin habe ich mir die Clients angeschaut, konnte aber nichts feststellen.
Ipconfig Zeigt, dass DNS Anfragen an den neuen Server gehen, in den Adaptereinstellungen ist nichts manuell eingetragen (läuft ja via DHCP) und auch in den System-Logs finde ich keine Meldungen aller "der DNS Server 192.168.0.106" ist nicht erreichbar.
Auf unsrem DHCP Server (in den Bereichsoptionen) wurden alle Einträge, die auf den Alten DNS Server verwiesen geändert.
An sich funktioniert alles.
Ich frage mich nur warum immer noch DNS Anfragen an die 192.168.0.106 verschickt werden.
Hat da jemand eine Idee?
MFG
Gladop
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 63077646736
Url: https://administrator.de/contentid/63077646736
Ausgedruckt am: 24.11.2024 um 20:11 Uhr
9 Kommentare
Neuester Kommentar
Hallo,
benutzt vielleicht ein Browser seine eigenen anstelle der Systemeinstellungen? Könntest auch mal checken, ob die installierten Programme eine Option zur Proxy-Einstellung haben.
Gruß
TA
benutzt vielleicht ein Browser seine eigenen anstelle der Systemeinstellungen? Könntest auch mal checken, ob die installierten Programme eine Option zur Proxy-Einstellung haben.
Gruß
TA
Hallo,
installiere doch mal einen Pi-Hole auf der IP und schaue was dort für Anfragen von welchen PCs wann reinkommen.
Damit müsste sich das deutlich eingrenzen lassen.
Komisch ist es aber schon.
Spätestens nach 2-3 Tagen müsste alle Caches diesbezüglich leer sein.
Stefan
installiere doch mal einen Pi-Hole auf der IP und schaue was dort für Anfragen von welchen PCs wann reinkommen.
Damit müsste sich das deutlich eingrenzen lassen.
Komisch ist es aber schon.
Spätestens nach 2-3 Tagen müsste alle Caches diesbezüglich leer sein.
Stefan
1
Hi,
sind das tatsächlich Anfragen an den DNS-Server, also TCP/UDP 53 ?
Sind dieses DNS-Server auch DC's oder gewesen? Falls ja, sind das u.U. Anfragen an andere Ports, wie z.B. LDAP, TCP 389, o.ä.?
E
sind das tatsächlich Anfragen an den DNS-Server, also TCP/UDP 53 ?
Sind dieses DNS-Server auch DC's oder gewesen? Falls ja, sind das u.U. Anfragen an andere Ports, wie z.B. LDAP, TCP 389, o.ä.?
E
Moin
ich frage mich gerade, weshab Du überhaupt auf der Firewall DNS-Anfragen Deiner Clients siehst?!
Gruß
ich frage mich gerade, weshab Du überhaupt auf der Firewall DNS-Anfragen Deiner Clients siehst?!
Gruß
2
Geh mal in die DNS Console auf dem DC
Dort bei Type "Name Server (NS)" checken ob dort noch der alte Server in der Liste ist.
Wenn ja muss man dafür sorgen das der Eintrag verschwindet.
Weil jeder NS Server der dort gelistet wird, kann random als DNS verwendet werden.
Ansonsten kann es auch sein das clients den eben noch in der Config drin haben, DHCP Settings checken.
Beim DHCP ebenfalls checken ob da irgendwo die DNS Server Infos Provided werden und
wenn da der alte drin ist sollte es ja nicht wundern....
Dort bei Type "Name Server (NS)" checken ob dort noch der alte Server in der Liste ist.
Wenn ja muss man dafür sorgen das der Eintrag verschwindet.
Weil jeder NS Server der dort gelistet wird, kann random als DNS verwendet werden.
Ansonsten kann es auch sein das clients den eben noch in der Config drin haben, DHCP Settings checken.
Beim DHCP ebenfalls checken ob da irgendwo die DNS Server Infos Provided werden und
wenn da der alte drin ist sollte es ja nicht wundern....
Erstmal vielen Dank für eure Beiträge.
Es werden aber nur DNS-Anfragen (TCP auf Port 53) verschickt.
Jeder Client bekommt immer zwei DNs Server zugewiesen.
Einen im selben Netz und einen aus einem anderen Netz.
Die Clients, die ich im Log der Firewall sehe, senden von 192.168.1.X nach 192.168.0.106.
Sowohl im DNS als auch auf den DHCP Servern stehen keine verweise auf den alten DNS Server.>
Zitat von @emeriks:
sind das tatsächlich Anfragen an den DNS-Server, also TCP/UDP 53 ?
Sind dieses DNS-Server auch DC's oder gewesen? Falls ja, sind das u.U. Anfragen an andere Ports, wie z.B. LDAP, TCP 389, o.ä.?
