"Die Zone kann nachgespült werden" erhöht sich ständig

10

Was versuchst du zu machen?

Ich versuche, die DNS-Bereinigung in einer DNS-Zone mit etwa hundert veralteten DNS-Einträgen zu aktivieren.

Was haben Sie versucht, um dies zu erreichen?

Ich richte DNS-Scavenging gemäß dem beliebtesten TechNet-Blog-Beitrag aller ein: Hab keine Angst vor DNS-Scavenging. Hab einfach Geduld.

Ich habe zuerst das Aufräumen auf allen unseren Domänencontrollern deaktiviert:

DNSCmd . /ZoneResetScavengeServers contoso.com 192.168.1.1 192.168.1.2


Ich habe dann das automatische Aufräumen in der DNS-Zone aktiviert:

Eigenschaften der Zonenalterung / -reinigung


Ich habe dann die DNS-Bereinigung auf einem der Domänencontroller aktiviert:

Globales Scavenging von DNS-Servern


Ich fand dann einige Datensätze, von denen ich erwartete, dass sie vor einigen Jahren mit Zeitstempeln gelöscht werden würden, und stellte sicher, dass der Delete this record when it becomes staleund dieser Zeitstempel tatsächlich gesetzt wurden:

Eigenschaften des DNS-Eintrags


Schließlich habe ich die Zone neu geladen und 14 Tage gewartet (die Summe der Zeiträume Aktualisieren + Keine Aktualisierung).

Welche Ergebnisse haben Sie erwartet?

Ich habe erwartet, dass in den DNS-Serverprotokollen ein 2501-Ereignis angezeigt wird, das das Löschen einer Reihe von DNS-Einträgen feststellt.

Was wirklich passierte?

Nichts ist passiert. Die Eigenschaften der Zonenalterung / -reinigung zeigten, dass die Zone letzte Woche nach dem 12.06.2014 um 10:00:00 Uhr gereinigt werden konnte. Es wurden keine 2501/2502 Ereignisse aufgezeichnet. Alle Datensätze mit "gealterten" Zeitstempeln sind noch vorhanden.

Das Datum, an dem die Zone nach weiteren sieben Tagen auf 6/18/2014 10:00:00 Uhr gesäubert werden kann.

Soweit ich weiß, bleibt bis zu diesem Datum mindestens 14 Tage in der Vergangenheit, und nichts wird jemals zum Aufräumen in Frage kommen, geschweige denn tatsächlich zum Aufräumen.

Die einzigen 2501 Ereignisse, die in den Ereignisprotokollen aufgezeichnet wurden, sind solche, die ich durch Klicken mit der rechten Maustaste und Auswahl von "Scalege Stale Resource Records" ausgelöst habe. Sie stellen fest, dass das Aufräumen versuchen wird, in 168 Stunden, die heute Morgen waren, erneut zu laufen.

Ich habe die DNS-Bereinigung für einige Monate aktiviert und geduldig darauf gewartet, dass etwas passiert. Ich habe die Zone mehrmals neu geladen (wodurch dieser Zeitstempel zurückgesetzt wird).

Was fehlt mir hier?

windows  windows-server-2008  domain-name-system  active-directory 
Alle sieben Tage sollte ein 2501/2502-Ereignis stattfinden, da dies die von Ihnen festgelegte Aufräumzeit ist. Mindestens ein 2502, der besagt, dass keine Datensätze gelöscht wurden, und wenn die Dinge funktionieren, ein 2501, der besagt, dass einige Datensätze gelöscht wurden. Aus irgendeinem Grund scheint diese Aufgabe nicht ausgeführt zu werden.
Brian
2
Dieser Befehl: DNSCmd . /ZoneResetScavengeServers contoso.com 192.168.1.1 192.168.1.2hat das Aufräumen nicht unbedingt für alle Ihre DCs deaktiviert. Es ermöglichte das Aufräumen für 192.168.1.1 und 192.168.1.2. Wird auf einer dieser Adressen DNS ausgeführt? Als Sie sagten, Sie hätten das Scavening auf einem der Domänencontroller aktiviert, wurde ein Screenshot der Einstellung in DNS angezeigt. Beachten Sie jedoch, dass diese Einstellung und dieser Befehl zwei verschiedene Dinge festlegen. Sie müssen diesen Befehl mit der IP-Adresse dieses DC erneut ausführen. Hast du das schon gemacht
Briantist

Antworten:

1

Das ist alt, aber ich werde ein paar Vorschläge machen.

