Meine Fritzbox ist so konfiguriert:
Sollte so passen oder? Bin mit IPv6 erst heute in Kontakt gekommen und kann daher Deiner Ausführung nicht ganz folgen, sorry 
ipconfig /all liefert mir nur die IPv4 und die IPv6 des PiHole's als DNS Server. Außer denen beiden habe ich keinerlei DNS Einträge. Und genau daher bin ich so verwundert, dass es wohl immer nicht irgendwie klappt mit der Namensauflösung.
Ah OK. Ja, für den Neuling ist IPv6 etwas anspruchsvoll. Lohnt sich aber.
Aktiviere mal bitte noch den letzten Punkt unten:
Assign DNS server, prefix (IA_PD) and IPv6 address (IA_NA)
(bei mir Englisch) Dann ist die F!B erst der richtige Bezugspunkt für IPv6-Klienten.
Ok, ist passiert, danke. Am Verhalten ändert sich dadurch nichts. nslookup als auch der Browser können beide Domainnamen noch auflösen ohne pihole.
Also Tests mit Browser lass bitte erstmal weg! Das kannst du nur machen, wenn du dort den DNS-Cache deaktivieren kannst (in Firefox via about:config). Alles andere wird nix.
Tools wie nslookup, ping und tracert nutzen den Systemcache und der cached auch nicht nur viel, sondern ewig. Der sollte zwar eigengentlich via ipconfig /flushdns geleert werden, aber man kann auch - zumindest vorüebergehend, dauerhaft empfiehlt sich das nicht - den Cache frühzeitig altern lassen:
Regedit: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters
Dort ein DWORD mit dem Namen MaxCacheTtl einfügen. Dessen Wert (dezimal) in Sekunden bestimmt die Obsoleszenz von DNS-Records. Da kann man auch mal mit einer Sekunde experimentieren.
Ich betone experimentieren. Das erspart beim Testen das ständige Flushen.
Needless to say: Diese Änderung wirkt erst nach einem Reboot. Den DNS-Cache-Dienst darf man (zumindest bei Win10) nicht mal als Admin händisch neustarten. 
Ok, ich habe den Wert mal auf 1 Sekunde gestellt und neu gestartet. Auch NetBios über TCP/IP habe ich deaktiviert. Dennoch, auch nun kann ich per nslookup nach dem Reboot noch den Host auflösen:
C:\Users\chris>nslookup www.test.com
DNS request timed out.
timeout was 2 seconds.
Server: UnKnown
Address: fd00::c861:abb3:548d:acc1
DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
Nicht autorisierende Antwort:
DNS request timed out.
timeout was 2 seconds.
Name: www.test.com
Address: 69.172.200.235
Ist das sicher die IP Deines Pi-hole?
Lässt sich da ein ping drauf absetzen?
Auch exotische Domains die ich zuvor zu 100% noch nie besucht habe "http://www.bom.gov.au/" kann ich ansprechen. Mein Browser benötigt aber rund 6-8 Sekunden um die Domain aufzulösen. Puh, das ist eine harte Nuss.
Ja, 1000%. Die F!B zeigt mir diese IP für mein PiHole an. Das Pihole hat diese IP in seiner config auch angezeigt. Ein Ping ist nicht möglich. Das PiHole habe ich derzeit aus. Die IPs stimmen alle. Windows hat irgendwas in der Hinterhand wo es immer noch in der Lage ist Hostnamen aufzulösen wenn der normale Weg über den DNS nicht klappt.
Das ist dann mit Sicherheit kein Pi-hole-Problem... aber ein ziemlich fragwürdiges Verhalten von Windows.
Und das zweite Mal, dass mir das innerhalb von zwei Wochen unterkommt: @jpgpi250 hat vor 12 Tagen (in einem anderen Zusammenhang) etwas ähnliches berichtet - we may be up to some unsolicited behaviour in Windows here..
Welche Version von Windows?
Aktuellste Windows 10 Version
Noch was kurioses. Wenn ich "pathping" nutze, auf einer Adresse die ich zuvor noch nie aufgerufen habe. Zum Beispiel:
pathping carsales.com.au
Dann hat er instantan die IP:
C:\Users\chris>pathping carsales.com.au
Routenverfolgung zu "carsales.com.au" [13.35.253.98]
über maximal 30 Hops:
...
Ich blick's nicht.
Also bei mir ist das nicht so. Aber ist es denn denkbar, dass hier ein mDNS-Gag dahintersteckt? Apple-Software auf dem Windows-Rechner und Apple-Hardware im Heimnetz? Nur zum Beispiel.
