Я унаследовал управление набором серверов AD, на которых работает DNS с поддержкой AD. На одном из них работает DHCP.
Для диапазонов IP-адресов, которые обслуживаются этим DHCP-сервером Windows, зоны in-addr.arpa обслуживаются авторитетно DNS-серверами AD, чтобы позволить AD быть довольным собой и позволить динамическому DNS работать должным образом.
Для каждой из этих зон in-addr.arpa я также получаю вторичные от моих серверов имен unix / linux, на которых работает BIND9.
Я начал часто видеть подобные ошибки в своих журналах на серверах * nix:
Jun 8 13:40:07 ns1 named[6083]: general: warning: '3.37.19.172.in-addr.arpa/PTR/IN': TTL differs in rdataset, adjusting 900 -> 1200
Я понимаю с технической точки зрения, с точки зрения DNS, что здесь происходит. Для 3.37.19.172.in-addr.arpa имеется> 1 записей, и у них разные TTL. BIND нормализует TTL и сообщает мне об этом. Я подтвердил, что это так, взяв вручную AXFR зоны:
ns1 0 /home/jj33 ># xfer 37.19.172.in-addr.arpa ad-dns | grep '^3\.' <
3.37.19.172.in-addr.arpa. 900 IN PTR 0509-l3-tmbxt.example.ad.
3.37.19.172.in-addr.arpa. 1200 IN PTR 0402-3p2jf41.example.ad.
Если посмотреть на инструменты Windows DNS и DHCP, то с учетом времени аренды кажется весьма вероятным, что 0402-3p2jf41.example.ad либо вернул свою аренду, либо ушел и больше не вернулся, в результате чего срок аренды истек. Пришел 0509-l3-tmbxt.example.ad, взял IP-адрес и вставил его имя в запись 3.37.19.172.in-addr.arpa.
Итак, после всех объяснений у меня есть несколько вопросов:
Помимо вопросов, может ли кто-нибудь поделиться с трудом добытым опытом, связанным с этой проблемой? Спасибо.
ОБНОВЛЕНИЕ 1: Похоже, что на уровне RR очистка действительно включена. Он включен на уровне DNS-сервера, выключен на уровне зоны, и теперь, когда у меня включен расширенный вид, я вижу, что он включен и для динамически вставляемых записей. Итак, проблема не в том, что очистка не работает, а в 7-дневном лаге плюс (очевидно, новые?) Различия TTL.
ОБНОВЛЕНИЕ 2: в области DHCP также установлен флажок «Отменить записи A и PTR при удалении аренды». Это похоже на сбой со стороны DHCP-сервера, поскольку аренда исходного PTR была удалена с DHCP-сервера ...
Спасибо за ваши ответы. Я перевариваю их и собираю информацию, чтобы увидеть, является ли шум, который я вижу, большим количеством записей, генерирующих несколько журналов каждая, или несколькими записями, генерирующими множество журналов каждая. Кроме того, проверяю свои PTR, чтобы увидеть, является ли эта двойная запись обычным явлением, но я замечаю это только потому, что TTL начали не совпадать. Я склоняюсь к тому, что это не проблема, которую решит очистка, но я все же хотел бы понять, откуда берутся разные TTL.
Вот статья от Microsoft, в которой описывается процесс динамического DNS с их DHCP-сервером: http://technet.microsoft.com/en-us/library/cc787034(WS.10).aspx
Стандартное поведение W2K и выше заключается в том, что клиент запрашивает у DHCP-сервера регистрацию PTR-записи от имени клиента, а клиент регистрирует саму A-запись. DHCP-сервер жестяная банка быть обязательным для регистрации записи A и записи PTR (в том числе для клиентов, предшествующих Windows 2000, которые не могут выполнять регистрацию DDNS самостоятельно).
Существует необязательная настройка, позволяющая DHCP-серверу удалять записи A и PTR при отказе от аренды. Однако, если у аренды нет тайм-аута, записи не будут удалены.
Вы абсолютно должны стареть и очищать свои зоны DDNS. Если вы стареете и занимаетесь мусором, это в конечном итоге «очистит». Если нет, то не будет.
В этой статье службы поддержки Microsoft объясняется, как установить значение TTL для записей ресурсов DNS, зарегистрированных DHCP-серверами (изначально в виде исправления, а теперь просто встроено в ОС): http://support.microsoft.com/kb/322989
Чтобы изменить поведение клиентских компьютеров при регистрации DNS, просмотрите групповую политику в DNS-клиент узел под Сеть подузел Административные шаблоны узел Конфигурация компьютера. Там вы обнаружите, что вы можете заставить клиентов регистрировать свои PTR-записи, вместо того, чтобы делать это DHCP-сервером (если хотите), и вы можете установить TTL для записей, зарегистрированных клиентами.
Я не уверен, почему это внезапно началось. Некоторые конфигурации пришлось изменить, но я не понимаю, где именно. Начните обсуждать со своими соадминистраторами любые изменения, которые они могли внести в конфигурацию DHCP-сервера или в настройки групповой политики для динамического поведения DNS клиентов.
Я не могу сказать, что видел, как несколько клиентов регистрировали одну и ту же запись PTR. Странно. Мне придется посоветоваться с кем-нибудь еще по этому поводу. Я скажу, что все мои обратные зоны всегда интегрированы с AD и требуют безопасных обновлений, но я не знаю, повлияет ли это на это.
По моему опыту, простое включение старения и очистки имеет огромное значение для удаления устаревших записей. 7-дневный интервал по умолчанию мне подходит.
Быстрый и грязный способ очистить это - пока вы делаете это правильно, реализуя очистку - это просто удалить все записи в вашей обратной зоне (ах) Windows. DNS-сервер автоматически воссоздает их правильно, когда каждый клиент свяжется с ним в следующий раз.
Это не рекомендуется делать в качестве общей практики, и если вы делаете это регулярно, вам нужно будет пересмотреть, как вы управляете своим DNS, но это хорошо для очистки грязной обратной зоны (сработало для меня) .
Если вы настороженно относитесь к этому подходу (а я бы посоветовал вам это сделать), попробуйте удалить один или два и посмотреть, как они себя ведут.