「ゾーンは後で清掃できます」が増加し続ける

10

あなたは何をしようとしているのですか?

約100の古いDNSレコードを持つDNSゾーンでDNS清掃を有効にしようとしています。

それを実現するために何を試しましたか?

みんなのお気に入りのTechNetブログ投稿に従ってDNS清掃をセットアップしました。DNS清掃を恐れないでください。ただ我慢しなさい。

最初に、すべてのドメインコントローラで清掃を無効にしました。

DNSCmd . /ZoneResetScavengeServers contoso.com 192.168.1.1 192.168.1.2


次に、DNSゾーンで自動清掃を有効にしました。

ゾーンエージング/スカベンジプロパティ


次に、ドメインコントローラーの1つでDNS清掃を有効にしました。

DNSサーバーのグローバル清掃


次に、数年前のtimstampsで削除されることが予想されるいくつかのレコードを見つけ、Delete this record when it becomes staleそのタイムスタンプが実際に設定されていることを確認しました。

DNSレコードのプロパティ


最後に、ゾーンをリロードして14日間待機しました(更新期間と非更新期間の合計)。

どのような結果を期待しましたか?

DNSサーバーログに2501イベントが表示され、一連のDNSレコードが削除されたことを通知するはずでした。

実際に何が起こったのですか?

何も起こらなかった。ゾーンエージング/清掃プロパティは、ゾーンが先週の2014年6月12日10:00:00 AM後に清掃される可能性があることを示しました。2501/2502イベントは記録されませんでした。「古くなった」タイムスタンプを持つすべてのレコードがまだ存在しています。

さらに7日間インクリメントして6/18/2014 10:00:00 AMにした後、ゾーンを清掃できる日付。

私が理解しているように、その日付が過去14日間になるまでは、実際に清掃されることはもちろん清掃の対象になるものすらありません。

イベントログに記録されている2501のイベントは、右クリックして[Scavenge Stale Resource Records]を選択したときにトリガーされたイベントのみです。彼らは、清掃が今朝であった168時間後に再び実行を試みると述べています。

私は数か月間DNS清掃を有効にしていて、何かが起こるのを辛抱強く待っていました。ゾーンを複数回リロードしました(このタイムスタンプをリセットします)。

ここで何が欠けていますか?

windows  windows-server-2008  domain-name-system  active-directory 
7日ごとに2501/2502イベントが発生します。これは、設定した清掃期間であるためです。少なくとも2502は清掃されたレコードがないことを示し、2501が機能している場合は一部のレコードが清掃されたことを示します。何らかの理由で、タスクが実行されていないように見えます。
ブライアン
2
このコマンド:DNSCmd . /ZoneResetScavengeServers contoso.com 192.168.1.1 192.168.1.2すべてのDCの清掃を無効にする必要はありませんでした。これは、有効 192.168.1.1と192.168.1.2の清掃します。それらのアドレスのいずれかがDNSを実行していますか?ドメインコントローラーの1つで清掃を有効にすると、DNSの設定のスクリーンショットを表示しました。ただし、その設定とこのコマンドは2つの異なるものを設定していることに注意してください。そのDCのIPアドレスを使用して、このコマンドを再度実行する必要があります。もうやりましたか?
ブライアンティスト、2014

回答:

1

これは古いですが、いくつかの提案を破棄します。

私が理解しているように、その日付が過去14日間にとどまるまでは、実際に清掃されることはもちろん、清掃の対象になるものすらありません。

私はそうは思いません。セットアップは正しいように聞こえ、レコードを清掃する必要があります。清掃は、ゾーン、DNSサーバー、およびタイムスタンプ付きのリソースレコードに設定されます。

最初に明らかなもの-リソースレコードのセキュリティを確認します。システムおよびエンタープライズドメインコントローラーには通常、フルコントロールがあります。そして、拒否エントリはありません。

dns.exeのバージョンをチェックして、最新であることを確認します。2008 R1とR2の両方に、DNSレコードの廃棄と清掃の方法に関するバグがありました。

Windows Server 2008 R1:6.0.6002.23387
https://support.microsoft.com/en-us/kb/2962612

Windows Server 2008 R2:6.1.7601.22893
https://support.microsoft.com/en-us/kb/3022780

ゾーンがAD統合されていると想定しています。その場合、dnscmd.exe / zoneinfo zoneNameは、99.999%の時間のAD-Domain(またはAD-Forest)のディレクトリパーティションタイプを報告します。パーティションが別のゾーンに変更され、その後元に戻されて、そのプロセス中に何か問題が発生したゾーン、またはドメインコントローラーのプロビジョニング方法が原因で最初から予期された値でなかったゾーン、またはすべてのドメインコントローラーがないゾーンを見たことがあります。同じパーティションタイプを報告しました。

ADSIEditのfsmoRoleOwner属性でDC = DomainDNSZones、DC = domain、DC = comパーティションを確認してください。DomainDNSZonesとForestDNSZonesには、6番目/ 7番目のfsmo役割の所有者がいます。過去に何らかの損傷があり、パーティションを所有していた以前のドメインコントローラーが存在しなくなった場合、fsmoRoleOwner属性には0ADel:と以前のドメインコントローラーのGUIDが含まれます。これを修正するための詳細はここにあります:

http://blogs.technet.com/b/the_9z_by_chris_davis/archive/2011/12/20/forestdnszones-or-domaindnszones-fsmo-says-the-role-owner-attribute-could-not-be-read.aspx

通常の操作を妨害する可能性のあるもう1つの状況は、ゾーンの重複です。Ace Fekayの優れた記事はここにあります:

http://blogs.msmvps.com/acefekay/2009/09/02/using-adsi-edit-to-resolve-conflicting-or-duplicate-ad-integrated-dns-zones/

グレッグ・アスキュー
ソース
0

私はこれについてブライアンティストと一緒です。ここでもヘルプが表示されます。http//support.microsoft.com/kb/2791165

まず... DNSゾーンをリロードすることを確認してください...次に...基本的には、DNSCmdでスキャベンジできるDCが、DNSを実行しているDCであることを確認します。質問が古いため問題が解決しない場合は、この時点でそのKB記事に従ってください。Technetブログと一緒に使用すると、正しい方向に進むはずです。これを別の方法で解決してしまった場合は、ここに回答を投稿してください。

クリーナー
ソース
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.