gladop
Goto Top

DNS Anfragen an gelöschten DNS Server

Hallo Zusammen,

ich habe aktuell ein komisches Problem.
Ende Februar haben wir unsren DNS Server ersetzt.
Der Neue hat eine andre IP bekommen.
- Alter Server: 192.168.0.106
- Neuer Server: 192.168.0.100
Den DNS Server bekommen unsere Clients via DHCP.

Jetzt schaue ich gerade die Logs unsrer Firewall durch und sehe, dass einige Clients jeden Morgen eine DNS Abfrage an unsren Alten (und mittlerweile gelöschten) DNS Server schicken.
Die darauf folgenden gehen an den Neuen.
Daraufhin habe ich mir die Clients angeschaut, konnte aber nichts feststellen.
Ipconfig Zeigt, dass DNS Anfragen an den neuen Server gehen, in den Adaptereinstellungen ist nichts manuell eingetragen (läuft ja via DHCP) und auch in den System-Logs finde ich keine Meldungen aller "der DNS Server 192.168.0.106" ist nicht erreichbar.
Auf unsrem DHCP Server (in den Bereichsoptionen) wurden alle Einträge, die auf den Alten DNS Server verwiesen geändert.

An sich funktioniert alles.
Ich frage mich nur warum immer noch DNS Anfragen an die 192.168.0.106 verschickt werden.
Hat da jemand eine Idee?

MFG
Gladop

Content-Key: 63077646736

Url: https://administrator.de/contentid/63077646736

Printed on: May 28, 2024 at 08:05 o'clock

Member: TwistedAir
TwistedAir Apr 24, 2024 at 16:58:50 (UTC)
Goto Top
Hallo,

benutzt vielleicht ein Browser seine eigenen anstelle der Systemeinstellungen? Könntest auch mal checken, ob die installierten Programme eine Option zur Proxy-Einstellung haben.

Gruß
TA
Member: StefanKittel
Solution StefanKittel Apr 24, 2024 at 20:13:09 (UTC)
Goto Top
Hallo,

installiere doch mal einen Pi-Hole auf der IP und schaue was dort für Anfragen von welchen PCs wann reinkommen.
Damit müsste sich das deutlich eingrenzen lassen.

Komisch ist es aber schon.
Spätestens nach 2-3 Tagen müsste alle Caches diesbezüglich leer sein.

Stefan
Member: emeriks
emeriks Apr 24, 2024 at 20:21:07 (UTC)
Goto Top
Hi,
sind das tatsächlich Anfragen an den DNS-Server, also TCP/UDP 53 ?
Sind dieses DNS-Server auch DC's oder gewesen? Falls ja, sind das u.U. Anfragen an andere Ports, wie z.B. LDAP, TCP 389, o.ä.?

E
Member: Hubert.N
Hubert.N Apr 25, 2024 at 08:15:00 (UTC)
Goto Top
Moin

ich frage mich gerade, weshab Du überhaupt auf der Firewall DNS-Anfragen Deiner Clients siehst?!

Gruß
Member: ThePinky777
ThePinky777 Apr 25, 2024 updated at 08:56:40 (UTC)
Goto Top
Geh mal in die DNS Console auf dem DC

Dort bei Type "Name Server (NS)" checken ob dort noch der alte Server in der Liste ist.
Wenn ja muss man dafür sorgen das der Eintrag verschwindet.
Weil jeder NS Server der dort gelistet wird, kann random als DNS verwendet werden.

Ansonsten kann es auch sein das clients den eben noch in der Config drin haben, DHCP Settings checken.
Beim DHCP ebenfalls checken ob da irgendwo die DNS Server Infos Provided werden und
wenn da der alte drin ist sollte es ja nicht wundern....
Member: Gladop
Gladop Apr 25, 2024 at 12:10:14 (UTC)
Goto Top
Erstmal vielen Dank für eure Beiträge.

Zitat von @emeriks:
sind das tatsächlich Anfragen an den DNS-Server, also TCP/UDP 53 ?
Sind dieses DNS-Server auch DC's oder gewesen? Falls ja, sind das u.U. Anfragen an andere Ports, wie z.B. LDAP, TCP 389, o.ä.?
Ja der Server war ein DC.
Es werden aber nur DNS-Anfragen (TCP auf Port 53) verschickt.

Zitat von @Hubert.N:
ich frage mich gerade, weshab Du überhaupt auf der Firewall DNS-Anfragen Deiner Clients siehst?!
Wir haben mehrere Netzte in denen DCs und somit auch DNS Server stehen.
Jeder Client bekommt immer zwei DNs Server zugewiesen.
Einen im selben Netz und einen aus einem anderen Netz.
Die Clients, die ich im Log der Firewall sehe, senden von 192.168.1.X nach 192.168.0.106.

Zitat von @ThePinky777:
Geh mal in die DNS Console auf dem DC

Dort bei Type "Name Server (NS)" checken ob dort noch der alte Server in der Liste ist.
Wenn ja muss man dafür sorgen das der Eintrag verschwindet.
Weil jeder NS Server der dort gelistet wird, kann random als DNS verwendet werden.

Ansonsten kann es auch sein das clients den eben noch in der Config drin haben, DHCP Settings checken.
Beim DHCP ebenfalls checken ob da irgendwo die DNS Server Infos Provided werden und
wenn da der alte drin ist sollte es ja nicht wundern....
Das hab ich bereits überprüft.
Sowohl im DNS als auch auf den DHCP Servern stehen keine verweise auf den alten DNS Server.>

Zitat von @StefanKittel:
installiere doch mal einen Pi-Hole auf der IP und schaue was dort für Anfragen von welchen PCs wann reinkommen.
Das ist eine gute Idee. Werde ich gleich machen.

Zitat von @TwistedAir:
benutzt vielleicht ein Browser seine eigenen anstelle der Systemeinstellungen? Könntest auch mal checken, ob die installierten Programme eine Option zur Proxy-Einstellung haben.
Danke für den Tipp. Bin einfach davon ausgegangen, dass alle Programme die Systemeinstellungen verwenden. Vielleicht gibt es ja ein Muster von Programmen, die nur auf den entsprechenden PCs installiert sind.
Member: Dani
Dani Apr 26, 2024 at 15:32:05 (UTC)
Goto Top
Moin,
Ja der Server war ein DC.
alle Überreste in der DNS-Zone (primär meine ich SRV Einträge) entfernt?
Evtl. gibt es einen CNAME Eintrag für eine Software, welche auf die alte IP-Adresse zeigt.


Gruß,
Dani
Member: HansDampf06
HansDampf06 Apr 26, 2024 at 16:11:52 (UTC)
Goto Top
Was ebenfalls helfen kann bei Windows-Clients, um den alten "Mist" zu bereinigen:
ipconfig /flushdns
Manchmal bewirkt das wahre Wunder.

Viele Grüße
HansDampf06
Member: Gladop
Gladop Apr 29, 2024 at 11:00:43 (UTC)
Goto Top
So,
Pi-Hole lief übers Wochenende und hat die DNS Anfragen abgefangen.
Und siehe da. Alle anfragen betreffen unser Telefon-Anlage.
Warum auch immer wurde in der TK-Client Software, auf den betroffenen Computern, der alte DNS Server fest eingetragen.
Damit sollte der Spuk vorbei sein.

Vielen Dank für eure Tipps.

MFG
Gladop