계속해서 "영역을 청소할 수 있습니다"가 계속 증가합니다

10

무엇을하려고합니까?

약 100 개의 오래된 DNS 레코드가있는 DNS 영역에서 DNS 청소를 사용하려고합니다.

그것을 이루기 위해 무엇을 시도 했습니까?

모든 사람이 가장 좋아하는 TechNet 블로그 게시물 에 따라 DNS 청소를 설정했습니다. DNS 청소를 두려워하지 마십시오. 인내심을 가져.

먼저 모든 도메인 컨트롤러에서 청소를 비활성화했습니다.

DNSCmd . /ZoneResetScavengeServers contoso.com 192.168.1.1 192.168.1.2


그런 다음 DNS 영역에서 자동 청소를 활성화했습니다.

영역 에이징 / 청소 속성


그런 다음 도메인 컨트롤러 중 하나에서 DNS 청소를 활성화했습니다.

DNS 서버 글로벌 청소


그런 다음 몇 년 전에 팀 스탬프를 사용하여 삭제 할 것으로 예상되는 몇 가지 레코드를 발견하고 Delete this record when it becomes stale시간 스탬프가 실제로 설정되었는지 확인했습니다.

DNS 레코드 속성


마지막으로 영역을 다시로드하고 14 일을 기다렸습니다 (새로 고침 + 새로 고치지 않는 기간의 합계).

어떤 결과를 기대 했습니까?

DNS 서버 로그에 많은 DNS 레코드 삭제를 알리는 2501 이벤트가 나타날 것으로 예상했습니다.

실제로 무슨 일이 있었습니까?

아무 일도하지. 구역 에이징 / 청소 속성에 따르면 지난 주 6/12/2014 10:00:00 AM 후에 구역을 청소할 수 있습니다. 2501/2502 이벤트가 기록되지 않았습니다. "노화"타임 스탬프가있는 모든 레코드가 여전히 존재합니다.

추가 7 일 후에 6 / 18 / 2014 10:00:00 AM까지 영역을 청소할 수있는 날짜입니다.

내가 그날까지 14 일 이상을 지킬 때까지 그것을 이해함에 따라, 실제로 청소 조차 할 수 없을 것입니다 .

이벤트 로그에 기록 된 유일한 2501 이벤트는 마우스 오른쪽 단추를 클릭하고 "Scavenge Stale Resource Records"를 선택하여 트리거 한 것입니다. 청소는 오늘 아침 168 시간 안에 다시 실행을 시도합니다.

몇 달 동안 DNS 청소를 사용하도록 설정했으며 문제가 발생하기를 참을성있게 기다렸습니다. 영역을 여러 번 다시로드했습니다 (이 타임 스탬프를 재설정합니다).

내가 여기서 무엇을 놓치고 있습니까?

windows  windows-server-2008  domain-name-system  active-directory 
7 일마다 설정 한 청소 기간 인 2501/2502 이벤트가 있어야합니다. 2502 개 이상의 레코드가 청소되지 않았으며 작동하는 경우 2501 개는 일부 레코드가 청소되었다고 표시합니다. 어떤 이유로 작업이 실행되지 않는 것 같습니다.
Brian
2
이 명령 DNSCmd . /ZoneResetScavengeServers contoso.com 192.168.1.1 192.168.1.2은 모든 DC에 대해 청소를 반드시 비활성화하지는 않았습니다. 그것은 활성화 192.168.1.1 및 192.168.1.2에 대한 청소. 이 주소 중 하나가 DNS를 실행하고 있습니까? 도메인 컨트롤러 중 하나에서 청소를 사용하도록 설정했다고 말하면 DNS에서 설정의 스크린 샷이 표시되었습니다. 그러나 설정과이 명령은 서로 다른 두 가지 설정을하고 있습니다. 해당 DC의 IP 주소로이 명령을 다시 실행해야합니다. 벌써 했어?
briantist

답변:

1

이것은 오래되었지만 몇 가지 제안을 버리겠습니다.

내가 그날까지 14 일 이상을 지킬 때까지 내가 알기로는, 실제로는 청소조차 할 수 없을 것입니다.

나는 그렇게 생각하지 않습니다. 설정이 올바르게 들리고 레코드를 청소해야합니다. 영역, DNS 서버 및 타임 스탬프가있는 리소스 레코드에 대해 청소가 필요합니다.

명백한 사항-리소스 레코드의 보안을 확인하십시오. 시스템 및 엔터프라이즈 도메인 컨트롤러에는 일반적으로 모든 권한이 있습니다. 그리고 거부 항목이 없습니다.

dns.exe의 버전이 최신인지 확인합니다. 2008 R1과 R2는 모두 DNS 레코드가 삭제 표시되고 청소되는 방식에 버그가있었습니다.

Windows Server 2008 R1 : 6.0.6002.23387
https://support.microsoft.com/en-us/kb/2962612

Windows Server 2008 R2 : 6.1.7601.22893
https://support.microsoft.com/en-us/kb/3022780

영역이 AD 통합이라고 가정합니다. 그렇다면 dnscmd.exe / zoneinfo zoneName은 AD-Domain (또는 AD-Forest)의 디렉터리 파티션 유형을 99.999 %의 시간으로보고합니다. 파티션이 다른 것으로 변경된 영역을 확인한 후 다시 변경되어 해당 프로세스 중에 잘못된 부분이 발생했거나 도메인 컨트롤러가 프로비저닝 된 방식으로 인해 처음부터 예상되는 값이 없거나 일부 도메인 컨트롤러가 아닌 영역을 보았습니다. 동일한 파티션 유형을보고했습니다.

DC = DomainDNSZones, DC = domain, DC = com 파티션에 대한 ADSIEdit의 fsmoRoleOwner 속성을 확인하십시오. DomainDNSZones 및 ForestDNSZones는 6-6 번째 fsmo 역할 소유자를 갖습니다. 과거에 약간의 손상이 있었고 파티션을 소유 한 이전 도메인 컨트롤러가 더 이상 존재하지 않으면 fsmoRoleOwner 속성에 0ADel : 및 이전 도메인 컨트롤러의 guid가 포함됩니다. 수정에 대한 자세한 정보는 다음과 같습니다.

http://blogs.technet.com/b/the_9z_by_chris_davis/archive/2011/12/20/forestdnszones-or-domaindnszones-fsmo-says-the-role-owner-attribute-could-not-be-read.aspx

정상적인 작동을 방해 할 수있는 또 다른 상황은 중복 영역입니다. Ace Fekay는 훌륭한 글을 남겼습니다 :

http://blogs.msmvps.com/acefekay/2009/09/02/using-adsi-edit-to-resolve-conflicting-or-duplicate-ad-integrated-dns-zones/

그렉 비 스케
소스
0

나는 이것에 대해 briantist와 함께 있습니다. 도움이 필요하면 여기를 참조하십시오. http://support.microsoft.com/kb/2791165

먼저 ... DNS 영역을 다시로드해야합니다. 그런 다음 기본적으로 DNSCmd와 함께 청소할 수있는 DC가 DNS를 실행중인 DC인지 확인합니다. 질문이 오래 되었기 때문에 여전히 문제가 발생하면이 시점의 KB 기사를 따르십시오. Technet 블로그와 함께 올바른 방향으로 안내해야합니다. 이 다른 방법으로 해결하면 여기에 답변을 게시하면 도움이 될 것입니다!

청소부
소스
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.