Jump to content

DNS - alte Einträge werden nicht gelöscht


Recommended Posts

Hallo zusammen,

ich habe hierzu leider bisher nichts hilfreiches im Internet gefunden. Vielleicht hatte jemand ähnliches und kann weiterhelfen.
Wir haben 2 AD's (Windows Server 2019) mit DNS eingerichtet, die sich replizieren. AD01 ist dabei der prime. Es gibt keinen DHCP. Der User loggt sich mit einer Smart-Karte an den Clients ein, auf der feste IP Adressen vergeben sind (dies sind spezielle Security-Laptops), die sich dann über eine VPN verbinden.
Im DNS werden zwar die entsprechenden Einträge korrekt in der Forward- und Reverse-Lookupzonen eingetragen, aber ältere Einträge werden leider nicht gelöscht. Im DNS und in allen Zonen ist das Aufräumen eingerichtet (4 Tage).
Im Event-Log kommt lediglich die Meldung (Event-ID 2502):

Der DNS-Server hat den Aufräumzyklus abgeshlossen, aber es wurden keine Knoten besucht. Der Grund für diesen Zustand kann sein:

1) Es sind keine Zonen für das Aufräumen durch diesen Server konfiguriert.
2) Es ist Aufräumzyklus innerhalb der letzten 30 Minuten durchgeführt worden.

3) Während des Aufräumens ist ein Fehler aufgetreten.

Hat jemand eine Idee, wonach ich suchen müsste? Ich habe hier im Forum einen ähnlichen Fall von vor längerer Zeit gefunden. Aber da gab es leider keine Antwort drauf.
 

Edit:
Das habe ich übrigens bereits probiert, auch wenn schon relativ alt. Auch ohne Erfolg:

https://www.mcseboard.de/topic/144293-dns-alterung/#post886352

 

Grüße,

Matthias


 

Edited by MatzeMe
Infos hinzugefügt
Link to comment

Moin,

 

ja die Einträge haben ein Ablaufdatum. Ich muss dazu erwähnen, dass die Einrichtung des Aufräumens nach einigen sehr alten Einträgen gemacht wurde. Aber laut dem oben angehangen Beitrag sollte es damit dennoch danach funktionieren, oder hat sich hier was geändert? Aber auch neuere Einträge, die nach der Einrichtung erstellt wurden, werden leider nicht gelöscht.

Refresh und NoRefresh sind auf 4 Tage gesetzt.
 

Link to comment

Moin,

 

jaja, das Scavenging ... eine sehr simple Funktion, die leider total unübersichtlich implementiert ist und daher selten richtig konfiguriert wird. Da ich das gerade in der Firma durch habe (evtl. baue ich noch mal einen eigenen Artikel dazu), hier ein paar hilfreiche Links:

 

[Endlich Ordnung auf dem DNS-Server | faq-o-matic.net]
https://www.faq-o-matic.net/2006/04/30/endlich-ordnung-auf-dem-dns-server/

 

[Don't be afraid of DNS scavenging, just be patient - Windows Server | Microsoft Learn]
https://learn.microsoft.com/en-us/troubleshoot/windows-server/networking/dns-scavenging-setup

 

[How DNS Scavenging and the DHCP Lease Duration Relate | Microsoft Learn]
https://learn.microsoft.com/de-de/archive/blogs/askpfe/how-dns-scavenging-and-the-dhcp-lease-duration-relate

 

Einstellen musst du drei Stellen:

  • In den Eigenschaften der Zone das Scavenging-Häkchen setzen und "No-refresh" und "Refresh" setzen
    (wichtig: in den Eigenschaften der Zone, nicht per Rechtsklick auf den Server. Da kommt ein nahezu identisch aussehendes Dialogfeld, das aber für bestehende Zonen keine Auswirkung hat)
  • In den Eigenschaften der Einträge prüfen, dass das Häkchen zum Aufräumen gesetzt ist (ist Standard, aber vielleicht ausdrücklich abgeschaltet worden)
  • In den Eigenschaften des DNS-Servers aktivieren, dass er auch aufräumen soll

Und ein bisschen Best Practice dazu:

  • Nur ein einziger DNS-Server sollte aufräumen, nicht mehrere. Sonst weiß man nie, wer es wann tut.
  • Der Server soll jeden Tag aufräumen, alles andere ist unsinnig.
  • No-Refresh und Refresh sollten in einer DHCP-Umgebung mit der Lease-Dauer abgestimmt sein - grob vereinfacht: No-Refresh plus Refresh gleich Lease-Dauer

Danach gibt es leider immer noch Dinge, die es scheitern lassen können, z.B. Berechtigungen auf den DNS-Einträgen. Wie "alt" die Einträge sind, ist egal, es wird einfach geprüft, ob No-Refresh plus Refresh abgelaufen ist.

 

Gruß, Nils

 

  • Thanks 4
Link to comment

Hallo Nils,

vielen Dank erst einmal für die ausfühliche Antwort und die Links. Ich bin nochmal alles durch gegangen anhand der Beschreibungen, habe aber eigentlich alles so eingerichtet, wie beschrieben.

Ich bin gerade dabei, daheim nochmal ein "sauberes" ähnliches Testsystem aufzubauen und das dort nochmal zu probieren. Vielleicht ist ja doch irgend eine Kleinigkeit anders, die ich gerade nicht entdecke.
Ich gebe nochmal Rückmeldung.

 

Grüße,
Matthias

Link to comment
  • 2 weeks later...

Hallo zusammen,

 

ich schulde noch eine Rückmeldung.
Das Test-System hatte mit den o.a. Hinweisen der Konfiguration ohne Probleme wie gewünscht sofort funktioniert.
In unserer Live-Umgebung habe ich daraufhin ein wenig weiter "herumgespielt" und nach und nach Settings verändert - deshalb auch die etwas späte Rückmeldung. Irgendwann hatte es auch hier funktioniert. Allerdings: ich kann nicht sagen, was genau das Problem war. Denn: ich habe wiederum rückwärts nach und nach die Änderungen der Settings rückgängig gemacht, bis zum Zustand, als ich hier geschrieben hatte. Und was soll ich sagen, es funktioniert weiterhin...
Einerseits bin ich glücklich, das es nun funktioniert. Andererseits bin ich jemand, der gerne die Ursache herausfinden will. Das sind immer Dinge, die man gern als Erfahrung mitnehmen möchte. Aber hier ist leider wieder so ein Fall, den man wahrscheinlich nicht ohne Weiteres erklären kann. Schade.
Dennoch, vielen Dank nochmal für eure Unterstützung!

Grüße,

Matthias

 

Edited by MatzeMe
  • Like 1
Link to comment

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...