Назад | Перейти на главную страницу

Опасность очистки устаревших записей ресурсов в зоне _msdcs?

Я только что понял, что предыдущий администратор включил очистку DNS для всех зон на одном из контроллеров домена, включая зону _msdcs. Так было некоторое время, и все в порядке, но я не могу представить, что это лучшая практика.

Есть ли опасность очистить зону _msdcs?
Должен ли я сделать так, чтобы эта зона не очищалась?
Могло ли уборка мусора сломать что-нибудь в этой зоне, о чем я сейчас не знаю?

Хорошо, так что краткое изложение:

  1. _msdcs - это то место, где все критичные для AD Записи SRV хранятся.
  2. Все ваши серверы, которым нужны записи SRV, должны регистрировать и обновлять их через динамический DNS. Вы (надеюсь) не создаете свои записи SRV вручную.
  3. Служба входа в сеть выполняет обновление DDNS с согласно этому частота обновления по умолчанию - 1 час. Но согласно этому, он обновляется каждые 24 часа - это то, что я наблюдаю в метках времени моих собственных записей SRV.
    • Также имейте в виду, что обновления DDNS имеют зависимость от службы DHCP-клиента, поэтому не отключайте службу DHCP-клиента, даже если ваши серверы адресуются статически.
  4. В интервал очистки по умолчанию составляет 7 дней. Уборка мусора удаляет любая динамическая запись, отметка времени которой старше, чем (todaysdate - scavengeinterval); эти записи останутся до тех пор, пока не будут удалены (вручную или каким-либо другим способом, например, понижение роли DC), если не было очистки. Уборка делает не касайтесь статических записей (созданных вами вручную), если вы явно не разрешили очистку записи.

Итак, помня все это, у вас должно быть все в порядке с очисткой, если вы не проводите очистку чаще, чем ваши записи могут обновляться. Вы можете убедиться, что ваши записи действительно обновляются, взглянув на временные метки в той зоне, которую вы собираетесь очистить.

IMHO, очистка всегда хорошая идея, и да, это включает зону _msdcs. Если контроллер домена перестает обновлять свои записи DNS, очистка автоматически удалит эти записи, и это хорошо - вы бы не хотели, чтобы люди преобразовывались в сломанные контроллеры домена.

Считаю статью Не бойтесь очистки DNS. Просто будьте терпеливы. быть канонической лучшей практикой для очистки DNS в Windows.

Убери его, говорю я!

Все внутри автоматически заполняется контроллерами домена до тех пор, пока им это разрешено - до тех пор, пока вы не очищаете это до смешного часто, проблем быть не должно.