Wie kann ich unter Windows eine DNS-Anfrage komplett zurückverfolgen?
Hallo liebes Forum,
ich würde gerne wissen, wenn ich eine Domain auflösen lasse, welche Queries an welche DNS-Server gesendet werden.
Ich nutze eine eine Windows 2016 Domäne und möchte gerne wissen, welche DNS-Server alle durch den AD-DNS zum Auflösen eines Hostnames "gequeried" werden und welcher angefragte DNS, welches ergebnis liefert.
und
ergeben zwar recht detailiert, was alles als response kommt, aber nicht von welchem DNS-Server.
Vielleicht könnt ihr mir ja helfen? Zur Not wäre auch eine Linux VM vorhanden.
LG
WileC
ich würde gerne wissen, wenn ich eine Domain auflösen lasse, welche Queries an welche DNS-Server gesendet werden.
Ich nutze eine eine Windows 2016 Domäne und möchte gerne wissen, welche DNS-Server alle durch den AD-DNS zum Auflösen eines Hostnames "gequeried" werden und welcher angefragte DNS, welches ergebnis liefert.
nslookup -debug fqdn
nslookup -d2 fqdn
ergeben zwar recht detailiert, was alles als response kommt, aber nicht von welchem DNS-Server.
Vielleicht könnt ihr mir ja helfen? Zur Not wäre auch eine Linux VM vorhanden.
LG
WileC
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 456286
Url: https://administrator.de/forum/wie-kann-ich-unter-windows-eine-dns-anfrage-komplett-zurueckverfolgen-456286.html
Ausgedruckt am: 06.04.2025 um 13:04 Uhr
9 Kommentare
Neuester Kommentar
Moin,
wenn die Clients den AD DNS als Nameserver nutzen, fragen diese den.
Kennt dieser die Domäne nicht, geht die Anfrage an die eigengetragenen Server (forwarding).
Sind keine eingetragen, arbeitet ein Windows DNS Server als Resolver.
Willst du das verfolgen, musst du ins Protokoll deines DNS Servers schauen.
Gruß
Spirit
wenn die Clients den AD DNS als Nameserver nutzen, fragen diese den.
Kennt dieser die Domäne nicht, geht die Anfrage an die eigengetragenen Server (forwarding).
Sind keine eingetragen, arbeitet ein Windows DNS Server als Resolver.
Willst du das verfolgen, musst du ins Protokoll deines DNS Servers schauen.
Gruß
Spirit

Hallo,
Meine Vermutung: Wenn der Admin versagt hat, werden im Zweifelsfall die 13 Root-DNS gefragt.
Ich trage immer Quad9 im Forwarding ein.
Gruß,
Jörg
Zitat von @DJWileC:
Ich nutze eine eine Windows 2016 Domäne und möchte gerne wissen, welche DNS-Server alle durch den AD-DNS zum Auflösen eines Hostnames "gequeried" werden
Ich nutze eine eine Windows 2016 Domäne und möchte gerne wissen, welche DNS-Server alle durch den AD-DNS zum Auflösen eines Hostnames "gequeried" werden
Meine Vermutung: Wenn der Admin versagt hat, werden im Zweifelsfall die 13 Root-DNS gefragt.
Ich trage immer Quad9 im Forwarding ein.
Gruß,
Jörg
Moin,
Warum? Entweder hat der AD-DNS-Server die Information. Dann liefert er sie aus und gut ist. Oder er weiß es nicht. Dann gibt es zwei Möglichkeiten. Du hast (schlauerweise) eine Weiterleitung auf einen externen DSN-Server eingetragen. Dann wird der gefragt und macht, wenn er es nicht weiß, den Rest. Hast Du keinen eingetragen, dann wird einer der Root-Server gefragt, der dann auf die zuständigen TLD-Server verweißt, die wieder auf die zuständigen NS der Domain zeigen. Einer von denen antwortet dann auf die Frage und die IP wird an den Client weitergeleitet. Was nützt Dir die Information, welcher Root-, TLD- oder Domain-NS geantwortet hat?
Liebe Grüße
Erik
Zitat von @DJWileC:
ich würde gerne wissen, wenn ich eine Domain auflösen lasse, welche Queries an welche DNS-Server gesendet werden.
ich würde gerne wissen, wenn ich eine Domain auflösen lasse, welche Queries an welche DNS-Server gesendet werden.
Warum? Entweder hat der AD-DNS-Server die Information. Dann liefert er sie aus und gut ist. Oder er weiß es nicht. Dann gibt es zwei Möglichkeiten. Du hast (schlauerweise) eine Weiterleitung auf einen externen DSN-Server eingetragen. Dann wird der gefragt und macht, wenn er es nicht weiß, den Rest. Hast Du keinen eingetragen, dann wird einer der Root-Server gefragt, der dann auf die zuständigen TLD-Server verweißt, die wieder auf die zuständigen NS der Domain zeigen. Einer von denen antwortet dann auf die Frage und die IP wird an den Client weitergeleitet. Was nützt Dir die Information, welcher Root-, TLD- oder Domain-NS geantwortet hat?
Liebe Grüße
Erik
Zitat von @DJWileC:
Ich möchte einfach ein ausführliches Debugging meiner Topologie ... Nicht mehr nicht weniger...
Ich möchte einfach wissen, welcher DNS-Server, welchen Query beantwortet... Wie die Anfragen weitergeleitet werden und von welchem DNS-Server Antworten kommen.
Ich möchte einfach ein ausführliches Debugging meiner Topologie ... Nicht mehr nicht weniger...
Ich möchte einfach wissen, welcher DNS-Server, welchen Query beantwortet... Wie die Anfragen weitergeleitet werden und von welchem DNS-Server Antworten kommen.
Servus,
einfach die Debug-Protokollierung in den Eigenschaften des DNS-Servers aktivieren:
Pfad für das Protokoll anpassen.
Dann erhältst du detaillierte Abfrage-Protokolle über sämtliche Abfragen bis ins kleinste Detail.
Grüße Uwe
Zitat von @NordicMike:
Bei zwei Domain Controllern müsste man es also getrennt aktivieren und auch beide auswerten, wenn man einen Vorfall prüft, richtig?
Ja, wenn beide DCs DNS-Server sind und die Clients beide DNS-Server übergeben bekommen.Bei zwei Domain Controllern müsste man es also getrennt aktivieren und auch beide auswerten, wenn man einen Vorfall prüft, richtig?
Hallo,
Du willst wirklich wissen an welche DNServer deine anfrgae gesendet wird? Wireshark auf deinen Netzwerkkarte ansetzen, DNS Filter einrichtet, aber das sagt dir nicht welcher DNSeever an welchen deine Anfrage sendet.
welche DNS-Server alle durch den AD-DNS zum Auflösen eines Hostnames "gequeried" werden und welcher angefragte DNS, welches ergebnis liefert.
Ein Wireshark auf deine NIC sagt dir wen du anfragst.
Gruß,
Peter
Du willst wirklich wissen an welche DNServer deine anfrgae gesendet wird? Wireshark auf deinen Netzwerkkarte ansetzen, DNS Filter einrichtet, aber das sagt dir nicht welcher DNSeever an welchen deine Anfrage sendet.
welche DNS-Server alle durch den AD-DNS zum Auflösen eines Hostnames "gequeried" werden und welcher angefragte DNS, welches ergebnis liefert.
Ein Wireshark auf deine NIC sagt dir wen du anfragst.
Gruß,
Peter