“ สามารถไล่โซนได้หลังจาก” เพิ่มขึ้นเรื่อย ๆ

10

คุณพยายามจะทำอะไร?

ฉันกำลังพยายามเปิดใช้งาน DNS ในการกำจัด DNS ในโซน DNS ที่มีระเบียน DNS เก่ากว่าร้อยรายการ

คุณลองทำอะไรเพื่อให้มันเกิดขึ้น

ฉันตั้งค่า DNS Scavenging ตามโพสต์บล็อก TechNet ที่ทุกคนชื่นชอบ: อย่ากลัว DNS Scavenging เพียงแค่อดทน

ฉันปิดการใช้งานการกำจัดตัวควบคุมโดเมนของเราทั้งหมดก่อน:

DNSCmd . /ZoneResetScavengeServers contoso.com 192.168.1.1 192.168.1.2

ฉันเปิดใช้งานการขับอัตโนมัติในโซน DNS:

โซนอายุ / คุณสมบัติการขับของเสีย

จากนั้นฉันเปิดใช้งาน DNS scavenging บนหนึ่งในตัวควบคุมโดเมน:

DNS Server Global Scavenging

จากนั้นฉันพบระเบียนบางอย่างที่ฉันคาดว่าจะได้รับการลบด้วย timstamps จากไม่กี่ปีที่ผ่านมาและทำให้มั่นใจว่าการตั้งค่าDelete this record when it becomes staleและการประทับเวลานั้นจริง:

คุณสมบัติการบันทึก DNS

ในที่สุดฉันก็โหลดโซนอีกครั้งและรอ 14 วัน (ผลรวมของช่วงเวลารีเฟรช + ไม่มีการรีเฟรช)

คุณคาดหวังผลลัพธ์อะไร

ฉันคาดว่าจะเห็นเหตุการณ์ 2501 ในเซิร์ฟเวอร์ DNS บันทึกการสังเกตการลบระเบียน DNS จำนวนมาก

เกิดอะไรขึ้นจริงหรือ

ไม่มีอะไรเกิดขึ้น. คุณสมบัติของ Aging Zone / Scavenging แสดงให้เห็นว่าสามารถทำการกำจัดโซนได้หลังจากวันที่ 6/12/2014 10:00:00 AM เมื่อสัปดาห์ที่แล้ว ไม่มีการบันทึกกิจกรรม 2501/2502 รายการ บันทึกทั้งหมดที่มีการประทับเวลา "อายุ" ยังคงปรากฏอยู่

วันที่ที่สามารถทำการไล่โซนหลังจากเพิ่มอีกเจ็ดวันเป็น 6/18/2014 10:00:00 AM

อย่างที่ฉันเข้าใจจนกระทั่งถึงวันนั้นอย่างน้อย 14 วันในอดีตที่ผ่านมาไม่มีสิ่งใดแม้แต่จะมีสิทธิ์ได้รับการกวาดล้างโดยลำพังจริง ๆ แล้ว

กิจกรรม 2501 รายการที่บันทึกไว้ในบันทึกเหตุการณ์เป็นกิจกรรมที่ฉันเรียกใช้โดยการคลิกขวาและเลือก "Scavenge Stale Resource Records" พวกเขาทราบว่าการขับจะพยายามอีกครั้งใน 168 ชั่วโมงซึ่งเป็นเช้านี้

ฉันได้เปิดใช้งาน DNS scavenging เป็นเวลาสองสามเดือนและรออย่างอดทนเพื่อสิ่งที่จะเกิดขึ้น ฉันโหลดโซนซ้ำหลายครั้ง (ซึ่งรีเซ็ตเวลาประทับนี้)

ฉันหายไปนี่อะไร

ทุก ๆ เจ็ดวันควรมีเหตุการณ์ 2501/2502 ตามระยะเวลาที่คุณตั้งไว้ อย่างน้อย 2502 ที่บอกว่าไม่มีบันทึกถูกขับออกมาและหากสิ่งต่าง ๆ กำลังทำงาน 2501 บอกว่ามีบางบันทึกถูกขับออกมา ด้วยเหตุผลบางอย่างที่ดูเหมือนว่างานจะไม่ทำงาน

— Brian

2

คำสั่งนี้: DNSCmd . /ZoneResetScavengeServers contoso.com 192.168.1.1 192.168.1.2ไม่จำเป็นต้องปิดการใช้งานการกำจัด DC ทั้งหมดของคุณ มันเปิดใช้งานการไล่สำหรับ 192.168.1.1 และ 192.168.1.2 ที่อยู่เหล่านี้เป็นที่ทำงาน DNS หรือไม่ เมื่อคุณบอกว่าคุณเปิดใช้งาน scavening บนหนึ่งในตัวควบคุมโดเมนคุณแสดงภาพหน้าจอของการตั้งค่าใน DNS แต่โปรดทราบว่าการตั้งค่าและคำสั่งนี้เป็นการตั้งค่า 2 สิ่งที่แตกต่างกัน คุณต้องเรียกใช้คำสั่งนี้อีกครั้งด้วยที่อยู่ IP ของ DC นั้น คุณทำเช่นนั้นแล้ว?

