Около 9 месяцев назад я стал системным администратором Active Directory в компании. Сегодня кто-то отправил запрос, в котором указывалось, что в нашем DNS есть устаревшая запись для авторитетного сервера. Мое расследование показало, что в 2012 году филиал был закрыт, а контроллер домена в этом офисе был выведен из эксплуатации без запуска dcpromo и удаления роли DNS. Я также нашел около дюжины других статических записей DNS из той же подсети, в которой работал офис, и эта подсеть больше не используется компанией.
Это не первый раз, когда я сталкиваюсь со статическими записями DNS, которые устарели на много лет. Большинство из них принадлежат нашему инженерному подразделению, которое установит сервер в своей лаборатории, попросит нас добавить его в DNS, затем отключит сервер и никогда не расскажет об этом ИТ-специалистам. Большинство из них являются лабораторными серверами, которые никогда не присоединяются к нашему домену AD, поэтому я не могу проверить DNS по учетным записям компьютеров в AD.
Как я могу изолировать и удалить все эти устаревшие статический записи?
Мы используем Active Directory на функциональном уровне 2008r2. Все наши DC 2008r2.
Чтобы очистка работала, у каждой записи должна быть отметка времени. В dnscmd.exe /ageallrecords команда устанавливает эту метку времени. Для реальных действующих систем это просто означает, что метка времени будет обновляться при запуске команды, а затем при следующем интервале обновления (7 дней или при запуске). Для всех устаревших записей это означает, что установлена допустимая метка времени, которая затем позволяет очистить устаревшие записи в следующем интервале очистки.
Итак, предполагая, что вы собираетесь включить очистку на DNS-серверах и в зонах DNS, вы можете использовать dnscmd.exe /ageallrecords чтобы установить текущую отметку времени для всех записей. Для всех систем Windows, которые все еще существуют, они будут обновлять свои записи каждые 7 дней или при запуске, и поэтому их не следует очищать при следующем интервале очистки. Все устаревшие записи для хостов, которые больше не существуют, должны быть удалены в следующий интервал очистки.