Portanto, tenho rejeições regulares do Cisco OpenDNS Umbrella para solicitações de DNS relacionadas a malware registradas. Pelo que posso dizer, essas rejeições vêm do nosso servidor DNS interno do AD. Ele tem um DNS Umbrella definido para resolução de DNS de nomes de domínio baseados na Internet.
Quando olho para os logs de auditoria do DNS, não vejo a ID de evento inicial 256 - LOOK_UP QUERY_RECEIVED para essas rejeições. Se o fizesse, veria a fonte interna (ou seja - Source=xxxx) e poderia investigar mais. A primeira atividade que vejo é sempre a ID do evento 260 - RECURSE_QUERY RECURSE_QUERY_OUT, que é o servidor DNS do AD local consultando o Umbrella para resolver os QNAMEs maliciosos.
Isso significa que o servidor DNS do AD local é o solicitante inicial? Examinei a caixa em detalhes e não vejo nenhum processo estranho em execução ou qualquer outra coisa fora do comum ao observar os resultados de um resultado de linha de comando netstat -abn. Por isso estou perguntando isso aqui :)
Habilitei o log de depuração DNS no servidor e agora tenho um controle melhor sobre o fluxo de consulta/resposta DNS. Isso deve me fornecer o nível de detalhe que estou procurando!
http://support.moonpoint.com/network/dns/windows/logging/srvr2012.php