Назад | Перейти на главную страницу

«Зона может быть очищена после» продолжает увеличиваться

Что ты пытаешься сделать?

Я пытаюсь включить очистку DNS в зоне DNS, содержащей около сотни устаревших записей DNS.

Что вы пробовали, чтобы это произошло?

Я настраиваю очистку DNS согласно любимому посту в блоге TechNet: Не бойтесь очистки DNS. Просто будьте терпеливы.

Сначала я отключил очистку на всех наших контроллерах домена:

DNSCmd . /ZoneResetScavengeServers contoso.com 192.168.1.1 192.168.1.2


Затем я включил автоматическую очистку в зоне DNS:


Затем я включил очистку DNS на одном из контроллеров домена:


Затем я нашел несколько записей, которые, как я ожидал удалить с метками времени несколько лет назад, и убедился, что Delete this record when it becomes stale и эта отметка времени была фактически установлена:


Наконец, я перезагрузил зону и ждал 14 дней (сумма периодов обновления + без обновления).

Каких результатов вы ожидали?

Я ожидал увидеть событие 2501 в журналах DNS-сервера, отмечающее удаление группы записей DNS.

Что на самом деле произошло?

Ничего не произошло. Свойства старения / очистки зоны показали, что зона может быть очищена после 6/12/2014 10:00:00 на прошлой неделе. Событий 2501/2502 зарегистрировано не было. Все записи с "устаревшими" метками времени сохранились.

Дата, в которую зона может быть очищена после увеличения еще на семь дней до 18.06.2014 10:00:00.

Насколько я понимаю, до тех пор, пока эта дата не останется не менее 14 дней в прошлом, ничто никогда не будет иметь права для уборка мусора, не говоря уже о том, чтобы ее собирать.

В журналы событий записано только 2501 событие, которое я инициировал, щелкнув правой кнопкой мыши и выбрав «Очистить устаревшие записи ресурсов». Они отмечают, что уборка мусора будет повторяться через 168 часов, что было сегодня утром.

У меня включена очистка DNS на несколько месяцев, и я терпеливо ждал, чтобы что-то произошло. Я перезагружал зону несколько раз (что сбрасывает эту временную метку).

Что мне здесь не хватает?

Это старый вариант, но я выскажу несколько предложений.

Насколько я понимаю, до тех пор, пока эта дата не останется по крайней мере 14 дней в прошлом, ничто никогда не будет иметь права на уборку мусора, не говоря уже о том, чтобы на самом деле это было.

Я так не думаю. Настройка звучит правильно, и записи следует удалить. Требуются три вещи: настройка очистки для зоны, на DNS-сервере и для записей ресурсов с меткой времени.

Сначала очевидные вещи - проверьте безопасность записей ресурсов. Системные и корпоративные контроллеры домена обычно имеют полный доступ. И никаких запретных записей.

Я бы проверил версию dns.exe, чтобы убедиться, что она актуальна. И в 2008 R1, и в R2 были ошибки, связанные с захоронением и очисткой записей DNS.

Windows Server 2008 R1: 6.0.6002.23387
https://support.microsoft.com/en-us/kb/2962612

Windows Server 2008 R2: 6.1.7601.22893
https://support.microsoft.com/en-us/kb/3022780

Я предполагаю, что зона интегрирована с AD. В таком случае dnscmd.exe / zoneinfo zoneName сообщает о типе раздела каталога AD-Domain (или AD-Forest) в 99,999% случаев. Я видел зоны, в которых раздел был изменен на что-то другое, а затем был изменен обратно, и что-то пошло не так во время этого процесса, или не было ни одного из ожидаемых значений с самого начала из-за того, как был подготовлен контроллер домена, или не все контроллеры домена сообщил о том же типе раздела.

Проверьте атрибут fsmoRoleOwner в ADSIEdit для раздела DC = DomainDNSZones, DC = domain, DC = com. DomainDNSZones и ForestDNSZones имеют шестую / седьмую роли владельцев fsmo. Если когда-либо было какое-то повреждение в прошлом и предыдущий контроллер домена, который владел разделом, больше не существует, атрибут fsmoRoleOwner будет содержать 0ADel: и guid предыдущего контроллера домена. Более подробная информация об исправлении этого здесь:

http://blogs.technet.com/b/the_9z_by_chris_davis/archive/2011/12/20/forestdnszones-or-domaindnszones-fsmo-says-the-role-owner-attribute-could-not-be-read.aspx

Еще одна ситуация, которая может помешать нормальной работе, - это дублированные зоны. У Эйса Фекая есть отличная статья:

http://blogs.msmvps.com/acefekay/2009/09/02/using-adsi-edit-to-resolve-conflicting-or-duplicate-ad-integrated-dns-zones/

Я с бриантистом по этому поводу. Здесь вы также можете найти помощь: http://support.microsoft.com/kb/2791165

Сначала ... убедитесь, что вы ПЕРЕЗАГРУЗИТЕ зону DNS ... затем ... в основном вы хотите убедиться, что контроллеры домена, которым вы разрешаете очистку с помощью DNSCmd, являются теми, на которых работает DNS. Следуйте этой статье базы знаний на этом этапе, если проблема не устранена, поскольку вопрос устарел. Это вместе с вашим блогом Technet должно направить вас в правильном направлении. Если вы решили решить эту проблему другим способом, было бы полезно, если вы разместите ответ здесь!