DNS Anfragen von Windows DNSCache-Service

Begonnen von swsmily, 02 Februar 2022, 22:47:05

Vorheriges Thema - Nächstes Thema
Drucken
Nach unten Seiten1
Benutzer-Aktionen

swsmily

02 Februar 2022, 22:47:05
Hallo,

ich habe heute mein Pi-Hole mal wieder etwas angeschaut und dabei ist mir aufgefallen, dass ein Win10-Rechner immer wieder folgende Abfrage macht:
Code Auswählen
Feb  2 22:33:19 dnsmasq[675]: query[A] desktop-q700bn2.fritz.box from 10.0.4.1

Ich habe Sysmon installiert und DNS-Anfragen aktiviert. Laut Prozess-ID ist es der DNSCache Dienst von Windows der immer wieder nach desktop-q700bn2.fritz.box fragt.

Hat jemand eine Idee, warum er das macht? wpad.fritz.box ist ja bekannt durch Suche nach automatischer Proxy-Konfiguration. Nur weiß ich nicht, warum nur der eine Rechner nach dem desktop-q700bn2 DNS-Anfragen stellt. Keines meiner Geräte heißt so. Die Abfrage erfolt laut Pi-Hole-Logfile scheinbar alle 5 Minuten.

slor

#1
02 Februar 2022, 23:53:24
Guck Mal in den Cache, was drin steht:
Get-DnsClientCache
Dann ggf Cache löschen:
Clear-DnsClientCache

Beides Powershell Befehle.

Vermutlich macht das irgend ein Programm auf deinen Rechner und der Cache Dienst aktualisiert den Cache.
Fhem auf Raspberry Pi 4
CCU3 mit RaspberryMatic mit HMCCU an FHEM
HMCCU, Telegram, Conbee2 und Hue/Tradfri/Osram Lampen AQARA Sensoren, HomeConnect

swsmily

#2
03 Februar 2022, 09:57:57
Cache gelöscht hab ich über die Eingabenaufforderung schon. Dennoch kommen diese Anfragen weiter. Werde es aber heute Abend nochmal über die PowerShell versuchen.

Ich wüsste auch nicht, welches Programm ausgerechnet desktop-q700bn2 auflösen möchte. Über SysMon und Ereignisanzeige habe ich nur die PID rausgefunden die zum DNSCache-Dienst von Windows gehört. Für Tipps, wie man noch besser rausfindet, welches Programm diese Anfragen macht, wäre ich sehr dankbar.

slor

#3
03 Februar 2022, 12:42:21
Man kann den Cache auch deaktivieren... Gibt's reichlich Doku dazu.
Evtl siehst du dann mehr.
Fhem auf Raspberry Pi 4
CCU3 mit RaspberryMatic mit HMCCU an FHEM
HMCCU, Telegram, Conbee2 und Hue/Tradfri/Osram Lampen AQARA Sensoren, HomeConnect

swsmily

#4
03 Februar 2022, 21:40:13 Letzte Bearbeitung: 03 Februar 2022, 23:29:27 von swsmily
Ich habe nun den DNS-Cache in Win10 über Regedit deaktiviert. Seitdem kommt diese Anfrage nicht mehr. Generell wenn ich das pihole.log auf den betroffenen Rechner filtere, hab ich den Eindruck, dass deutlich weniger Anfragen kommen.

Merkwürdig ist zwar dennoch, warum der DNS-Dienst einen Namen auflösen wollte, den es so gar nicht im Netzwerk gibt, aber so passt es nun auch. Danke für die Unterstützung!


EDIT: Nachteile hat es doch. Es konnte keine SMB-Freigabe mehr erreicht werden, selbst wenn die IP-Adresse angegeben wurde. Nach Reaktivierung des Dienstes lief es wieder problemlos.
In Regedit hab ich zwar Einträge zu desktop-q700bn2 gefunden, unter anderem als Fax-Drucker und defaultuser0. Diese habe ich entfernt, in der Registry ist kein Eintrag mehr unter desktop-q700bn2 zu finden. Dennoch kommen alle 5 bis 6 Minuten die DNS-Anfragen.
Warum, wieso, weshalb, ich versteh es nicht, woher diese DNS-Anfragen kommen - aber es läuft alles.
Drucken
Nach oben Seiten1
Benutzer-Aktionen