9
Ermitteln ob von wem ein lokaler bisheriger DNS Server noch verwendet wird
Hallo,
ein alter lokaler DNS Server (ehemals PDC) soll ausgeschaltet werden, der neue PDC läuft.
Es kann gut sein, dass Kamera, Drucker, Scanner u.ä. Gerätschaften nicht auf DHCP standen und statische TCP/IP Einträge hatten und den alten DNS Server beanspruchen.
Glaube vor 40 Tage warn bereits ein Thread dazu den ich nicht gefunden habe.
Frage: kann man so leicht ermitteln welche Systeme den lokalen DNS Server noch verwenden? Vermute höchstens durch Wireshark.
DNS Forwarding bei der Watchguard aktivieren und bei Network/Trused/secondary network die IP vom alten DC-DNS eintragen ist vermutlich unprofessionell.
besten dank für ein kommentar
ein alter lokaler DNS Server (ehemals PDC) soll ausgeschaltet werden, der neue PDC läuft.
Es kann gut sein, dass Kamera, Drucker, Scanner u.ä. Gerätschaften nicht auf DHCP standen und statische TCP/IP Einträge hatten und den alten DNS Server beanspruchen.
Glaube vor 40 Tage warn bereits ein Thread dazu den ich nicht gefunden habe.
Frage: kann man so leicht ermitteln welche Systeme den lokalen DNS Server noch verwenden? Vermute höchstens durch Wireshark.
DNS Forwarding bei der Watchguard aktivieren und bei Network/Trused/secondary network die IP vom alten DC-DNS eintragen ist vermutlich unprofessionell.
besten dank für ein kommentar
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 3756869364
Url: https://administrator.de/forum/ermitteln-ob-von-wem-ein-lokaler-bisheriger-dns-server-noch-verwendet-wird-3756869364.html
Ausgedruckt am: 31.03.2025 um 23:03 Uhr
9 Kommentare
Neuester Kommentar
Moin.
Zunächst mal kannst du einen Netzwerkscan machen um zu sehen, welche IPs aktiv sind und diese abgleichen, ob das DHCP-Adressen sind ...
... möglicherweise werden aber nicht alle angezeigt - je nach SStem und Kpnfiguration ...
Zunächst mal kannst du einen Netzwerkscan machen um zu sehen, welche IPs aktiv sind und diese abgleichen, ob das DHCP-Adressen sind ...
... möglicherweise werden aber nicht alle angezeigt - je nach SStem und Kpnfiguration ...
Dein Ansatz mit dem Wireshark ist schon richtig. Lass einen Tag einen Capture mit Capture Filter aus UDP/TCP 53 und Zieladresse die IP des Servers laufen. Dann bekommst du die Nutzer des Servers auf dem Silbertablett. Die Liste kannst du auch als CSV konvertieren.
Alternativ, sofern deine Switch Infrastruktur Flow fähig ist wie NetFlow, sFlow usw. also ein IPFIX basiertes Flow Protokoll, filterst du die Flow Statistik nach den gleichen o.a. Credentials und bekommst die gleiche Liste.
Es gibt viele Wege nach Rom...
Alternativ, sofern deine Switch Infrastruktur Flow fähig ist wie NetFlow, sFlow usw. also ein IPFIX basiertes Flow Protokoll, filterst du die Flow Statistik nach den gleichen o.a. Credentials und bekommst die gleiche Liste.
Es gibt viele Wege nach Rom...
Hi,
Du kannst am DNS-Server das Debug-Loging aktivieren. Das lässt Du dann ein paar Tage mitlaufen. Dort siehst Du dann, ob und von wo da Anfragen rein kommen.
Alternativ könntest Du die IP-Adresse des alten DNS-Servers dem neuen DNS-Server als zusätzliche Adresse geben, sofern beide denn im selben Subnetz sind.
E.
Du kannst am DNS-Server das Debug-Loging aktivieren. Das lässt Du dann ein paar Tage mitlaufen. Dort siehst Du dann, ob und von wo da Anfragen rein kommen.
