diff --git a/docs/AUDIT_2026-05-25_TODO.md b/docs/AUDIT_2026-05-25_TODO.md
index 4b7bb74..cf19824 100644
--- a/docs/AUDIT_2026-05-25_TODO.md
+++ b/docs/AUDIT_2026-05-25_TODO.md
@@ -28,7 +28,7 @@ Status: Arbeitsliste fuer die Umsetzung. Authelia-2FA/OIDC bleibt bewusst spaet,
 |---|---|---|
 | offen | Borg-Passphrase analog sichern | Passphrase ist ohne Host/Vaultwarden wiederherstellbar |
 | erledigt (repo) | AdGuard Admin-Bind vorbereiten | Tailscale-IP `100.80.98.33` erfasst, Compose-Soll geaendert |
-| offen (deploy) | AdGuard Admin-Port auf Tailscale-IP binden | Nach Deploy muss `ss -ltnp` `100.80.98.33:8082` zeigen |
+| erledigt | AdGuard Admin-Port auf Tailscale-IP binden | Live validiert: `ss -ltnp` zeigt `100.80.98.33:8082`, DNS auf Port 53 funktioniert, LAN-Zugriff auf `192.168.178.58:8082` schlaegt fehl |
 | offen | Alte Monitoring-Verzeichnisse entfernen | `ops/grafana-influxdb/` und `ops/loki/` sind aus Repo/Doku entfernt oder als expliziter Rollback-Archive-Pfad markiert |
 | offen | Policy-Warnings triagieren | Jede Warning ist behoben oder bewusst dokumentiert |
 
diff --git a/docs/MIGRATION_LOG.md b/docs/MIGRATION_LOG.md
index be6a45e..903868f 100644
--- a/docs/MIGRATION_LOG.md
+++ b/docs/MIGRATION_LOG.md
@@ -21,7 +21,7 @@ Dieses Dokument ist nur noch ein historischer Verlauf. Der aktuelle operative Ab
 - Host-Audit per SSH gegen `Kallilabcore` durchgefuehrt: Tailscale IPv4 ist `100.80.98.33`, LAN-IP ist `192.168.178.58/24`, Gateway `192.168.178.1`.
 - Repo-Soll fuer `host-services/Adguard/docker-compose.yml` geaendert: DNS `53/tcp+udp` bleibt unveraendert, die Admin-UI bindet nun auf `100.80.98.33:8082:80`.
 - Architektur, Service-Katalog, Repo-Map, Netzwerk-Inventar und AI-Kontext wurden an das neue Modell angepasst: keine Traefik-/Authelia-2FA-Umstellung, aber keine LAN-weite Admin-Bindung mehr.
-- Live-Deploy/Validierung bleibt nach GitOps-Commit/Push zu pruefen: `ss -ltnp | grep :8082` muss nur `100.80.98.33:8082` zeigen, DNS auf Port 53 muss weiter funktionieren.
+- Live-Deploy wurde nach Fast-Forward des AdGuard-Workspaces auf `5cb4017` mit `docker compose -p adguard ... up -d` ausgefuehrt. Validierung erfolgreich: `ss -ltnp` zeigt `100.80.98.33:8082`, DNS via `@127.0.0.1` und `@192.168.178.58` funktioniert, `http://100.80.98.33:8082/` liefert HTTP 302, `http://192.168.178.58:8082/` ist nicht mehr erreichbar.
 
 ### 2026-05-26 - Audit-Umsetzung vorbereitet
 
diff --git a/docs/NETWORK_INVENTORY.md b/docs/NETWORK_INVENTORY.md
index 36438dd..a81de36 100644
--- a/docs/NETWORK_INVENTORY.md
+++ b/docs/NETWORK_INVENTORY.md
@@ -100,7 +100,7 @@ docker network inspect backend_net | jq '.[0].Internal'
 
 | Thema | Status | Naechster Schritt |
 |---|---|---|
-| AdGuard Admin nur via Tailscale | repo-seitig vorbereitet | Compose bindet Admin-Port auf `100.80.98.33:8082`; Live-Validierung nach Deploy |
+| AdGuard Admin nur via Tailscale | live validiert 2026-05-26 | Compose bindet Admin-Port auf `100.80.98.33:8082`; DNS auf Port 53 funktioniert, LAN-Zugriff auf `192.168.178.58:8082` schlaegt fehl |
 | Gast-/IoT-Zugriff auf Admin-Ports | offen | Router-Regeln pruefen |
 | IPv6 Exposure | offen | Router und Traefik/Cloudflare pruefen |
 | Home Assistant InfluxDB Bind | offen | Effektive Listener-Adresse pruefen |