Я работал над очисткой нашего DNS / DHCP, и я почти готов включить очистку (она никогда не была включена), чтобы начать очистку некоторых старых записей, но перед этим я хотел что-то проверить.
В DNS> Forward Lookup Zones у меня есть _msdcs.company.local
зона, которая обновляется, но у меня также есть _msdcs
папка под company.local
зона и записи в этой папке не обновляются. У меня есть набор для очистки в зоне company.local, и, судя по всему, все в этой папке будет очищено.
Если _msdcs
папка под company.local
зона обновляется или _msdcs.company.local
зона достаточно хороша?
У меня недостаточно репутации, чтобы публиковать изображения, но, возможно, вам поможет диаграмма ниже
-_msdcs.domain.local +dc +domains +gc +pdc -domain.local -_msdcs +dc +domains +gc -_sites -_tcp -_udp -_DomainDnsZone -_ForestDnsZone
Просто хочу убедиться, что я не собираю записи, которые могут нарушить DNS
В _msdcs.company.local
зона используется для поиска, поскольку она более конкретна - копии в company.local
зоны не используются для ответа на запросы (что вы можете проверить, внеся в них изменения и проверив ответ), и их можно безопасно сбросить.
Предполагая, что ваша инфраструктура AD DNS была реализована в Windows Server 2008 или Windows Server 2008 R2, а не в отличие от Windows Server 2000 или 2003, тогда поддомен _msdcs.company.local, на который вы ссылаетесь, является делегированной зоной . Фактически вы не должны видеть ничего в субдомене, кроме записи NS для DC / DNS-сервера, которому была делегирована зона. На каждом DC / DNS-сервере этот NS будет самим сервером, поскольку каждый DC / DNS-сервер является полномочным для своей собственной копии интегрированных DNS-зон AD. Вы можете опубликовать снимки экрана своих зон?
По умолчанию очистка не включена для _msdcs. Вы можете подумать об этом, прежде чем продолжить.
Перед тем как включить очистку в доменных зонах, необходимо убедиться, что очистка отключена в все DNS-серверы. Когда очистка отключена в зоне, метки времени не реплицируются. После повторного включения очистки в зоне вам необходимо дать время всем машинам для обновления своих записей и репликации их временных меток. Через две-три недели вы сможете снова включить очистку на уровне сервера.
Компьютеры, настроенные для автоматической регистрации в DNS, делают это каждые 24 часа. Перед повторным включением на уровне сервера вы можете экспортировать список записей (чтобы можно было правильно отсортировать по дате и времени) и выборочную проверку записей, которые не обновляются, но должны обновляться. Один из сценариев, когда это может произойти, - это если вам требуются безопасные обновления, но в какой-то момент компьютер мог быть повторно создан. В этом случае у новой учетной записи компьютера может не быть разрешения на обновление записи.
Шаги и последовательность настройки очистки описаны в этой статье: