Jump to content
Sign in to follow this  
BaSe

AD DNS aufräumen.

Recommended Posts

Ich habe 2 AD integr. DNS Server auf den bisher kein Alterung/Aufräumvorgang lief. Da ich vor kurzem bei uns NetBios auf den Clientmaschinen deaktiviert habe kommt es bei manchen zu einer fehlerhaften Auflösung weil manche IP´s mehere Clients zugeordnet sind.

 

Ich muß noch dazu erwähnen das auf dem DHCP Server DNS dynamic Updates konfiguriert ist.

 

Ich habe jetzt folgendes vorgenommen:

 

- In den Serverproperties des DNS unter erweitert den Haken für den Aufräumprozess gesetzt (7 Tage)

In einer Reversezone die Alterung aktiviert(7-7). In der Zone steht als Datum für den Aufräumvorgang der 1.1.1601 1.00 Uhr drin.

 

Jetzt habe ich den Aufräumprozess manuell angestoßen und aEvent 2502 wurde ausgegeben:

Der DNS-Server hat den Aufräumzyklus abgeschlossen, aber es wurden keine Knoten besucht. Der Grund für diesen Zustand kann sein:

 

1) Es sind keine Zonen für das Aufräumen durch diesen Server konfiguriert.

2) Es ist ein Aufräumzyklus innerhalb der letzten 30 Minuten durchgeführt worden.

3) Während des Aufräumens ist ein Fehler aufgetreten.

 

Der nächste Aufräumzyklus ist für die nächsten 168 Stunden geplant.

 

Wenn ich mir jetzt das Alterungsdatum der Reversezone anschau steht der 1.12.2008 12.00 Uhr drin, die veralteten Reverseeinträge wurden aber nicht bereinigt(obwohl manche den Zeitstempel von 7.11.2008 tragen).

 

Macht er die erste Bereinigung jetzt erst am 1.12 obwohl als erster Wert der 1.1.1601 angegeben war?

 

 

Mein 2tes Problem ist, ich möchte konfigurieren das nur ein Server den Bereinigungsjob durchführt:

 

Muß ich auch für jede Reversezone dnscmd / zoneresetscavengeservers durchführen. In welchem Format geb ich die Reversezone an?

 

dnscmd server1.hamburg.test.de /zoneresetscavengeservers 1.107.131.in-addr.arpa 131.107.0.9 ??

Share this post


Link to post

Hi BaSe,

 

der Scavenging wird meines Wissens nur angestoßen, wenn beim Erstellen des DNS-Eintrags das Scavenging schon aktiviert war (Server als auch Zone). Nur dann wird das entsprechende Tombstone Attribut auf dem Objekt geschrieben.

 

DU müßtest also überlegen, ob es für Dich sinnvoll ist, die DNS Einträge manuell zu löschen - bei neuen Einträgen greift dann das Tombstone Attribut. Ich würde jedoch Abstand davon nehmen, einfach "alle Einträge" zu löschen - das kann schwerwiegende Konsequenzen für den Produktionsbetrieb nach sich ziehen.

 

Bezüglich der Reverse DNS Zone: Das sollte so hinkommen, ich bin mir jedoch nicht 100% sicher. (In einer Testumgebung) Probieren geht über studieren. ;)

 

Viele Grüße

olc

Share this post


Link to post

je nach größe macht es hier sicher schon Sinn ein Skript über eine Dokumentationstabelle (falls vorhanden) oder durch das Netzwerk laufen zu lassen. Also per Powershell Skrtip oder so. Wird sicher ein bisschen Aufwand sein, kommt aber eben auf die Zeit an die man manuell bräuchte. bei einer großen Zone kann das schon mal was dauern :)

Share this post


Link to post

Gut, dann werd ich wohl alle Clients vom DNS Server schmeißen müssen was ich natürlich unschön finde, da hätte MS mal bisserl mehr nachdenken sollen für Fälle in denen das später konfiguriert wird :)

 

Mit der Powershell hab ich überhaupt noch nichts gemacht...ist leider ein Zeit Problem, selbst wenn würde ich deinen Ansatz nicht kennen wie man so etwas bewerkstelligt.

 

Kann man denn überhaupt sehen ob dieses Attribut gesetzt ist?

Share this post


Link to post

Hi,

 

wie gesagt - sei mit dem Löschen _aller_ Einträge vorsichtig, das kann Probleme geben...

 

da hätte MS mal bisserl mehr nachdenken sollen für Fälle in denen das später konfiguriert wird

 

Na ja, wie man es nimmt. Ein Spitzbube würde jetzt sagen, daß Ihr beim Design hättet besser planen sollen. :p

 

Es kann Probleme mit den Tombstones geben, wenn man die Zonen auf DNS Server anderer Hersteller überträgt (etwa BIND o.ä.). Daher hat MS das sicherlich bewußt nicht standardmäßig aktiviert.

 

Schau einmal in den folgenden Blog Eintrag, dieser Beschreibst das ganze meines Erachtens recht gut: DNS CONCEPTS

 

Viele Grüße

olc

Share this post


Link to post

Hi,

 

noch ein Nachtrag: Man kann offensichtlich alle Einträge manuell "anfassen", indem man "DNSCMD /AgeAllRecords" ausführt, siehe How DNS Works: Domain Name System(DNS)

In the case of changing a zone from standard primary to Active Directory–integrated, you might want to enable scavenging of all existing resource records in the zone. To enable aging for all existing resource records in a zone, you can use the AgeAllRecords command, which is available through the dnscmd command-line tool.

 

Das Löschen aller Einträge ist also nicht notwendig.

 

Schau auch noch einmal in den folgenden Thread (loop ;) ...): https://www.mcseboard.de/windows-forum-ms-backoffice-31/dns-alterung-144293.html#post886352

 

Viele Grüße

olc

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...