"La zona può essere scavata dopo" continua ad aumentare

Cosa stai cercando di fare?

Sto cercando di abilitare lo scavenging DNS su una zona DNS che ha circa cento record DNS non aggiornati.

Cosa hai provato per realizzarlo?

Ho impostato DNS Scavenging per il post sul blog TechNet preferito da tutti: non abbiate paura di DNS Scavenging. Sii paziente.

Per prima cosa ho disabilitato lo scavenging su tutti i nostri controller di dominio:

DNSCmd . /ZoneResetScavengeServers contoso.com 192.168.1.1 192.168.1.2

Ho quindi abilitato lo scavenging automatico sulla zona DNS:

Ho quindi abilitato lo scavenging DNS su uno dei controller di dominio:

Ho quindi trovato alcuni record che mi aspettavo di ottenere con i timestamp di alcuni anni fa e mi sono assicurato che il Delete this record when it becomes staletimestamp e quel timestamp fossero effettivamente impostati:

Alla fine ho ricaricato la zona e ho aspettato 14 giorni (la somma dei periodi di aggiornamento + nessun aggiornamento).

Quali risultati ti aspettavi?

Mi aspettavo di vedere un evento 2501 nei registri del server DNS notando la cancellazione di un mucchio di record DNS.

Che cosa è realmente successo?

Non è successo niente. Le proprietà di invecchiamento / lavaggio della zona hanno mostrato che la zona potrebbe essere scavata dopo il 6/12/2014 alle 10:00:00 della scorsa settimana. Non sono stati registrati 2501/2502 eventi. Tutti i record con i timestamp "invecchiati" sono ancora presenti.

La data in cui la zona può essere recuperata dopo un ulteriore aumento di altri sette giorni a 6/18/2014 10:00 10:00.

Da quanto ho capito fino a quando quella data non è rimasta almeno 14 giorni nel passato, nulla potrà mai essere idoneo per lo scavenging e tanto meno essere effettivamente scavato.

Gli unici 2501 eventi registrati nei registri eventi sono quelli che ho attivato facendo clic con il tasto destro e selezionando "Scavenge Stale Resource Records". Notano che lo scavenging proverà a correre di nuovo tra le 168 ore di questa mattina.

Ho attivato lo scavenging DNS per alcuni mesi e ho aspettato pazientemente che accadesse qualcosa. Ho ricaricato la zona più volte (il che reimposta questo timestamp).

Cosa mi sto perdendo qui?

Questo è vecchio, ma darò alcuni suggerimenti.

Da quanto ho capito fino a quando quella data non è rimasta almeno 14 giorni nel passato, nulla potrà mai essere idoneo per lo scavenging e tanto meno essere effettivamente scavato.

Io non la penso così. L'impostazione sembra corretta e i record devono essere eliminati. Tre elementi necessari sono lo scavenging impostato per la zona, su un server DNS e sui record di risorse con un timestamp.

Roba ovvia per prima cosa: controlla la sicurezza dei record delle risorse. I controller di dominio di sistema ed Enterprise in genere hanno il controllo completo. E nessuna voce Nega.

Verificherei la versione di dns.exe per assicurarmi che sia aggiornata. Sia il 2008 R1 che R2 hanno avuto bug nel modo in cui i record DNS vengono distrutti e scavati.

Windows Server 2008 R1: 6.0.6002.23387
https://support.microsoft.com/en-us/kb/2962612

Windows Server 2008 R2: 6.1.7601.22893
https://support.microsoft.com/en-us/kb/3022780

Suppongo che la zona sia integrata in AD. In tal caso, dnscmd.exe / zoneinfo zoneName riporta un tipo di partizione di directory di AD-Domain (o AD-Forest) il 99,999% delle volte. Ho visto zone in cui la partizione è stata cambiata in qualcos'altro, quindi cambiata di nuovo e qualcosa è andato storto durante quel processo, o nessuno dei valori previsti è stato dall'inizio a causa di come è stato eseguito il provisioning del controller di dominio o non tutti i controller di dominio segnalato lo stesso tipo di partizione.

Controllare l'attributo fsmoRoleOwner in ADSIEdit per la partizione DC = DomainDNSZones, DC = domain, DC = com. DomainDNSZones e ForestDNSZones hanno il sesto / settimo proprietario del ruolo fsmo. Se in passato si sono verificati danni e un precedente controller di dominio che possedeva la partizione non esiste più, l'attributo fsmoRoleOwner conterrebbe 0ADel: e la guida del controller di dominio precedente. Maggiori informazioni sulla correzione sono disponibili qui:

http://blogs.technet.com/b/the_9z_by_chris_davis/archive/2011/12/20/forestdnszones-or-domaindnszones-fsmo-says-the-role-owner-attribute-could-not-be-read.aspx

Un'altra situazione che può interferire con il normale funzionamento sono le zone duplicate. Ace Fekay ha un eccellente commento qui:

http://blogs.msmvps.com/acefekay/2009/09/02/using-adsi-edit-to-resolve-conflicting-or-duplicate-ad-integrated-dns-zones/

Sono d'accordo con questo su questo. Puoi vedere qui anche per aiuto: http://support.microsoft.com/kb/2791165

Prima ... assicurati di RICARICARE la zona DNS ... poi ... in pratica, vuoi assicurarti che i controller di dominio che stai permettendo di scavare con DNSCmd siano quelli su cui hai DNS in esecuzione. Segui l'articolo KB a questo punto se il problema persiste poiché la domanda è obsoleta. Che insieme al tuo blog Technet dovrebbe portarti nella giusta direzione. Se hai finito per risolverlo in un altro modo, sarebbe utile pubblicare qui la risposta!