奇怪的 Windows 2010 R2 DNS 請求

因此，我定期記錄與惡意軟體相關的 DNS 請求的 Cisco OpenDNS Umbrella 拒絕記錄。據我所知，這些拒絕來自我們的內部 AD DNS 伺服器。它為基於 Internet 的域名的 DNS 解析定義了 Umbrella DNS。

當我查看 DNS 審核日誌時，我沒有看到初始事件 ID 256 - LOOK_UP QUERY_RECEIVED 表示這些拒絕。如果我這樣做了，我會看到內部來源（即 - Source=xxxx）並可以進一步調查。我看到的第一個活動始終是事件 ID 260 - RECURSE_QUERY RECURSE_QUERY_OUT，這是本地 AD DNS 伺服器向 Umbrella 查詢以解析惡意 QNAME。

這是否意味著本地 AD DNS 伺服器是初始請求者？我已經詳細查看了該框，在查看 netstat -abn 命令行結果的結果時，沒有看到任何奇怪的程序正在執行或任何其他異常。所以這就是我在這裡問這個的原因:)

我在伺服器上啟用了 DNS 調試日誌記錄，現在可以更好地處理 DNS 查詢/響應流。這應該為我提供我正在尋找的詳細程度！

http://support.moonpoint.com/network/dns/windows/logging/srvr2012.php

引用自：https://serverfault.com/questions/982055