“之后可以清除区域”不断增加

10

你想做什么?

我正在尝试在具有约一百个陈旧DNS记录的DNS区域上启用DNS清除。

您尝试了什么来实现它?

我为每个人最喜欢的TechNet博客文章设置了DNS清除:不要害怕DNS清除。耐心一点。

首先,我在所有域控制器上禁用了清除功能:

DNSCmd . /ZoneResetScavengeServers contoso.com 192.168.1.1 192.168.1.2


然后,我在DNS区域上启用了自动清除功能:

区域老化/清除特性


然后,我在其中一个域控制器上启用了DNS清除:

DNS服务器全局清理


然后,我找到了几年前希望通过timstamps删除的一些记录,并确保Delete this record when it becomes stale确实设置了时间戳记和时间戳记:

DNS记录属性


最后,我重新加载了区域并等待了14天(“刷新+不刷新”时间的总和)。

您期待什么结果?

我希望在DNS服务器日志中看到一个2501事件,指出一堆DNS记录的删除。

实际发生了什么?

什么都没有发生。区域老化/清除属性显示,该区域可以在上周的6/12/2014 10:00:00 AM之后被清除。没有记录2501/2502事件。所有带有“已老化”时间戳记的记录仍然存在。

在又增加7天达到6/18/2014 10:00:00 AM后可以清除区域的日期。

据我了解,直到该日期至少过去14天,任何东西都没有资格进行清除,更不用说实际清除了。

事件日志中记录的唯一2501个事件是我右键单击并选择“清除陈旧资源记录”而触发的事件。他们指出,清除操作将在今天早上的168小时内尝试再次运行。

我启用了DNS清除功能已有几个月,并且耐心等待发生的事情。我已多次重新加载区域(这会重置此时间戳)。

我在这里想念什么?

windows  windows-server-2008  domain-name-system  active-directory 
每七天应该有一个2501/2502事件,因为这是您设置的清理时间。至少有2502表示未清除任何记录,如果工作正常,则有2501表示已清除一些记录。由于某种原因,该任务似乎没有运行。
布莱恩(Brian
2
此命令:DNSCmd . /ZoneResetScavengeServers contoso.com 192.168.1.1 192.168.1.2不一定禁用所有DC的清理。它启用了对192.168.1.1和192.168.1.2的清除。这些地址中的任何一个都运行DNS吗?当您说您在一个域控制器上启用了清理时,您在DNS中显示了该设置的屏幕快照。但是请注意,该设置和此命令正在设置2种不同的东西。您需要使用该DC的IP地址再次运行此命令。你已经做到了吗?
briantist 2014年

Answers:

1

这很旧,但是我会提出一些建议。

据我了解,直到该日期至少保留了14天,再也没有资格进行清除,更不用说实际清除了。

我不这么认为。设置听起来正确,并且应该清除记录。需要做的三件事是为区域设置清除,在DNS服务器上以及在带有时间戳的资源记录上进行。

首先是显而易见的东西-检查资源记录的安全性。系统和企业域控制器通常具有完全控制权。而且没有拒绝条目。

我将检查dns.exe的版本以确保它是最新的。2008 R1和R2都有关于如何删除和清除DNS记录的错误。

Windows Server 2008 R1:6.0.6002.23387
https://support.microsoft.com/zh-cn/kb/2962612

Windows Server 2008 R2:6.1.7601.22893
https://support.microsoft.com/zh-cn/kb/3022780

我假设该区域是AD集成的。如果是这样,则dnscmd.exe / zoneinfo zoneName将在99.999%的时间内报告AD域(或AD林)的目录分区类型。我已经看到分区已更改为其他区域,然后又变回原来的区域,并且在此过程中出了点问题,或者由于域控制器的配置方式(或者不是所有域控制器),一开始都不是预期值报告相同的分区类型。

检查ADSIEdit中的fsmoRoleOwner属性是否有DC = DomainDNSZones,DC = domain,DC = com分区。DomainDNSZones和ForestDNSZones具有第六/第七个fsmo角色所有者。如果过去曾发生过任何损坏,并且拥有该分区的先前的域控制器不再存在,则fsmoRoleOwner属性将包含0ADel:和先前的域控制器的GUID。有关更正信息的更多信息,请点击此处:

http://blogs.technet.com/b/the_9z_by_chris_davis/archive/2011/12/20/forestdnszones-or-domaindnszones-fsmo-says-the-role-owner-attribute-could-not-be-read.aspx

可能会干扰正常操作的另一种情况是重复区域。Ace Fekay在这里有出色的文章:

http://blogs.msmvps.com/acefekay/2009/09/02/using-adsi-edit-to-resolve-conflicting-or-duplicate-ad-integrated-dns-zones/

格雷格·阿斯克(Greg Askew)
source
0

我在这件事上与briantist在一起。您也可以在此处查看帮助:http : //support.microsoft.com/kb/2791165

首先...确保您重新加载DNS区域...然后...基本上,您要确保允许使用DNSCmd清除的DC是运行DNS的DC。如果问题仍然存在,请继续阅读该知识库文章。与您的Technet博客一起,应该可以向正确的方向发展。如果您最终以另一种方式解决了问题,那么将答案发布在这里会很有帮助!

清洁工
source
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.