“Bölge sonradan temizlenebilir” artmaya devam ediyor

10

Ne yapmaya çalışıyorsun?

Yaklaşık yüz eski DNS kayıtları olan bir DNS bölgesinde DNS atmayı etkinleştirmeye çalışıyorum.

Bunu yapmak için ne denediniz?

Herkesin en sevdiği TechNet Blog yazısı başına DNS Atma'yı ayarladım: DNS Atma'dan korkmayın. Sabırlı ol.

İlk olarak tüm etki alanı denetleyicilerimizde atmayı devre dışı bıraktım:

DNSCmd . /ZoneResetScavengeServers contoso.com 192.168.1.1 192.168.1.2


Daha sonra DNS bölgesinde otomatik atmayı etkinleştirdim:

Bölge Yaşlanma / Atma Özellikleri


Daha sonra etki alanı denetleyicilerinden birinde DNS temizlemeyi etkinleştirdim:

DNS Sunucusu Global Atma


Daha sonra birkaç yıl önce timstamps ile silmeyi beklediğim birkaç kayıt buldum ve Delete this record when it becomes staleve bu zaman damgasının gerçekten ayarlandığından emin oldum :

DNS Kayıt Özellikleri


Sonunda bölgeyi yeniden yükledim ve 14 gün bekledim (Yenile + Yenileme Yok dönemlerinin toplamı).

Hangi sonuçları beklediniz?

DNS sunucusu günlüklerinde bir grup DNS kaydının silinmesini not ederek 2501 Olayı görmeyi umuyordum.

Gerçekte ne oldu?

Hiçbir şey olmadı. Bölge Yaşlanma / Atma Özellikleri, bölgenin geçen hafta 06.06.2014 10:00:00 'dan sonra temizlenebileceğini gösterdi. 2501/2502 olay kaydedilmedi. "Yaşlandırılmış" zaman damgalı tüm kayıtlar hala mevcuttur.

Bölgenin yedi gün daha 18/2014/10: 00'a artırılmasından sonra atılma tarihi.

O tarih kalır kadar Anladığım kadarıyla geçmiş hiçbir şey en az 14 gün hiç bile uygun olacaktır için tek başına aslında atma işlemi izin süpürücü.

Olay günlüklerine kaydedilen yalnızca 2501 olayı, sağ tıklayıp "Eski Kaynak Kayıtlarını At" seçeneğini seçerek tetiklediğim olaylardır. Atma işleminin bu sabah 168 saat içinde tekrar koşmaya çalışacağını belirtiyorlar.

Birkaç ay boyunca DNS temizleme özelliğini etkinleştirdim ve bir şeyin olmasını sabırla bekledim. Bölgeyi birkaç kez yeniden yükledim (bu zaman damgasını sıfırlar).

Burada ne eksik?

windows  windows-server-2008  domain-name-system  active-directory 
Her yedi günde bir 2501/2502 olayı olmalı, çünkü belirlediğiniz atma dönemi. En az 2502 hiçbir kayıt atılmadığını söyleyen ve işler işe yarıyorsa bazı kayıtların atılmış olduğunu söyleyen 2501. Bazı nedenlerden dolayı bu görev çalışıyor gibi görünmüyor.
Brian
2
Bu komut: DNSCmd . /ZoneResetScavengeServers contoso.com 192.168.1.1 192.168.1.2DC'lerinizin tümü için atmayı devre dışı bırakmadı. Bu etkin 192.168.1.1 ve 192.168.1.2 için atma. Bu adreslerden herhangi biri DNS çalıştırıyor mu? Etki alanı denetleyicilerinden birinde atmayı etkinleştirdiğinizi söylediğinizde, DNS'de ayarın ekran görüntüsünü gösterdiniz. Ancak bu ayarın ve bu komutun 2 farklı şey ayarladığını unutmayın. Bu komutu o DC'nin IP adresiyle tekrar çalıştırmanız gerekir. Bunu zaten yaptın mı?
briantist

Yanıtlar:

1

Bu eski, ama birkaç öneri atacağım.

O tarihe kadar en az 14 gün kalana kadar anladığım kadarıyla hiçbir şey aslında atılsa bile hiçbir şey atmaya uygun olmayacak.

Ben öyle düşünmüyorum. Kurulum kulağa doğru geliyor ve kayıtlar siliniyor. Bölgeye, bir DNS sunucusuna ve zaman damgasına sahip kaynak kayıtlarına atmak için gereken üç şey vardır.

Öncelikle açık şeyler - kaynak kayıtlarının güvenliğini kontrol edin. Sistem ve Kurumsal Etki Alanı Denetleyicileri genellikle Tam Denetim'e sahiptir. Ve girişleri reddet.

Güncel olduğundan emin olmak için dns.exe sürümünü kontrol ediyorum. 2008 R1 ve R2'nin her ikisi de DNS kayıtlarının nasıl kaldırıldı ve kaldırıldığına dair hatalar yaşadılar.

Windows Server 2008 R1: 6.0.6002.23387
https://support.microsoft.com/en-us/kb/2962612

Windows Server 2008 R2: 6.1.7601.22893
https://support.microsoft.com/en-us/kb/3022780

Bölgenin AD Entegre olduğunu varsayıyorum. Öyleyse, dnscmd.exe / zoneinfo zoneName% 99.999 oranında bir AD-Domain (veya AD-Forest) dizin bölümü türü bildirir. Bölümün başka bir şeye değiştirildiği bölgeleri gördüm, sonra geri döndü ve bu işlem sırasında bir şeyler ters gitti veya etki alanı denetleyicisinin nasıl sağlandığından veya tüm etki alanı denetleyicilerinden kaynaklanmadığı için başlangıçtan beklenen değerlerin hiçbiri olmadı aynı bölüm türünü bildirdi.

DC = DomainDNSZones, DC = domain, DC = com bölümü için ADSIEdit'teki fsmoRoleOwner niteliğini kontrol edin. DomainDNSZones ve ForestDNSZones altıncı / yedinci fsmo rol sahiplerine sahiptir. Geçmişte bir miktar hasar varsa ve bölüme sahip olan önceki bir etki alanı denetleyicisi artık mevcut değilse, fsmoRoleOwner özniteliği 0ADel: ve önceki etki alanı denetleyicisinin kılavuzunu içerir. Düzeltme hakkında daha fazla bilgi burada:

http://blogs.technet.com/b/the_9z_by_chris_davis/archive/2011/12/20/forestdnszones-or-domaindnszones-fsmo-says-the-role-owner-attribute-could-not-be-read.aspx

Normal çalışmayı engelleyebilecek diğer bir durum da çift bölgelerdir. Ace Fekay'ın mükemmel bir yazımı var:

http://blogs.msmvps.com/acefekay/2009/09/02/using-adsi-edit-to-resolve-conflicting-or-duplicate-ad-integrated-dns-zones/

Greg Askew
kaynak
0

Bu konuda briantistim. Yardım için de burada görebilirsiniz: http://support.microsoft.com/kb/2791165

Öncelikle ... DNS bölgesini yeniden yayımladığınızdan emin olun ... o zaman ... temel olarak, DNSCmd ile temizlemenize izin verdiğiniz DC'lerin DNS üzerinde çalışanlar olduğundan emin olmak istersiniz. Soru eski olduğu için hala sorun yaşıyorsanız bu makaledeki KB makalesini izleyin. Technet blogunuzla birlikte sizi doğru yöne yönlendirmelidir. Bunu başka bir şekilde çözdüyseniz, cevabı buraya gönderirseniz yararlı olur!

Temizleyici
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.