Alternativ könntest Du die IP-Adresse des alten DNS-Servers dem neuen DNS-Server als zusätzliche Adresse geben, sofern beide denn im selben Subnetz sind.
E.
Hallo,
wenn der Server schon aus ist, hilft dir wiederum Whireshark: dann tummelt sich ARP-Traffic wie "Wer hat die IP x.x.x.x? Sag es mir: y.y.y.y". Natürlich sollte die IP des alten DCs (x.x.x.x) nicht neu vergeben sein, denn sonst antwortet das neue Device. Und das Schöne dabei: es wird kein Mirror-Port benötigt, da das im Broadcast läuft.
Aus diesem Grunde landen bei mir die IPs abgeschalteter DCs auf einer Sperrliste, um genau danach suchen zu können.
Grüße
TA
wenn der Server schon aus ist, hilft dir wiederum Whireshark: dann tummelt sich ARP-Traffic wie "Wer hat die IP x.x.x.x? Sag es mir: y.y.y.y". Natürlich sollte die IP des alten DCs (x.x.x.x) nicht neu vergeben sein, denn sonst antwortet das neue Device. Und das Schöne dabei: es wird kein Mirror-Port benötigt, da das im Broadcast läuft.
Aus diesem Grunde landen bei mir die IPs abgeschalteter DCs auf einer Sperrliste, um genau danach suchen zu können.
Grüße
TA
es wird kein Mirror-Port benötigt, da das im Broadcast läuft.
Nützt dem TO aber nichts wenn er ein segmentiertes Netz (VLAN etc.) hat, denn dann sieht er diese ARP Requests nicht. DNS Requests können dann auch aus anderen Netzsegmenten auf den Server kommen.Wenn der Server noch rennt ist es besser direkt auf ihm nach DNS Requests an seine IP zu sniffern.
Zitat von @TwistedAir:
Natürlich sollte die IP des alten DCs (x.x.x.x) nicht neu vergeben sein, denn sonst antwortet das neue Device.
Was meinst Du damit?Natürlich sollte die IP des alten DCs (x.x.x.x) nicht neu vergeben sein, denn sonst antwortet das neue Device.
Am Rande:
Der Server ist offenbar kein DC mehr, denn es wird ja vom TO seine "einfache" Ausschaltung beabsichtigt.
Zitat von @emeriks:
Am Rande:
Der Server ist offenbar kein DC mehr, denn es wird ja vom TO seine "einfache" Ausschaltung beabsichtigt.
Zitat von @TwistedAir:
Natürlich sollte die IP des alten DCs (x.x.x.x) nicht neu vergeben sein, denn sonst antwortet das neue Device.
Was meinst Du damit?Natürlich sollte die IP des alten DCs (x.x.x.x) nicht neu vergeben sein, denn sonst antwortet das neue Device.
Am Rande:
Der Server ist offenbar kein DC mehr, denn es wird ja vom TO seine "einfache" Ausschaltung beabsichtigt.
Gemeint ist, dass (bei uns) IPs, die früher an eine DC vergeben wurden, nicht mehr an andere Geräte vergeben werden, sondern dauerhaft „frei“ gehalten werden. Einfach, um (mittels ARP) leichter den Geräten auf die Spur zu kommen, die nach Außerdienstsetzung/Abschaltung eines DCs immer noch mit diesem kommunizieren wollen. So kann ich meinem Kollegen sagen „ey, dein Server/Gerät/… versucht immer noch die IP eines DCs zu erreichen, der aber nicht mehr existiert“.
Würde ich die IP neu vergeben, wird auch die ARP-Anfrage beantwortet - und außerdem quatscht mir das neue Gerät dazwischen…
Ist einfach eine interne Konvention bei uns.
Grüße
TA
Nützt aber, wie schon gesagt, in einem üblicherweise segmentierten Firmennetzwerk recht wenig weil es dann rein nur in den jeweiligen L2 Domains sichtbar ist. Ausnahme natürlich man arbeitet mit Proxy ARP im L3 was aber fast nirgendwo der Fall ist.
Zitat von @TwistedAir:
Das kann man sicher so machen. Aber das ist nicht "natürlich" so, sondern nur bei Euch.
