«Зона может быть очищена после» продолжает увеличиваться

10

Что ты пытаешься сделать?

Я пытаюсь включить очистку DNS в зоне DNS, содержащей около ста устаревших записей DNS.

Что вы пытались сделать, чтобы это произошло?

Я настраиваю DNS Scavenging для каждого любимого поста TechNet в блоге: не бойтесь DNS Scavenging. Просто будьте терпеливы.

Сначала я отключил очистку на всех наших контроллерах домена:

DNSCmd . /ZoneResetScavengeServers contoso.com 192.168.1.1 192.168.1.2

Затем я включил автоматическую очистку зоны DNS:

Свойства зоны старения / очистки

Затем я включил очистку DNS на одном из контроллеров домена:

Глобальный очиститель DNS-сервера

Затем я нашел несколько записей, которые я ожидал удалить с помощью отметок времени, полученных несколько лет назад, и удостоверился, что Delete this record when it becomes staleотметка времени действительно установлена.

Свойства DNS-записи

Наконец я перезагрузил зону и ждал 14 дней (сумма периодов обновления + отсутствия обновления).

Каких результатов вы ожидали?

Я ожидал увидеть событие 2501 в журналах DNS-сервера, отмечающее удаление группы DNS-записей.

Что на самом деле произошло?

Ничего не случилось. Свойства зоны старения / очистки показали, что зона может быть очищена после 12.06.2014, 10:00:00 на прошлой неделе. 2501/2502 события не были зарегистрированы. Все записи со «старыми» отметками времени все еще присутствуют.

Дата, после которой зона может быть очищена после увеличения, увеличена еще на семь дней до 18 июня 2014 года в 10:00:00.

Насколько я понимаю, до тех пор, пока эта дата останется по крайней мере 14 дней в прошлом, ничто даже не будет иметь право на очистку, не говоря уже о том, чтобы быть фактически очищенным.

Только 2501 событие, записанное в журналах событий, - это события, которые я вызвал, щелкнув правой кнопкой мыши и выбрав «Уничтожить устаревшие записи ресурсов». Они отмечают, что уборка мусора попытается снова бежать через 168 часов, которые были этим утром.

Я включил очистку DNS в течение нескольких месяцев и терпеливо ждал, что что-то произойдет. Я перезагрузил зону несколько раз (что сбрасывает эту метку времени).

Что мне здесь не хватает?

Каждые семь дней должно быть событие 2501/2502, поскольку это установленный вами период очистки. По крайней мере, 2502 говорят, что никакие записи не были удалены, а если что-то работает, 2501 говорят, что некоторые записи были удалены. По какой-то причине эта задача не выполняется.

— Брайан

2

Эта команда: DNSCmd . /ZoneResetScavengeServers contoso.com 192.168.1.1 192.168.1.2не обязательно отключать очистку для всех ваших контроллеров домена. Это позволило очистить для 192.168.1.1 и 192.168.1.2. Есть ли на этих адресах DNS? Когда вы сказали, что включили очистку на одном из контроллеров домена, вы показали снимок экрана настройки в DNS. Но имейте в виду, что эта настройка и эта команда устанавливают две разные вещи. Вам нужно снова запустить эту команду с IP-адресом этого DC. Ты уже сделал это?

— Бриантист

1

Это старый, но я выкину несколько предложений.

Насколько я понимаю, до тех пор, пока эта дата останется по крайней мере 14 дней в прошлом, ничто даже не будет иметь право на очистку, не говоря уже о том, чтобы быть фактически очищенным.

Я так не думаю. Настройка звучит правильно, и записи должны быть очищены. Требуются три вещи: очистка для зоны, на DNS-сервере и для записей ресурсов с отметкой времени.

Сначала очевидные вещи - проверьте безопасность записей ресурсов. Системные и корпоративные контроллеры домена обычно имеют полный доступ. И никаких запрещающих записей.

Я бы проверил версию dns.exe, чтобы убедиться в ее актуальности. И в 2008 R1, и в R2 были ошибки, связанные с захоронением и очисткой DNS-записей.

Windows Server 2008 R1: 6.0.6002.23387
https://support.microsoft.com/en-us/kb/2962612

Windows Server 2008 R2: 6.1.7601.22893
https://support.microsoft.com/en-us/kb/3022780

Я предполагаю, что зона AD-Integrated. Если это так, dnscmd.exe / zoneinfo zoneName сообщает о типе раздела каталога домена AD (или AD-леса) в 99,999% случаев. Я видел зоны, в которых раздел был изменен на что-то другое, затем изменен обратно и что-то пошло не так во время этого процесса, или не было ожидаемых значений с самого начала из-за того, как был подготовлен контроллер домена, или не все контроллеры домена сообщили о том же типе раздела.

Проверьте атрибут fsmoRoleOwner в ADSIEdit для раздела DC = DomainDNSZones, DC = домен, DC = com. DomainDNSZones и ForestDNSZones имеют владельцев шестой / седьмой роли fsmo. Если в прошлом было какое-либо повреждение, а предыдущий контроллер домена, которому принадлежал раздел, больше не существует, атрибут fsmoRoleOwner содержал бы 0ADel: и идентификатор предыдущего контроллера домена. Больше информации об исправлении здесь

http://blogs.technet.com/b/the_9z_by_chris_davis/archive/2011/12/20/forestdnszones-or-domaindnszones-fsmo-says-the-role-owner-attribute-could-not-be-read.aspx

Другая ситуация, которая может помешать нормальной работе, - дублированные зоны. Ace Fekay имеет отличную рецензию здесь:

http://blogs.msmvps.com/acefekay/2009/09/02/using-adsi-edit-to-resolve-conflicting-or-duplicate-ad-integrated-dns-zones/

— Грег Аскью
источник

0

Я с Бриантист на этом. Вы также можете обратиться сюда за помощью: http://support.microsoft.com/kb/2791165

Сначала ... убедитесь, что вы ЗАГРУЗИЛИ зону DNS ... затем ... в основном вы хотите убедиться, что контроллеры домена, которым вы разрешаете очищать с помощью DNSCmd, являются теми, на которых работает DNS. Следуйте этой статье базы знаний, если у вас все еще есть проблема, поскольку вопрос старый. Это вместе с вашим блогом Technet должно привести вас в правильном направлении. Если вы решили решить эту проблему другим способом, было бы полезно, если бы вы опубликовали ответ здесь!

— Очиститель
источник