— นักเทศน์

1

นี่เก่า แต่ฉันจะทิ้งคำแนะนำเล็กน้อย

อย่างที่ฉันเข้าใจจนกระทั่งถึงวันนั้นอย่างน้อย 14 วันในอดีตที่ผ่านมาไม่มีสิ่งใดแม้แต่จะมีสิทธิ์ได้รับการกวาดล้างโดยลำพังจริง ๆ แล้ว

ฉันไม่คิดอย่างนั้น การตั้งค่าฟังดูถูกต้องและควรมีการบันทึกไว้ สามสิ่งที่จำเป็นคือการกำจัดมีการตั้งค่าสำหรับโซนบนเซิร์ฟเวอร์ DNS และในการบันทึกทรัพยากรด้วยการประทับเวลา

สิ่งที่ชัดเจนก่อน - ตรวจสอบความปลอดภัยของบันทึกทรัพยากร ระบบและโดเมนองค์กรคอนโทรลเลอร์มักจะมีการควบคุมเต็มรูปแบบ และไม่มีการปฏิเสธรายการ

ฉันจะตรวจสอบรุ่นของ dns.exe เพื่อให้แน่ใจว่าเป็นรุ่นล่าสุด ทั้ง 2008 R1 และ R2 มีข้อบกพร่องเกี่ยวกับวิธีการบันทึก DNS ถูก tombstoned และ scavenged

Windows Server 2008 R1: 6.0.6002.23387
https://support.microsoft.com/en-us/kb/2962612

Windows Server 2008 R2: 6.1.7601.22893
https://support.microsoft.com/en-us/kb/3022780

ฉันสมมติว่าโซนนั้นเป็น AD-Integrated ถ้าเป็นเช่นนั้น dnscmd.exe / zoneinfo zoneName รายงานประเภทพาร์ติชันไดเรกทอรีของ AD-Domain (หรือ AD-Forest) 99.999% ของเวลา ฉันเคยเห็นโซนที่พาร์ทิชันถูกเปลี่ยนเป็นอย่างอื่นจากนั้นเปลี่ยนกลับและสิ่งที่ผิดพลาดในระหว่างกระบวนการนั้นหรือไม่มีค่าที่คาดหวังตั้งแต่เริ่มต้นเนื่องจากวิธีการจัดสรรตัวควบคุมโดเมนหรือตัวควบคุมโดเมนทั้งหมด รายงานประเภทพาร์ติชันเดียวกัน

ตรวจสอบแอตทริบิวต์ fsmoRoleOwner ใน ADSIEdit สำหรับ DC = DomainDNSZones, DC = โดเมน, DC = com พาร์ติชัน DomainDNSZones และ ForestDNSZones มีเจ้าของบทบาท fsmo คนที่หก / เจ็ด หากมีความเสียหายในอดีตและตัวควบคุมโดเมนก่อนหน้านี้ที่เป็นเจ้าของพาร์ติชันไม่มีอยู่อีกต่อไปแอตทริบิวต์ fsmoRoleOwner จะมี 0ADel: และ guid ของตัวควบคุมโดเมนก่อนหน้า ข้อมูลเพิ่มเติมเกี่ยวกับการแก้ไขที่นี่:

http://blogs.technet.com/b/the_9z_by_chris_davis/archive/2011/12/20/forestdnszones-or-domaindnszones-fsmo-says-the-role-owner-attribute-could-not-be-read.aspx

สถานการณ์อื่นที่อาจรบกวนการทำงานปกติคือโซนที่ซ้ำกัน Ace Fekay มีการเขียนที่ยอดเยี่ยมที่นี่:

http://blogs.msmvps.com/acefekay/2009/09/02/using-adsi-edit-to-resolve-conflicting-or-duplicate-ad-integrated-dns-zones/

— เกร็กเบน
แหล่งที่มา

0

ฉันเป็นนักบวชในเรื่องนี้ คุณสามารถดูความช่วยเหลือได้ที่นี่: http://support.microsoft.com/kb/2791165

ก่อนอื่น ... ตรวจสอบให้แน่ใจว่าคุณรีโหลดโซน DNS ... จากนั้น ... โดยทั่วไปคุณต้องการตรวจสอบให้แน่ใจว่า DCs ที่คุณอนุญาตให้ไล่จาก DNSCmd นั้นเป็นพื้นที่ที่คุณใช้ DNS ติดตามบทความ KB ที่จุดนี้ถ้าคุณยังคงมีปัญหาเนื่องจากคำถามเก่า พร้อมกับบล็อก Technet ของคุณควรให้คุณไปในทิศทางที่ถูกต้อง หากคุณลงเอยด้วยการแก้ปัญหาด้วยวิธีอื่นมันจะเป็นประโยชน์ถ้าคุณโพสต์คำตอบที่นี่!

— TheCleaner
แหล่งที่มา