Bitte lade ein Debug Log hoch und poste hier anschließend nur die Token-URL.
Das Token generierst Du über
pihole -d
wobei Du die Frage nach dem Upload bejahst, oder Du machst das über die Weboberfläche:
Tools > Generate Debug Log
EDIT: Und vorab schonmal zu Frage 3:
Wahrscheinlich ist das kein Grund zur Beunruhigung:
Bei aktiviertem DNSSEC wäre es normal, dass Pi-hole die benötigten DNS-Anfragen zur Überprüfung der digitalen Signatur für die aufgerufene Domäne stellt, s.a. Understanding DNSSEC validation using Pi-hole's Query Log.
Das sind dann Anfragen vom Typ DS oder DNSKEY, im Gegensatz zu A oder AAAA für die Anfrage der IP-Adresse.