Назад | Перейти на главную страницу

Зона _msdcs не обновляется

Я работал над очисткой нашего DNS / DHCP, и я почти готов включить очистку (она никогда не была включена), чтобы начать очистку некоторых старых записей, но перед этим я хотел что-то проверить.

В DNS> Forward Lookup Zones у меня есть _msdcs.company.local зона, которая обновляется, но у меня также есть _msdcs папка под company.local зона и записи в этой папке не обновляются. У меня есть набор для очистки в зоне company.local, и, судя по всему, все в этой папке будет очищено.

Если _msdcs папка под company.local зона обновляется или _msdcs.company.local зона достаточно хороша?

У меня недостаточно репутации, чтобы публиковать изображения, но, возможно, вам поможет диаграмма ниже

-_msdcs.domain.local
  +dc
  +domains
  +gc
  +pdc
-domain.local
  -_msdcs
    +dc
    +domains
    +gc
  -_sites
  -_tcp
  -_udp
  -_DomainDnsZone
  -_ForestDnsZone

Просто хочу убедиться, что я не собираю записи, которые могут нарушить DNS

В _msdcs.company.local зона используется для поиска, поскольку она более конкретна - копии в company.local зоны не используются для ответа на запросы (что вы можете проверить, внеся в них изменения и проверив ответ), и их можно безопасно сбросить.

Предполагая, что ваша инфраструктура AD DNS была реализована в Windows Server 2008 или Windows Server 2008 R2, а не в отличие от Windows Server 2000 или 2003, тогда поддомен _msdcs.company.local, на который вы ссылаетесь, является делегированной зоной . Фактически вы не должны видеть ничего в субдомене, кроме записи NS для DC / DNS-сервера, которому была делегирована зона. На каждом DC / DNS-сервере этот NS будет самим сервером, поскольку каждый DC / DNS-сервер является полномочным для своей собственной копии интегрированных DNS-зон AD. Вы можете опубликовать снимки экрана своих зон?

По умолчанию очистка не включена для _msdcs. Вы можете подумать об этом, прежде чем продолжить.

Перед тем как включить очистку в доменных зонах, необходимо убедиться, что очистка отключена в все DNS-серверы. Когда очистка отключена в зоне, метки времени не реплицируются. После повторного включения очистки в зоне вам необходимо дать время всем машинам для обновления своих записей и репликации их временных меток. Через две-три недели вы сможете снова включить очистку на уровне сервера.

Компьютеры, настроенные для автоматической регистрации в DNS, делают это каждые 24 часа. Перед повторным включением на уровне сервера вы можете экспортировать список записей (чтобы можно было правильно отсортировать по дате и времени) и выборочную проверку записей, которые не обновляются, но должны обновляться. Один из сценариев, когда это может произойти, - это если вам требуются безопасные обновления, но в какой-то момент компьютер мог быть повторно создан. В этом случае у новой учетной записи компьютера может не быть разрешения на обновление записи.

Шаги и последовательность настройки очистки описаны в этой статье:

http://blogs.technet.com/b/networking/archive/2008/03/19/don-t-be-afraid-of-dns-scavenging-just-be-patient.aspx