Looks to me like someone took their laptop home that is configured for your active directory domain and the laptop is trying to call home. I use to see that all the time. I'm guessing that your AD domain and the domain that they are querying are the same?<br>
<br><div class="gmail_quote">On Fri, Dec 5, 2008 at 1:17 PM, Keve Nagy <span dir="ltr"><dont.spam@see.my.sig></span> wrote:<br><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
Hi Everyone,<br>
I see some oddities frequently showing up in our BIND logfiles.<br>
This is on the official primary NS for our domain.<br>
<br>
*Oddity_type#1*<br>
... view external-in: query: <a href="http://server.EXAMPLE.COM" target="_blank">server.EXAMPLE.COM</a> IN SOA -E<br>
<br>
Please note that the only thing I changed here is the domain name. I did not capitalize it, the original domain name also got logged this way. And yes, the original hostname queried was "server", I did not change that either. These are repeatedly coming from the same source IP address, once in every 10-70 minutes.<br>

We have never had a host named "server". So why would an external machine keep asking for a hostname we never had? Especially with such an obvious name! Also, why is the domain part capitalized for these queries, and not in any proper/legitimate query? I assume this is what the query was for. The original request must have been for <a href="http://server.EXAMPLE.COM" target="_blank">server.EXAMPLE.COM</a>, having the domain part this way capitalized in the query itself.<br>

So why would a remote system look for a never existed host named "server" in our system, with the domain name capitalized?<br>
Any legitimate reason you could think of?<br>
<br>
<br>
<br>
*Oddity_type#2*<br>
<br>
... view external-in: query: <a href="http://server.EXAMPLE.COM" target="_blank">server.EXAMPLE.COM</a> IN SOA +<br>
... view external-in: updating zone '<a href="http://example.com/IN" target="_blank">example.com/IN</a>': update unsucces<br>
sful: <a href="http://server.EXAMPLE.COM/A" target="_blank">server.EXAMPLE.COM/A</a>: 'RRset exists (value dependent)' prerequisite not satisfied (NXRRSET)<br>
<br>
Again note, that I only changed the name of the domain and I did not alter the capitalization or the hostname. These are from another source IP address, but always the same one. For some reason, also looking for the host named "server". And a few minutes later, it seems to try to update the domain database.<br>

By the way, no host is allowed to update our DNS records. The zone files are updated by hand only. And this has always been the case, no exceptions.<br>
<br>
<br>
<br>
*Oddity_type#3*<br>
<br>
... view external-in: query: gc._<a href="http://msdcs.EXAMPLE.COM" target="_blank">msdcs.EXAMPLE.COM</a> IN SOA -E<br>
... view external-in: query: _ldap._tcp.gc._<a href="http://msdcs.EXAMPLE.COM" target="_blank">msdcs.EXAMPLE.COM</a> IN SOA<br>
-E<br>
... view external-in: query: _ldap._tcp.dc._<a href="http://msdcs.EXAMPLE.COM" target="_blank">msdcs.EXAMPLE.COM</a> IN SOA<br>
-E<br>
... view external-in: query: _kpasswd._<a href="http://tcp.EXAMPLE.COM" target="_blank">tcp.EXAMPLE.COM</a> IN SOA -E<br>
... view external-in: query: _kpasswd._<a href="http://udp.EXAMPLE.COM" target="_blank">udp.EXAMPLE.COM</a> IN SOA -E<br>
... view external-in: query: _ldap._tcp.Alapertelmezett-elso-hely-neve.<br>
_sites.dc._<a href="http://msdcs.EXAMPLE.COM" target="_blank">msdcs.EXAMPLE.COM</a> IN SOA -E<br>
... view external-in: query: _ldap._tcp.d819d059-6674-4c56-899c-e6a7aee<br>
fb77f.domains._<a href="http://msdcs.EXAMPLE.COM" target="_blank">msdcs.EXAMPLE.COM</a> IN SOA -E<br>
... view external-in: query: d476b9e8-6916-483e-ac68-2329bfac49b1._msdc<br>
<a href="http://s.EXAMPLE.COM" target="_blank">s.EXAMPLE.COM</a> IN SOA -E<br>
... view external-in: query: _kerberos._<a href="http://tcp.EXAMPLE.COM" target="_blank">tcp.EXAMPLE.COM</a> IN SOA -E<br>
... view external-in: query: _gc._<a href="http://tcp.EXAMPLE.COM" target="_blank">tcp.EXAMPLE.COM</a> IN SOA -E<br>
<br>
Look at these add hostnames which are queried for!<br>
These are all systematically returning queries. And these come from multiple source IP addresses.<br>
Are these queries legitimate? I mean, do you know of any system that may be doing this? Are these strange hostname queries part of some standard way identifying services and I just don't happen to know about this standard?<br>

<br>
I would very much appreciate some feedback on these.<br>
Best regards,<br>
Keve Nagy * Debrecen * Hungary<br><font color="#888888">
<br>
-- <br>
if you need to reply directly:<br>
keve(at)mail(dot)poliod(dot)hu<br>
_______________________________________________<br>
bind-users mailing list<br>
<a href="mailto:bind-users@lists.isc.org" target="_blank">bind-users@lists.isc.org</a><br>
<a href="https://lists.isc.org/mailman/listinfo/bind-users" target="_blank">https://lists.isc.org/mailman/listinfo/bind-users</a><br>
</font></blockquote></div><br><br clear="all"><br>-- <br>Google for President<br>YouTube for VP<br>in any year divisible by 4<br><br>