Soweit ich weiß, bleibt bis zu diesem Datum mindestens 14 Tage in der Vergangenheit, und nichts wird jemals zum Aufräumen in Frage kommen, geschweige denn tatsächlich zum Aufräumen.

Das glaube ich nicht. Das Setup klingt korrekt und die Aufzeichnungen sollten gelöscht werden. Drei Dinge, die benötigt werden, sind das Aufräumen für die Zone, auf einem DNS-Server und für Ressourceneinträge mit einem Zeitstempel.

Offensichtliche Dinge zuerst - überprüfen Sie die Sicherheit der Ressourceneinträge. System- und Unternehmensdomänencontroller verfügen normalerweise über Vollzugriff. Und keine Einträge verweigern.

Ich würde die Version von dns.exe überprüfen, um sicherzustellen, dass sie aktuell ist. Sowohl 2008 R1 als auch R2 hatten Fehler bei der Grabsteinbildung und Bereinigung von DNS-Einträgen.

Windows Server 2008 R1: 6.0.6002.23387
https://support.microsoft.com/en-us/kb/2962612

Windows Server 2008 R2: 6.1.7601.22893
https://support.microsoft.com/en-us/kb/3022780

Ich gehe davon aus, dass die Zone AD-integriert ist. In diesem Fall meldet dnscmd.exe / zoneinfo zoneName in 99,999% der Fälle einen Verzeichnispartitionstyp der AD-Domäne (oder AD-Gesamtstruktur). Ich habe Zonen gesehen, in denen die Partition in etwas anderes geändert wurde, dann zurück geändert wurde und während dieses Vorgangs ein Fehler aufgetreten ist, oder von Anfang an keiner der erwarteten Werte war, weil der Domänencontroller bereitgestellt wurde, oder nicht alle Domänencontroller meldete den gleichen Partitionstyp.

Überprüfen Sie das Attribut fsmoRoleOwner in ADSIEdit für die Partition DC = DomainDNSZones, DC = domain, DC = com. DomainDNSZones und ForestDNSZones haben die sechsten / siebten fsmo-Rollenbesitzer. Wenn in der Vergangenheit jemals ein Schaden aufgetreten ist und ein vorheriger Domänencontroller, dem die Partition gehörte, nicht mehr vorhanden ist, enthält das Attribut fsmoRoleOwner 0ADel: und die Guid des vorherigen Domänencontrollers. Weitere Informationen zur Korrektur finden Sie hier:

http://blogs.technet.com/b/the_9z_by_chris_davis/archive/2011/12/20/forestdnszones-or-domaindnszones-fsmo-says-the-role-owner-attribute-could-not-be-read.aspx

Eine andere Situation, die den normalen Betrieb beeinträchtigen kann, sind doppelte Zonen. Ace Fekay hat hier eine ausgezeichnete Beschreibung:

http://blogs.msmvps.com/acefekay/2009/09/02/using-adsi-edit-to-resolve-conflicting-or-duplicate-ad-integrated-dns-zones/

Greg Askew
quelle
0

Ich bin mit Briantist in diesem Fall. Hier finden Sie auch Hilfe: http://support.microsoft.com/kb/2791165

Zuerst ... stellen Sie sicher, dass Sie die DNS-Zone neu laden ... dann ... im Grunde möchten Sie sicherstellen, dass die DCs, die Sie mit dem DNSCmd abrufen dürfen, diejenigen sind, auf denen DNS ausgeführt wird. Folgen Sie diesem KB-Artikel an dieser Stelle, wenn Sie das Problem immer noch haben, da die Frage alt ist. Das sollte Sie zusammen mit Ihrem Technet-Blog in die richtige Richtung bringen. Wenn Sie dies auf eine andere Weise lösen würden, wäre es hilfreich, wenn Sie die Antwort hier posten!

Der Reiniger
quelle
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.