因此,我定期记录 Cisco OpenDNS Umbrella 拒绝与恶意软件相关的 DNS 请求。据我所知,这些拒绝来自我们的内部 AD DNS 服务器。它已定义 Umbrella DNS 用于基于 Internet 的域名的 DNS 解析。
当我查看 DNS 审计日志时,我没有看到这些拒绝的初始事件 ID 256 - LOOK_UP QUERY_RECEIVED。如果我看到了,我就会看到内部来源(即 - Source=xxxx)并可以进一步调查。我看到的第一个活动始终是事件 ID 260 - RECURSE_QUERY RECURSE_QUERY_OUT,这是本地 AD DNS 服务器向 Umbrella 查询以解析恶意 QNAME。
这是否意味着本地 AD DNS 服务器是初始请求者?我详细查看了该框,在查看 netstat -abn 命令行结果时没有看到任何奇怪的进程正在运行或任何其他异常情况。所以这就是我在这里问这个问题的原因 :)
答案1
我在服务器上启用了 DNS 调试日志记录,现在可以更好地处理 DNS 查询/响应流程。这应该能为我提供我所寻找的详细程度!
http://support.moonpoint.com/network/dns/windows/logging/srvr2012.php