DNS: PTR-Clientregistrierungen und Server-Anfragen an potentiell unsicheres externes Ziel

[Jack Bauer 10]

Hello,

 

beim Troubleshooting von ausbleibenden Clientregistrierungen (Win10_22H2) am DNS-Server (Sever22_21H2) sind mir Einträge wie dieser aufgefallen:

 

Zitat

Fehler beim Registrieren der Zeigerressourceneinträge für den Netzwerkadapter
mit den folgenden Einstellungen:

 

          Adaptername: {604B5988-6C9A-4E7E-BCAB-xxxxxxxxxxxx}
           Hostname: CLIENT001
           Adapterspezifisches Domänensuffix: domain.local
           DNS-Serverliste:
                 192.168.1.2, 192.168.1.3
           Server, an den das Update gesendet wurde: 199.180.180.63:53
           IP-Adresse:
             172.16.0.100

 

 

Die Clients möchten sich nach extern registrieren. Zusätzlich ist in der (Hardware-) Firewall zu erkennen, dass auch meine DNS-Server Anfragen dorthin weiterleiten möchten. Alle außer den gewünschten Zielen werden ausgehend geblockt. In der Config des DNS-Servers (und auch bei DHCP) lässt sich nichts Ungewöhnliches erkennen. Malware-Scans alle clean.

 

Habt ihr vllt einen Tipp oder eine empfohlene Prüfreihenfolge für mich?

 

Danke euch und schöne Grüße

 

 Jack

 

 

[Nobbyaushb 1.472]

Moin,

woher bekommen die Clients ihre IP´s, wie ist die Konfig?

 

Poste mal bitte ipconfig /all | clip als Code sowohl vom Server, wenn vorhanden DHCP und mindestens einem Client

 

| clip kopiert die Ausgabe in die Zwischenablage - und natürlich an einem CMD

 

[NilsK 2.939]

Moin,

 

ist der Domänenname evtl. ein "echter" Domänenname, der euch aber nicht gehört?

 

siehe hier - das ist ein anderes Phänomen, könnte aber evtl. damit zusammenhängen:

[Wenn (und warum) nslookup unerwartete Ergebnisse zeigt | faq-o-matic.net]
https://www.faq-o-matic.net/2014/02/12/wenn-und-warum-nslookup-unerwartete-ergebnisse-zeigt/

 

Gruß, Nils

 

[Jack Bauer 10]

Moin,

 

danke für eure Antworten.

 

@Nobbyaushb ich bin heute nicht vor Ort, kann das aber in Kürze nachliefern.

@NilsK gute Idee, aber nein. Die Domäne hat einen "lokalen" Namen.

 

Ich habe die Befürchtung, dass sich da irgendetwas eingenistet bzw. Änderungen vorgenommen hat und wieder verschwunden ist. Wo sollte man mal etwas genauer hinschauen?

 

Schöne Grüße

 

 Jack

[NilsK 2.939]

Moin,

 

hast du mal die Event-ID dazu?

Und Norbert hatte um Informationen zu eurer IP-Konfig gebeten. Die könnten uns helfen, das Problem einzugrenzen.

 

EDIT: Die Adresse gehört zu ARIN, der US-amerikanischen Internet-Registry. Das spricht gegen einen Angriff.

Sind auf eurem DNS-Server die Root Hints aktiviert?

 

Gruß, Nils

 

bearbeitet 22. November 2022 von NilsK

[Thoradminson 0]

Hallo zusammen,

 

zunächst einmal, Danke das Sie mir und meinem Kollegen weiterhelfen, anbei der Screenshot zu dem besagten Event mit der gewünschten ID: 

 

 

Gruß

Thoradminson

[NilsK 2.939]

Moin,

 

in welchen Situationen treten denn die Meldungen auf? Ich habe das hier grad mal nachvollzogen und finde ähnliche Meldungen. Die treten z.B. dann auf, wenn der Client die Netzwerkverbindung zum internen DNS verloren hat, also etwa nach dem Trennen des VPN oder im Zug des Shutdown. Ich kann zwar jetzt nicht sagen, woher Windows dann die DNS-Serveradressen nimmt, aber es sieht mir eher "normal" und plausibel aus. Es könnte eine Art Fallback sein - der Client erreicht den vorgesehenen DNS-Server nicht und richtet seine Anfrage dann an andere, zu denen er schon mal verwiesen wurde. Windows macht sowas schon mal, vielleicht auch hier. Und dieser Server verweigert dann logischerweise das Update des Eintrags. (Nur spekuliert, ich habe das jetzt nicht näher recherchiert.)

 

Einen Angriff vermute ich dahinter jedenfalls nicht.

 

Gruß, Nils