„Strefa może zostać oczyszczona po” stale rośnie

10

Co próbujesz zrobić?

Usiłuję włączyć oczyszczanie DNS w strefie DNS, która ma około stu starych rekordów DNS.

Co próbowałeś, aby to się stało?

Konfiguruję oczyszczanie DNS według ulubionych postów na blogu TechNet: Nie obawiaj się czyszczenia DNS. Tylko bądź cierpliwy.

Najpierw wyłączyłem oczyszczanie na wszystkich naszych kontrolerach domeny:

DNSCmd . /ZoneResetScavengeServers contoso.com 192.168.1.1 192.168.1.2


Następnie włączyłem automatyczne oczyszczanie w strefie DNS:

Właściwości starzenia / oczyszczania strefy


Następnie włączyłem oczyszczanie DNS na jednym z kontrolerów domeny:

Globalne oczyszczanie serwera DNS


Następnie znalazłem kilka rekordów, które spodziewałem się usunąć za pomocą znaczników czasu sprzed kilku lat i upewniłem się, Delete this record when it becomes stależe znacznik czasu został ustawiony właściwie:

Właściwości rekordu DNS


W końcu ponownie załadowałem strefę i czekałem 14 dni (suma okresów Odśwież + Bez Odświeżania).

Jakich rezultatów się spodziewałeś?

Spodziewałem się zobaczyć zdarzenie 2501 w dziennikach serwera DNS, odnotowujące usunięcie szeregu rekordów DNS.

Co się właściwie stało?

Nic się nie stało. Właściwości starzenia / oczyszczania strefy wykazały, że strefa może zostać oczyszczona po 6/12/2014 10:00:00 w zeszłym tygodniu. Nie odnotowano 2501/2502 zdarzeń. Wszystkie zapisy ze „starymi” znacznikami czasu są nadal obecne.

Data, po której strefa może zostać oczyszczona po zwiększeniu o kolejne siedem dni do 6/18/2014 10:00:00.

Jak rozumiem, dopóki ta data nie minie co najmniej 14 dni w przeszłości, nic nie będzie nawet kwalifikować się do oczyszczania, a co dopiero zostać oczyszczonym.

Jedyne 2501 zdarzeń zapisanych w dziennikach zdarzeń to te, które wywołałem, klikając prawym przyciskiem myszy i wybierając „Scavenge Stale Resource Records”. Zwracają uwagę, że oczyszczanie spróbuje uruchomić ponownie za 168 godzin, co miało miejsce dziś rano.

Mam włączone oczyszczanie DNS od kilku miesięcy i cierpliwie czekałem, aż coś się wydarzy. Przeładowałem strefę wiele razy (co resetuje ten znacznik czasu).

Czego tu brakuje?

windows windows-server-2008 domain-name-system active-directory
źródło
Co siedem dni powinno odbywać się wydarzenie 2501/2502, ponieważ jest to ustawiony przez ciebie okres oczyszczania. Przynajmniej 2502 informujące, że żadne rekordy nie zostały oczyszczone, a jeśli coś działa, 2501 mówi, że niektóre rekordy zostały oczyszczone. Z jakiegoś powodu to zadanie nie działa.
Brian
2
To polecenie: DNSCmd . /ZoneResetScavengeServers contoso.com 192.168.1.1 192.168.1.2niekoniecznie wyłączało oczyszczanie dla wszystkich kontrolerów domeny. Jest włączona wymiatania na 192.168.1.1 i 192.168.1.2. Czy któryś z tych adresów obsługuje DNS? Kiedy powiedziałeś, że włączyłeś oczyszczanie na jednym z kontrolerów domeny, pokazałeś zrzut ekranu z ustawieniem w DNS. Ale pamiętaj, że to ustawienie i to polecenie ustawiają 2 różne rzeczy. Musisz ponownie uruchomić to polecenie z adresem IP tego kontrolera domeny. Czy już to zrobiłeś?
briantist

Odpowiedzi:

1

To jest stare, ale przedstawię kilka sugestii.

Jak rozumiem, dopóki ta data nie minie co najmniej 14 dni w przeszłości, nic nie będzie nawet kwalifikować się do oczyszczania, a co dopiero zostać oczyszczonym.

Nie wydaje mi się Konfiguracja brzmi poprawnie, a rekordy powinny zostać oczyszczone. Trzy rzeczy potrzebne to ustawienie oczyszczania dla strefy, na serwerze DNS i rekordach zasobów ze znacznikiem czasu.

Oczywiste rzeczy w pierwszej kolejności - sprawdź bezpieczeństwo rekordów zasobów. Kontrolery domen systemowych i korporacyjnych zazwyczaj mają pełną kontrolę. I żadnych wpisów Odmów.

Sprawdziłbym wersję dns.exe, aby upewnić się, że jest aktualna. Zarówno R1, jak i R2 z 2008 roku miały błędy w tym, jak rekordy DNS są tombstowane i oczyszczane.

Windows Server 2008 R1: 6.0.6002.23387
https://support.microsoft.com/en-us/kb/2962612

Windows Server 2008 R2: 6.1.7601.22893
https://support.microsoft.com/en-us/kb/3022780

Zakładam, że strefa jest zintegrowana z AD. Jeśli tak, dnscmd.exe / zoneinfo zoneName zgłasza typ partycji katalogu Domeny AD (lub AD-Forest) w 99,999% przypadków. Widziałem strefy, w których partycja została zmieniona na coś innego, a następnie zmieniła się z powrotem i coś poszło nie tak podczas tego procesu lub nie była to żadna z oczekiwanych wartości od samego początku ze względu na sposób obsługi kontrolera domeny lub nie wszystkie kontrolery domeny zgłosił ten sam typ partycji.

Sprawdź atrybut fsmoRoleOwner w ADSIEdit dla DC = DomainDNSZones, DC = domena, DC = com partycja. DomainDNSZones i ForestDNSZones mają szóstego / siódmego właściciela roli fsmo. Jeśli w przeszłości kiedykolwiek były jakieś szkody, a poprzedni kontroler domeny, który był właścicielem partycji, już nie istniał, atrybut fsmoRoleOwner zawierałby 0ADel: i identyfikator poprzedniego kontrolera domeny. Więcej informacji na temat poprawiania znajduje się tutaj:

http://blogs.technet.com/b/the_9z_by_chris_davis/archive/2011/12/20/forestdnszones-or-domaindnszones-fsmo-says-the-role-owner-attribute-could-not-be-read.aspx

Inną sytuacją, która może zakłócać normalne działanie, są zduplikowane strefy. Ace Fekay ma tutaj świetny opis:

http://blogs.msmvps.com/acefekay/2009/09/02/using-adsi-edit-to-resolve-conflicting-or-duplicate-ad-integrated-dns-zones/

Greg Askew
źródło
0

Jestem z briantistką w tej sprawie. Tutaj możesz również znaleźć pomoc: http://support.microsoft.com/kb/2791165

Najpierw ... upewnij się, że PRZEKAŻAJ strefę DNS ... a następnie ... w zasadzie chcesz się upewnić, że kontrolery domeny, na które zezwalasz na czyszczenie DNSCmd, to te, na których działa DNS. Postępuj zgodnie z tym artykułem z bazy wiedzy w tym momencie, jeśli nadal masz problem, ponieważ pytanie jest stare. To wraz z Twoim blogiem Technet powinno poprowadzić Cię we właściwym kierunku. Jeśli rozwiążesz to w inny sposób, pomocne byłoby opublikowanie odpowiedzi tutaj!

TheCleaner
źródło