Un nombre de servidor obsoleto de Charter reaparece cada hora: crónica de una depuración DNS

Fuentes: The Curious Case of aa.ns.charter.com: A Seven-Year DNS Bug in Charter's Authoritative Servers

Un administrador de sistemas relata cómo una entrada recurrente en los logs de Pi-hole, el dominio aa.ns.charter.com bloqueado cada hora desde un controlador de dominio de su laboratorio doméstico, lo llevó a investigar un comportamiento anómalo en la resolución DNS. El autor detalla su infraestructura: tres Windows Server 2025 (SKYE, BOYD y EMMA) sobre una red 192.168.2.0/24, dos Raspberry Pi con Pi-hole y dnscrypt-proxy como cadena de resolución cifrada hacia Cloudflare, Quad9 y NextDNS, con validación DNSSEC estricta.

La pesquisa descarta primero que se trate de un bloqueo por lista de ads: ninguna de las 33 listas instaladas contiene el dominio. La clave llega al comprobar que los resolvers públicos responden 0.0.0.0, una dirección sumidero que Pi-hole v6 interpreta como bloqueo. El misterio se desplaza entonces a dos preguntas: por qué el hostname resuelve a 0.0.0.0 y por qué un controlador de dominio lo consulta cada hora a la marca del minuto :19.

El siguiente paso es cazar el proceso responsable. El autor revisa conexiones de red, procesos y tareas programadas; descarta StartMenuExperienceHost y WpnService, y se centra en la tarea Collection de Software Inventory Logging, que se ejecuta cada hora como SYSTEM. Sin embargo, al ejecutarla manualmente no aparece ninguna consulta relacionada con Charter: la coincidencia era falsa. La conclusión provisional apunta a que el proceso que genera la consulta evita el cliente DNS estándar de Windows y requiere herramientas distintas para identificarlo. El texto, narrado en primera persona, combina tutorial técnico con bitácora de investigación y deja abierta la resolución del enigma.