Hier bleibt wohl nur noch der Wireshark um herauszufinden, wo da hintelefoniert wird.
mDNS ist nur für die Auflösung von lokalen Adressen gedacht, vornehmlich in Netzen ohne dedizierten Namensserver. Für sich allein kann es also erst einmal überhaupt keine öffentlichen Namen auflösen.
Also ich such mir gerade einen Wolf ab mit Wireshark. Habe alle anderen Rechner vom Netz genommen. Nur noch die Fritzbox und der Windowsrechner. Dennoch klappt die Namensauflösung.
Wir könnten nochmal Deine DNS-Einstellungen für den Adapter auf Protokoll-Ebene überprüfen, sollte ungefähr so aussehen:
Basiert auf: Crouching Tiger, Hidden DNS
Da tauchen bei Dir nach Klick Erweitert... auf der linken Seite dann nicht zufällig im Reiter DNS der erweiterten TCP/IP-Einstellungen auf der rechten Seite mehrere IP-Adressen in einer Zeile auf (in meinem Screenshot natürlich leer)?
WOW !!!
Die Odysse hat ein Ende. Ich habe den Übeltäter gefunden. Wireshark war der Tip den ich gebraucht habe. Erst einmal alle Rechner vom Netz, dann hatte ich nur noch die Broadcastnachrichten der Fritzbox als Hintergrundrauschen. Dann keine Programme geöffnet, sondern nur den Command Prompt. Und dann ein nslookup ausführen. Und was kam dabei raus:
Interessanterweise wurde immer eine IP Adresse aus dem Internet angesprochen. Und diese gehört zu AVAST meinem Virenscanner. Jetzt hat diese Büchse doch tatsächlich einen Dienst der sich "Real Site" nennt. Wenn Real Site im AVAST Virenscanner aktiviert ist, dann schaut der über eine gesicherte Verbindung bei AVAST nach ob die IP Adresse so stimmt und der DNS nicht manipuliert worden ist. Eigentlich garnicht so schlecht aber in meinem Fall umgeht das Sch**ß Ding gerade mal mein pihole. Schalte ich die Real Site Funktion von AVAST aus, so kann nslookup den Namen nicht mehr auflösen:
C:\Users\chris>nslookup www.cnn.com
DNS request timed out.
timeout was 2 seconds.
Server: UnKnown
Address: 192.168.1.10
DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
*** Zeitüberschreitung bei Anforderung an UnKnown.
Puh, das war ne Nuss. Vielen vielen Dank für Eure Hilfe. Jetzt kann ich heute doch noch beruhigt schlafen.
PS: Vorher aber noch die ganze RegEdit und alle Einstellungen an denen ich mich versucht habe zurückbauen.
=================== english version =======================
Just a short version in english if you are suffering the same problems:
Problem: Despite of a PiHole installed, Windows still resolves IP Adresses and displays advertisements. And despite of a PiHole installed, Windows is still able to resolve hostnames, even if the PiHole is powered off.
Solution: You might get tricked by your virus scanner. Avast for example has a feature called "Real Site". It is an AVAST DNS server which kicks in, even if no other DNS server is accessible. So even if the PiHole refuses to resolve the hostname of an Ad-Service, the AVAST DNS server kicks in after 6-8 seconds and resolves that. The result is that advertisement is displayed with some time delay (6-8s) and websites are still accessible even if the PiHole is off. By deactivating the AVAST Real Site feature everything is fixed and the PiHole can work like expected. Blocked sites do no longer get sideloaded via the AVAST DNS service.
2 Likes
Schön, dass Du das noch herausgefunden hast 
(Übrigens: Chrome hat ein ähnliches Feature, was sich "Help mitigate DNS errors" oder so nennt. Ändert sich auch gerne von Version zu Version mal, wo man diese Option im UI finden und abschalten kann..)
Das mach ich denn jetzt auch 
Dann mal eine gute Nacht
Wer mehr über dieses AVAST Feature erfahren will kann mal hier schauen: Avast Antivirus: Real Site
...und ich hatte mich heute auch schon gefragt, warum bei manchen Seiten nach einigen Sekunden dann doch noch Werbung aufgetaucht ist. Ich war schon nahe dran vom pihole enttäuscht zu sein da immer noch so viel Werbung zu sehen war. Tja, das alles war weil das tolle Avast Feature nach einigen Sekunden die IP Adressen zu den Werbeservern freigegeben hat. Jetzt ist damit auch Ruhe und ich bekomme keine Werbung mehr präsentiert. Genial. Ach ich freue mich so, das Rätsel endlich gelöst zu haben. 
Prima - dann könntest Du ja jetzt noch Deinen entscheidenden Post als Lösung markieren 
Erledigt
+englische Version angehängt, falls sich jemand per Suche mal hierher verirrt.