gladop
Goto Top

DNS Anfragen an gelöschten DNS Server

Hallo Zusammen,

ich habe aktuell ein komisches Problem.
Ende Februar haben wir unsren DNS Server ersetzt.
Der Neue hat eine andre IP bekommen.
- Alter Server: 192.168.0.106
- Neuer Server: 192.168.0.100
Den DNS Server bekommen unsere Clients via DHCP.

Jetzt schaue ich gerade die Logs unsrer Firewall durch und sehe, dass einige Clients jeden Morgen eine DNS Abfrage an unsren Alten (und mittlerweile gelöschten) DNS Server schicken.
Die darauf folgenden gehen an den Neuen.
Daraufhin habe ich mir die Clients angeschaut, konnte aber nichts feststellen.
Ipconfig Zeigt, dass DNS Anfragen an den neuen Server gehen, in den Adaptereinstellungen ist nichts manuell eingetragen (läuft ja via DHCP) und auch in den System-Logs finde ich keine Meldungen aller "der DNS Server 192.168.0.106" ist nicht erreichbar.
Auf unsrem DHCP Server (in den Bereichsoptionen) wurden alle Einträge, die auf den Alten DNS Server verwiesen geändert.

An sich funktioniert alles.
Ich frage mich nur warum immer noch DNS Anfragen an die 192.168.0.106 verschickt werden.
Hat da jemand eine Idee?

MFG
Gladop

Content-ID: 63077646736

Url: https://administrator.de/forum/dns-anfragen-an-geloeschten-dns-server-63077646736.html

Ausgedruckt am: 26.12.2024 um 21:12 Uhr

TwistedAir
TwistedAir 24.04.2024 um 18:58:50 Uhr
Goto Top
Hallo,

benutzt vielleicht ein Browser seine eigenen anstelle der Systemeinstellungen? Könntest auch mal checken, ob die installierten Programme eine Option zur Proxy-Einstellung haben.

Gruß
TA
StefanKittel
Lösung StefanKittel 24.04.2024 um 22:13:09 Uhr
Goto Top
Hallo,

installiere doch mal einen Pi-Hole auf der IP und schaue was dort für Anfragen von welchen PCs wann reinkommen.
Damit müsste sich das deutlich eingrenzen lassen.

Komisch ist es aber schon.
Spätestens nach 2-3 Tagen müsste alle Caches diesbezüglich leer sein.

Stefan
emeriks
emeriks 24.04.2024 um 22:21:07 Uhr
Goto Top
Hi,
sind das tatsächlich Anfragen an den DNS-Server, also TCP/UDP 53 ?
Sind dieses DNS-Server auch DC's oder gewesen? Falls ja, sind das u.U. Anfragen an andere Ports, wie z.B. LDAP, TCP 389, o.ä.?

E
Hubert.N
Hubert.N 25.04.2024 um 10:15:00 Uhr
Goto Top
Moin

ich frage mich gerade, weshab Du überhaupt auf der Firewall DNS-Anfragen Deiner Clients siehst?!

Gruß
ThePinky777
ThePinky777 25.04.2024 aktualisiert um 10:56:40 Uhr
Goto Top
Geh mal in die DNS Console auf dem DC

Dort bei Type "Name Server (NS)" checken ob dort noch der alte Server in der Liste ist.
Wenn ja muss man dafür sorgen das der Eintrag verschwindet.
Weil jeder NS Server der dort gelistet wird, kann random als DNS verwendet werden.

Ansonsten kann es auch sein das clients den eben noch in der Config drin haben, DHCP Settings checken.
Beim DHCP ebenfalls checken ob da irgendwo die DNS Server Infos Provided werden und
wenn da der alte drin ist sollte es ja nicht wundern....
Gladop
Gladop 25.04.2024 um 14:10:14 Uhr
Goto Top
Erstmal vielen Dank für eure Beiträge.

Zitat von @emeriks:
sind das tatsächlich Anfragen an den DNS-Server, also TCP/UDP 53 ?
Sind dieses DNS-Server auch DC's oder gewesen? Falls ja, sind das u.U. Anfragen an andere Ports, wie z.B. LDAP, TCP 389, o.ä.?
Ja der Server war ein DC.
Es werden aber nur DNS-Anfragen (TCP auf Port 53) verschickt.

Zitat von @Hubert.N:
ich frage mich gerade, weshab Du überhaupt auf der Firewall DNS-Anfragen Deiner Clients siehst?!
Wir haben mehrere Netzte in denen DCs und somit auch DNS Server stehen.
Jeder Client bekommt immer zwei DNs Server zugewiesen.
Einen im selben Netz und einen aus einem anderen Netz.
Die Clients, die ich im Log der Firewall sehe, senden von 192.168.1.X nach 192.168.0.106.

Zitat von @ThePinky777:
Geh mal in die DNS Console auf dem DC

Dort bei Type "Name Server (NS)" checken ob dort noch der alte Server in der Liste ist.
Wenn ja muss man dafür sorgen das der Eintrag verschwindet.
Weil jeder NS Server der dort gelistet wird, kann random als DNS verwendet werden.

Ansonsten kann es auch sein das clients den eben noch in der Config drin haben, DHCP Settings checken.
Beim DHCP ebenfalls checken ob da irgendwo die DNS Server Infos Provided werden und
wenn da der alte drin ist sollte es ja nicht wundern....
Das hab ich bereits überprüft.
Sowohl im DNS als auch auf den DHCP Servern stehen keine verweise auf den alten DNS Server.>

Zitat von @StefanKittel:
installiere doch mal einen Pi-Hole auf der IP und schaue was dort für Anfragen von welchen PCs wann reinkommen.
Das ist eine gute Idee. Werde ich gleich machen.

Zitat von @TwistedAir:
benutzt vielleicht ein Browser seine eigenen anstelle der Systemeinstellungen? Könntest auch mal checken, ob die installierten Programme eine Option zur Proxy-Einstellung haben.
Danke für den Tipp. Bin einfach davon ausgegangen, dass alle Programme die Systemeinstellungen verwenden. Vielleicht gibt es ja ein Muster von Programmen, die nur auf den entsprechenden PCs installiert sind.
Dani
Dani 26.04.2024 um 17:32:05 Uhr
Goto Top
Moin,
Ja der Server war ein DC.
alle Überreste in der DNS-Zone (primär meine ich SRV Einträge) entfernt?
Evtl. gibt es einen CNAME Eintrag für eine Software, welche auf die alte IP-Adresse zeigt.


Gruß,
Dani
HansDampf06
HansDampf06 26.04.2024 um 18:11:52 Uhr
Goto Top
Was ebenfalls helfen kann bei Windows-Clients, um den alten "Mist" zu bereinigen:
ipconfig /flushdns
Manchmal bewirkt das wahre Wunder.

Viele Grüße
HansDampf06
Gladop
Gladop 29.04.2024 um 13:00:43 Uhr
Goto Top
So,
Pi-Hole lief übers Wochenende und hat die DNS Anfragen abgefangen.
Und siehe da. Alle anfragen betreffen unser Telefon-Anlage.
Warum auch immer wurde in der TK-Client Software, auf den betroffenen Computern, der alte DNS Server fest eingetragen.
Damit sollte der Spuk vorbei sein.

Vielen Dank für eure Tipps.

MFG
Gladop