Что ты пытаешься сделать?
Я пытаюсь включить очистку DNS в зоне DNS, содержащей около ста устаревших записей DNS.
Что вы пытались сделать, чтобы это произошло?
Я настраиваю DNS Scavenging для каждого любимого поста TechNet в блоге: не бойтесь DNS Scavenging. Просто будьте терпеливы.
Сначала я отключил очистку на всех наших контроллерах домена:
DNSCmd . /ZoneResetScavengeServers contoso.com 192.168.1.1 192.168.1.2
Затем я включил автоматическую очистку зоны DNS:
Затем я включил очистку DNS на одном из контроллеров домена:
Затем я нашел несколько записей, которые я ожидал удалить с помощью отметок времени, полученных несколько лет назад, и удостоверился, что Delete this record when it becomes staleотметка времени действительно установлена.
Наконец я перезагрузил зону и ждал 14 дней (сумма периодов обновления + отсутствия обновления).
Каких результатов вы ожидали?
Я ожидал увидеть событие 2501 в журналах DNS-сервера, отмечающее удаление группы DNS-записей.
Что на самом деле произошло?
Ничего не случилось. Свойства зоны старения / очистки показали, что зона может быть очищена после 12.06.2014, 10:00:00 на прошлой неделе. 2501/2502 события не были зарегистрированы. Все записи со «старыми» отметками времени все еще присутствуют.
Дата, после которой зона может быть очищена после увеличения, увеличена еще на семь дней до 18 июня 2014 года в 10:00:00.
Насколько я понимаю, до тех пор, пока эта дата останется по крайней мере 14 дней в прошлом, ничто даже не будет иметь право на очистку, не говоря уже о том, чтобы быть фактически очищенным.
Только 2501 событие, записанное в журналах событий, - это события, которые я вызвал, щелкнув правой кнопкой мыши и выбрав «Уничтожить устаревшие записи ресурсов». Они отмечают, что уборка мусора попытается снова бежать через 168 часов, которые были этим утром.
Я включил очистку DNS в течение нескольких месяцев и терпеливо ждал, что что-то произойдет. Я перезагрузил зону несколько раз (что сбрасывает эту метку времени).
Что мне здесь не хватает?
DNSCmd . /ZoneResetScavengeServers contoso.com 192.168.1.1 192.168.1.2не обязательно отключать очистку для всех ваших контроллеров домена. Это позволило очистить для 192.168.1.1 и 192.168.1.2. Есть ли на этих адресах DNS? Когда вы сказали, что включили очистку на одном из контроллеров домена, вы показали снимок экрана настройки в DNS. Но имейте в виду, что эта настройка и эта команда устанавливают две разные вещи. Вам нужно снова запустить эту команду с IP-адресом этого DC. Ты уже сделал это?Ответы:
Это старый, но я выкину несколько предложений.
Я так не думаю. Настройка звучит правильно, и записи должны быть очищены. Требуются три вещи: очистка для зоны, на DNS-сервере и для записей ресурсов с отметкой времени.
Сначала очевидные вещи - проверьте безопасность записей ресурсов. Системные и корпоративные контроллеры домена обычно имеют полный доступ. И никаких запрещающих записей.
Я бы проверил версию dns.exe, чтобы убедиться в ее актуальности. И в 2008 R1, и в R2 были ошибки, связанные с захоронением и очисткой DNS-записей.
Windows Server 2008 R1: 6.0.6002.23387
https://support.microsoft.com/en-us/kb/2962612
Windows Server 2008 R2: 6.1.7601.22893
https://support.microsoft.com/en-us/kb/3022780
Я предполагаю, что зона AD-Integrated. Если это так, dnscmd.exe / zoneinfo zoneName сообщает о типе раздела каталога домена AD (или AD-леса) в 99,999% случаев. Я видел зоны, в которых раздел был изменен на что-то другое, затем изменен обратно и что-то пошло не так во время этого процесса, или не было ожидаемых значений с самого начала из-за того, как был подготовлен контроллер домена, или не все контроллеры домена сообщили о том же типе раздела.
Проверьте атрибут fsmoRoleOwner в ADSIEdit для раздела DC = DomainDNSZones, DC = домен, DC = com. DomainDNSZones и ForestDNSZones имеют владельцев шестой / седьмой роли fsmo. Если в прошлом было какое-либо повреждение, а предыдущий контроллер домена, которому принадлежал раздел, больше не существует, атрибут fsmoRoleOwner содержал бы 0ADel: и идентификатор предыдущего контроллера домена. Больше информации об исправлении здесь
http://blogs.technet.com/b/the_9z_by_chris_davis/archive/2011/12/20/forestdnszones-or-domaindnszones-fsmo-says-the-role-owner-attribute-could-not-be-read.aspx
Другая ситуация, которая может помешать нормальной работе, - дублированные зоны. Ace Fekay имеет отличную рецензию здесь:
http://blogs.msmvps.com/acefekay/2009/09/02/using-adsi-edit-to-resolve-conflicting-or-duplicate-ad-integrated-dns-zones/
источник
Я с Бриантист на этом. Вы также можете обратиться сюда за помощью: http://support.microsoft.com/kb/2791165
Сначала ... убедитесь, что вы ЗАГРУЗИЛИ зону DNS ... затем ... в основном вы хотите убедиться, что контроллеры домена, которым вы разрешаете очищать с помощью DNSCmd, являются теми, на которых работает DNS. Следуйте этой статье базы знаний, если у вас все еще есть проблема, поскольку вопрос старый. Это вместе с вашим блогом Technet должно привести вас в правильном направлении. Если вы решили решить эту проблему другим способом, было бы полезно, если бы вы опубликовали ответ здесь!
источник