"Зона може бути видалена після" продовжує збільшуватися

10

Що ти намагаєшся зробити?

Я намагаюся ввімкнути пошук DNS у зоні DNS, у якій є близько ста застарілих записів DNS.

Що ви спробували, щоб це сталося?

Я налаштовую DNS Scavenging відповідно до улюбленої публікації блогів TechNet у всіх: Не бійтеся DNS Scavenging. Просто будь терплячим.

Я вперше відключив пошук усіх наших контролерів домену:

DNSCmd . /ZoneResetScavengeServers contoso.com 192.168.1.1 192.168.1.2

Потім я ввімкнув автоматичне прибирання в зоні DNS:

Властивості старіння в зоні / очищення

Потім я ввімкнув пошук DNS на одному з контролерів домену:

DNS-сервер Глобальне зчитування

Потім я знайшов кілька записів, які я очікував видалити за допомогою часових позначок від декількох років тому і переконався, що Delete this record when it becomes staleта та часова марка фактично встановлена:

Властивості запису DNS

Нарешті я перезавантажив зону і зачекав 14 днів (сума періодів Refresh + No-Refresh).

Яких результатів ви очікували?

Я очікував, що у журналах сервера DNS з'явиться подія 2501 із зазначенням видалення купи записів DNS.

Що насправді сталося?

Нічого не трапилося. Властивості зони старіння та зменшення масштабів показали, що на минулому тижні цю зону можна було усунути після 6.12.2014 10:00:00. Не було зафіксовано 2501/2502 подій. Усі записи із «постареними» відмітками часу досі присутні.

Дата, коли зону можна усунути після збільшення ще 6 днів до 6/18/2014 10:00:00.

Як я розумію, до цієї дати залишається принаймні 14 днів у минулому, ніколи навіть не матиме права на вимивання, а вже насправді не підлягає очищенню.

Єдині 2501 події, записані в журналах подій, - це ті, які я запустив, клацнувши правою кнопкою миші та вибравши "Очистити застарілі записи ресурсів". Вони зазначають, що прибирання спробують запуститись знову через 168 годин, що було сьогодні вранці.

У мене ввімкнено прибирання DNS протягом кількох місяців і терпляче чекаю, що щось станеться. Я перезавантажував зону кілька разів (що скидає цю часову позначку).

Що я тут пропускаю?

Кожні сім днів має відбуватися подія 2501/2502, оскільки це встановлений період, який ви встановили. Принаймні 2502, що говорить, що жодних записів не було перероблено, а якщо справи працюють, 2501, які говорять про деякі записи. Чомусь це завдання, здається, не виконується.

— Брайан

2

Ця команда: DNSCmd . /ZoneResetScavengeServers contoso.com 192.168.1.1 192.168.1.2не обов'язково вимикала підбір даних для всіх ваших постійних клієнтів. Це дало змогу пробирати для 192.168.1.1 та 192.168.1.2. Чи одна з цих адрес працює з DNS? Коли ви сказали, що ви ввімкнули пошук на одному з контролерів домену, ви показали знімок екрана цього параметра в DNS. Але майте на увазі, що цей параметр і ця команда встановлюють 2 різні речі. Вам потрібно запустити цю команду ще раз із IP-адресою цього постійного струму. Ви це вже робили?

— британіст

1

Це старе, але я викину кілька пропозицій.

Як я розумію, до цієї дати залишається принаймні 14 днів у минулому, ніколи навіть не матиме права на вимивання, а вже насправді не підлягає очищенню.

Я не думаю, що так. Налаштування звучить правильно, а записи слід зміщувати. Необхідно три речі для вимивання: встановлюється для зони, на DNS-сервері та для записів ресурсів із позначкою часу.

Спочатку очевидні речі - перевірте безпеку записів ресурсів. Контролери домену системи та підприємства зазвичай мають повний контроль. І жодних записів заборонити.

Я перевірив би версію dns.exe, щоб переконатися, що вона актуальна. І в R1, і в R2 2008 року були помилки з тим, як записи DNS загроблені та усунуті.

Windows Server 2008 R1: 6.0.6002.23387
https://support.microsoft.com/en-us/kb/2962612

Windows Server 2008 R2: 6.1.7601.22893
https://support.microsoft.com/en-us/kb/3022780

Я припускаю, що зона є AD-Integrated. Якщо так, dnscmd.exe / zoneinfo zoneName повідомляє про тип розділу AD-домену (або AD-Forest) у 99,999% часу. Я бачив зони, де розділ було змінено на щось інше, потім змінили назад, і щось пішло не так під час цього процесу, або не було жодного з очікуваних значень з самого початку через те, як було налаштовано контролер домену чи не всі контролери домену повідомили про той самий тип розділу.

Перевірте атрибут fsmoRoleOwner в ADSIEdit на предмет DC = DomainDNSZones, DC = домен, DC = com розділ. DomainDNSZones та ForestDNSZones мають шосту / сьому власників ролі fsmo. Якщо в минулому колись були якісь збитки, а попередній контролер домену, який володів розділом, більше не існує, атрибут fsmoRoleOwner міститиме 0ADel: та настанову попереднього контролера домену. Більше інформації про виправлення тут:

http://blogs.technet.com/b/the_9z_by_chris_davis/archive/2011/12/20/forestdnszones-or-domaindnszones-fsmo-says-the-role-owner-attribute-could-not-be-read.aspx

Інша ситуація, яка може заважати нормальній роботі, - це дублюючі зони. Ас Фекай має чудовий запис:

http://blogs.msmvps.com/acefekay/2009/09/02/using-adsi-edit-to-resolve-conflicting-or-duplicate-ad-integrated-dns-zones/

— Грег Аскеу
джерело

0

Я з британістом на цьому. Тут ви також можете ознайомитися за допомогою: http://support.microsoft.com/kb/2791165

По-перше, переконайтесь, що ви ОБОВ'ЯЗКОВО зону DNS ... потім ... в основному ви хочете переконатися, що DC, які ви дозволяєте виконувати за допомогою DNSCmd, є тими, на яких працює DNS. Дотримуйтесь цієї статті статті KB, якщо у вас все ще виникають проблеми, оскільки питання старе. Це разом з вашим блогом Technet має привести вас у правильному напрямку. Якщо ви вирішили це вирішити іншим способом, було б корисно, якщо ви опублікуєте відповідь тут!

— Очисник
джерело