Windows-Server-2012-R2
奇怪的 Windows 2010 R2 DNS 請求
因此,我定期記錄與惡意軟體相關的 DNS 請求的 Cisco OpenDNS Umbrella 拒絕記錄。據我所知,這些拒絕來自我們的內部 AD DNS 伺服器。它為基於 Internet 的域名的 DNS 解析定義了 Umbrella DNS。
當我查看 DNS 審核日誌時,我沒有看到初始事件 ID 256 - LOOK_UP QUERY_RECEIVED 表示這些拒絕。如果我這樣做了,我會看到內部來源(即 - Source=xxxx)並可以進一步調查。我看到的第一個活動始終是事件 ID 260 - RECURSE_QUERY RECURSE_QUERY_OUT,這是本地 AD DNS 伺服器向 Umbrella 查詢以解析惡意 QNAME。
這是否意味著本地 AD DNS 伺服器是初始請求者?我已經詳細查看了該框,在查看 netstat -abn 命令行結果的結果時,沒有看到任何奇怪的程序正在執行或任何其他異常。所以這就是我在這裡問這個的原因:)
我在伺服器上啟用了 DNS 調試日誌記錄,現在可以更好地處理 DNS 查詢/響應流。這應該為我提供我正在尋找的詳細程度!
http://support.moonpoint.com/network/dns/windows/logging/srvr2012.php