web-dev-qa-db-ja.com

「後でゾーンを清掃できます」が増加し続ける

何をしようとしていますか?

約100の古いDNSレコードがあるDNSゾーンでDNSスカベンジングを有効にしようとしています。

それを実現するために何を試しましたか?

私はみんなのお気に入りのTechNetブログ投稿に従ってDNS清掃をセットアップします: DNS清掃を恐れないでください。ただ辛抱してください。

最初に、すべてのドメインコントローラーで清掃を無効にしました。

DNSCmd . /ZoneResetScavengeServers contoso.com 192.168.1.1 192.168.1.2


次に、DNSゾーンで自動清掃を有効にしました。

Zone Aging / Scavenging Properties


次に、ドメインコントローラーの1つでDNSスカベンジングを有効にしました。

DNS Server Global Scavenging


次に、数年前からtimstampsを使用して削除する予定のレコードをいくつか見つけ、Delete this record when it becomes staleそしてそのタイムスタンプは実際に設定されました:

DNS Record Properties


最後に、ゾーンをリロードして14日間待機しました(更新期間と非更新期間の合計)。

どのような結果が予想されましたか?

DNSサーバーログに2501イベントが表示され、DNSレコードの束が削除されたことを示していると思いました。

実際に何が起こったのですか?

何も起こらなかった。ゾーンのエージング/清掃プロパティは、ゾーンが先週の2014年6月12日10:00:00 AM以降に清掃される可能性があることを示しました。 2501/2502イベントは記録されませんでした。 「古くなった」タイムスタンプが付いたすべてのレコードがまだ存在しています。

さらに7日間インクリメントして6/18/2014 10:00:00 AMにした後、ゾーンを清掃できる日付。

私が理解しているように、その日付が過去14日以上続くまでは、実際に清掃されることは言うまでもなく、for清掃の対象となることすらありません。

イベントログに記録される2501のイベントは、右クリックして[Scavenge StaleResourceRecords]を選択してトリガーしたものだけです。彼らは、清掃は今朝の168時間後に再び実行しようとするだろうと述べています。

DNSスカベンジングを数か月有効にして、何かが起こるのを辛抱強く待っていました。ゾーンを複数回リロードしました(このタイムスタンプをリセットします)。

ここで何が欠けていますか?

windowswindows-server-2008domain-name-systemactive-directory
10
user62491

これは古いですが、いくつかの提案を投げます。

私が理解しているように、その日付が過去14日間にとどまるまでは、実際に清掃されることはもちろん、清掃の対象になるものすらありません。

私はそうは思いません。セットアップは正しいように聞こえ、レコードを清掃する必要があります。必要な3つのことは、ゾーン、DNSサーバー、およびタイムスタンプ付きのリソースレコードにスカベンジングが設定されていることです。

最初に明らかなこと-リソースレコードのセキュリティを確認してください。システムおよびエンタープライズドメインコントローラーは通常、フルコントロールを備えています。そして、拒否エントリはありません。

Dns.exeのバージョンをチェックして、最新であることを確認します。 2008 R1とR2の両方に、DNSレコードの廃棄と清掃の方法に関するバグがありました。

Windows Server 2008 R1:6.0.6002.23387
https://support.Microsoft.com/en-us/kb/2962612

Windows Server 2008 R2:6.1.7601.22893
https://support.Microsoft.com/en-us/kb/302278

ゾーンはAD統合であると想定しています。その場合、dnscmd.exe/zoneinfo zoneNameは、99.999%の確率でADドメイン(またはADフォレスト)のディレクトリパーティションタイプを報告します。パーティションが別の何かに変更され、その後元に戻され、そのプロセス中に問題が発生したゾーン、またはドメインコントローラーのプロビジョニング方法が原因で最初から予期された値でなかったゾーン、またはすべてのドメインコントローラーではないゾーンを見たことがあります。同じパーティションタイプを報告しました。

DC = DomainDNSZones、DC = domain、DC = comパーティションのADSIEditのfsmoRoleOwner属性を確認します。 DomainDNSZonesとForestDNSZonesには、6番目と7番目のfsmoロールの所有者がいます。過去に何らかの損傷があり、パーティションを所有していた以前のドメインコントローラーが存在しなくなった場合、fsmoRoleOwner属性には0ADel:と以前のドメインコントローラーのGUIDが含まれます。それを修正するための詳細はここにあります:

http://blogs.technet.com/b/the_9z_by_chris_davis/archive/2011/12/20/forestdnszones-or-domaindnszones-fsmo-says-the-role-owner-attribute-could-not-be- read.aspx

通常の操作を妨げる可能性のある別の状況は、重複ゾーンです。 AceFekayはここに優れた記事を書いています:

http://blogs.msmvps.com/acefekay/2009/09/02/using-adsi-edit-to-resolve-conflicting-or-duplicate-ad-integrated-dns-zones/

1
Greg Askew

私はこれについてブライアンティストと一緒です。ここでもヘルプを参照できます: http://support.Microsoft.com/kb/2791165

最初に... DNSゾーンをリロードすることを確認してください...次に...基本的に、DNSCmdでスカベンジすることを許可しているDCがDNSを実行しているDCであることを確認する必要があります。質問が古いためにまだ問題が解決しない場合は、この時点でそのKB記事に従ってください。それはあなたのTechnetブログと一緒にあなたを正しい方向に導くはずです。これを別の方法で解決することになった場合は、ここに回答を投稿すると便利です。

0
TheCleaner