DNS Log auf Domain Controller auswerten

Question

Das ist ein Log von meinem Windows DC. Die 172.21.0.72 ist das das Query Ergebnis also das was der DNS Server an den Client zurückgibt oder die IP von der das nslookup kam?

09/11/2025 11:20:29 249C PACKET  00000253F09B1130 UDP Rcv 172.21.1.72     0ce9   Q [0001   D   NOERROR] PTR    (2)65(1)1(2)21(3)172(7)in-addr(4)arpa(0)
UDP question info at 00000253F09B1130
  Socket = 880
  Remote addr 172.21.1.72, port 47052
  Time Query=1416706, Queued=0, Expire=0
  Buf length = 0x0fa0 (4000)
  Msg length = 0x002a (42)
  Message:
    XID       0x0ce9
    Flags     0x0100
      QR        0 (QUESTION)
      OPCODE    0 (QUERY)
      AA        0
      TC        0
      RD        1
      RA        0
      Z         0
      CD        0
      AD        0
      RCODE     0 (NOERROR)
    QCOUNT    1
    ACOUNT    0
    NSCOUNT   0
    ARCOUNT   0
    QUESTION SECTION:
    Offset = 0x000c, RR count = 0
    Name = (2)65(1)1(2)21(3)172(7)in-addr(4)arpa(0)
      QTYPE   PTR (12)
      QCLASS  1
    ANSWER SECTION:
      empty
    AUTHORITY SECTION:
      empty
    ADDITIONAL SECTION:
      empty

Answer 1

Die 172.21.1.72 ist der Client, der die Anfrage an den DNS Server geschickt hat. Im Log steht

UDP Rcv 172.21.1.72
...
Remote addr 172.21.1.72, port 47052

• UDP Rcv = Der DC hat ein Paket empfangen 
• Remote addr = Quelle des Pakets 
• Daher: 172.21.1.72 ist die IP, von der der PTR-Lookup (Reverse DNS) kommt.

Der Query selbst ist auf

65.1.21.172.in-addr.arpa

Also ein Reverse-Lookup zu 172.21.1.65.