我正在尝试在具有大约一百个陈旧DNS记录的DNS区域上启用DNS清理.
你为了实现它而尝试了什么?
我根据每个人最喜欢的TechNet博客文章设置DNS清理:Don’t be afraid of DNS Scavenging. Just be patient.
我首先禁用了对所有域控制器的清理:
DNSCmd . /ZoneResetScavengeServers contoso.com 192.168.1.1 192.168.1.2
然后我在DNS区域启用了自动清理:
然后我在其中一个域控制器上启用了DNS清理:
然后我找到了一些我希望从几年前用timstamps删除的记录,并确保当它变得过时并且实际设置时间戳时删除此记录:
最后,我重新加载了区域并等待了14天(刷新无刷新周期的总和).
您期望得到什么结果?
我希望在DNS服务器日志中看到一个2501事件,注意到删除了一堆DNS记录.
究竟发生了什么?
没啥事儿.区域老化/清理属性显示该区域可能在上周6/12/2014 10:00:00 AM之后被清除.没有记录2501/2502事件.所有带有“老化”时间戳的记录仍然存在.
在将该区域再增加7天至2014年6月18日上午10:00:00之后可以清除该区域的日期.
据我了解,直到那个日期过去至少保持14天,没有任何东西甚至有资格进行清理,更不用说实际上被清除了.
事件日志中记录的唯一2501事件是我通过右键单击并选择“清除过时资源记录”触发的事件.他们注意到清理将在今天早上168小时内再次尝试再次运行.
我已启用DNS清理几个月,并耐心地等待发生的事情.我多次重新加载区域(重置此时间戳).
我在这里想念的是什么?
As I understand it until that date stays at least 14 days in the past nothing will ever even be eligible for scavenging let alone actually be scavenged.
我不这么认为.设置听起来正确,应该清除记录.需要做的三件事是为区域,DNS服务器和带有时间戳的资源记录设置清理.
首先是明显的东西 – 检查资源记录的安全性.系统和企业域控制器通常具有完全控制权.而且没有拒绝参赛作品.
我会检查dns.exe的版本,以确保它是最新的. 2008 R1和R2都有关于DNS记录如何被逻辑删除和清除的错误.
Windows Server 2008 R1:6.0.6002.23387
https://support.microsoft.com/en-us/kb/2962612
Windows Server 2008 R2:6.1.7601.22893
https://support.microsoft.com/en-us/kb/3022780
我假设该区域是AD-Integrated.如果是这样,dnscmd.exe / zoneinfo zoneName会在99.999%的时间内报告AD-Domain(或AD-Forest)的目录分区类型.我已经看到分区已被更改为其他区域的区域,然后在此过程中更改回来并出现问题,或者由于域控制器的配置方式而不是所有域控制器,因此从一开始就没有预期的值报告了相同的分区类型.
检查ADSIEdit中的fsmoRoleOwner属性是否为DC = DomainDNSZones,DC = domain,DC = com分区. DomainDNSZones和ForestDNSZones拥有第六/第七个fsmo角色所有者.如果过去曾有一些损坏,并且拥有该分区的先前域控制器不再存在,则fsmoRoleOwner属性将包含0ADel:和前一个域控制器的guid.有关更正的更多信息,请访问:
可能干扰正常操作的另一种情况是重复区域. Ace Fekay在这里有一篇很棒的文章: