Windows DNS Server - как узнать, кто сделал запрос?

Для этого включите ведение журнала отладки на DNS-сервере.

1. Откройте диспетчер DNS из меню Сервис диспетчера сервера
2. Щелкните правой кнопкой мыши DNS-сервер в левой панели и выберите Свойства
3. Перейдите на вкладку " Отладка журнала " и установите флажок " Журналы пакетов для отладки".
4. Чтобы минимизировать объем регистрируемых данных, снимите следующие флажки:
   • Направление пакета - Исходящий
   • Транспортный протокол - TCP
   • Содержимое пакета - Обновления
   • Тип пакета - Ответ
5. В разделе " Файл журнала " введите путь и имя файла журнала. При необходимости измените значение максимального размера (в байтах).
6. Нажмите ОК.

Когда клиент запрашивает DNS-сервер, вы увидите строку, подобную следующей в файле журнала (в этом случае клиент выполнил запрос для usersuper.ru):

16-07-2017 19:51:55 0DB4 PACKET  000000FA30FDFB60 UDP Rcv 10.10.10.100    000a   Q [0001   D   NOERROR] A      (9)superuser(3)com(0)

IP-адрес после Rcv (10.10.10.100) - это IP-адрес клиента, который выполнил запрос.

ПОМНИТЕ об отключении ведения журнала отладки на DNS-сервере, когда он больше не нужен, так как это может повлиять на производительность сервера.

Ведение журнала DNS и диагностика

Мы смогли использовать это для регистрации активности DNS на наших контроллерах домена. Мы объединили это с ежечасной ротацией журналов на основе информации, найденной на http://support.moonpoint.com/blog/blosxom/2014/12/07#rotatednslog .

У нас возникли проблемы с тем, что многие журналы DNS заканчивались файлами размером 0 байт, и это не было связано с активностью, поскольку это могло происходить посреди ночи. Я увеличил ОЗУ DC с 4 до 6 ГБ (сохранил 2 виртуальных ЦП), и с тех пор это не было проблемой в течение 8 дней, так что я думаю, что все в порядке.

Мы храним журналы на выделенном томе в сжатом каталоге NTFS для экономии места. Размер каждого почасового журнала составляет ~300 МБ до сжатия и ~115 МБ после сжатия NTFS.