Ja der Server war ein DC.sind das tatsächlich Anfragen an den DNS-Server, also TCP/UDP 53 ?
Sind dieses DNS-Server auch DC's oder gewesen? Falls ja, sind das u.U. Anfragen an andere Ports, wie z.B. LDAP, TCP 389, o.ä.?
Es werden aber nur DNS-Anfragen (TCP auf Port 53) verschickt.
Zitat von @Hubert.N:
ich frage mich gerade, weshab Du überhaupt auf der Firewall DNS-Anfragen Deiner Clients siehst?!
Wir haben mehrere Netzte in denen DCs und somit auch DNS Server stehen.ich frage mich gerade, weshab Du überhaupt auf der Firewall DNS-Anfragen Deiner Clients siehst?!
Jeder Client bekommt immer zwei DNs Server zugewiesen.
Einen im selben Netz und einen aus einem anderen Netz.
Die Clients, die ich im Log der Firewall sehe, senden von 192.168.1.X nach 192.168.0.106.
Zitat von @ThePinky777:
Geh mal in die DNS Console auf dem DC
Dort bei Type "Name Server (NS)" checken ob dort noch der alte Server in der Liste ist.
Wenn ja muss man dafür sorgen das der Eintrag verschwindet.
Weil jeder NS Server der dort gelistet wird, kann random als DNS verwendet werden.
Ansonsten kann es auch sein das clients den eben noch in der Config drin haben, DHCP Settings checken.
Beim DHCP ebenfalls checken ob da irgendwo die DNS Server Infos Provided werden und
wenn da der alte drin ist sollte es ja nicht wundern....
Das hab ich bereits überprüft.Geh mal in die DNS Console auf dem DC
Dort bei Type "Name Server (NS)" checken ob dort noch der alte Server in der Liste ist.
Wenn ja muss man dafür sorgen das der Eintrag verschwindet.
Weil jeder NS Server der dort gelistet wird, kann random als DNS verwendet werden.
Ansonsten kann es auch sein das clients den eben noch in der Config drin haben, DHCP Settings checken.
Beim DHCP ebenfalls checken ob da irgendwo die DNS Server Infos Provided werden und
wenn da der alte drin ist sollte es ja nicht wundern....
Sowohl im DNS als auch auf den DHCP Servern stehen keine verweise auf den alten DNS Server.>
Zitat von @StefanKittel:
installiere doch mal einen Pi-Hole auf der IP und schaue was dort für Anfragen von welchen PCs wann reinkommen.
Das ist eine gute Idee. Werde ich gleich machen.installiere doch mal einen Pi-Hole auf der IP und schaue was dort für Anfragen von welchen PCs wann reinkommen.
Zitat von @TwistedAir:
benutzt vielleicht ein Browser seine eigenen anstelle der Systemeinstellungen? Könntest auch mal checken, ob die installierten Programme eine Option zur Proxy-Einstellung haben.
Danke für den Tipp. Bin einfach davon ausgegangen, dass alle Programme die Systemeinstellungen verwenden. Vielleicht gibt es ja ein Muster von Programmen, die nur auf den entsprechenden PCs installiert sind.benutzt vielleicht ein Browser seine eigenen anstelle der Systemeinstellungen? Könntest auch mal checken, ob die installierten Programme eine Option zur Proxy-Einstellung haben.
Moin,
Evtl. gibt es einen CNAME Eintrag für eine Software, welche auf die alte IP-Adresse zeigt.
Gruß,
Dani
Ja der Server war ein DC.
alle Überreste in der DNS-Zone (primär meine ich SRV Einträge) entfernt?Evtl. gibt es einen CNAME Eintrag für eine Software, welche auf die alte IP-Adresse zeigt.
Gruß,
Dani
Was ebenfalls helfen kann bei Windows-Clients, um den alten "Mist" zu bereinigen:
Manchmal bewirkt das wahre Wunder.
Viele Grüße
HansDampf06
ipconfig /flushdnsViele Grüße
HansDampf06
So,
Pi-Hole lief übers Wochenende und hat die DNS Anfragen abgefangen.
Und siehe da. Alle anfragen betreffen unser Telefon-Anlage.
Warum auch immer wurde in der TK-Client Software, auf den betroffenen Computern, der alte DNS Server fest eingetragen.
Damit sollte der Spuk vorbei sein.
Vielen Dank für eure Tipps.
MFG
Gladop
Pi-Hole lief übers Wochenende und hat die DNS Anfragen abgefangen.
Und siehe da. Alle anfragen betreffen unser Telefon-Anlage.
Warum auch immer wurde in der TK-Client Software, auf den betroffenen Computern, der alte DNS Server fest eingetragen.
Damit sollte der Spuk vorbei sein.
Vielen Dank für eure Tipps.
MFG
Gladop
1
