Freigeben über

Einrichten von DNS-Gerüsten

  • Artikel

In diesem Artikel wird erläutert, wie Sie das Dns-Gerüst (Domain Name System) einrichten und ein Beispiel für das Einrichten eines Gerüsts für eine bereits vorhandene Zone angeben.

Durch das Gerüst werden veraltete Einträge in DNS gelöscht (gelöscht). Da die Löschung beteiligt ist, sind viele Sicherheitsventile in Gerüste eingebaut, was eine lange Zeit dauert, um das Gerüst zu ermöglichen.

Notiz

Dieser Artikel konzentriert sich auf das am häufigsten verwendete Windows-DNS-Szenario: Windows Server-DNS-Server, die Active Directory (AD)-integrierte Zonen hosten.

In Windows Server sollte das Gerüst an allen folgenden drei Stellen festgelegt werden:

  1. Für den einzelnen Ressourcendatensatz, der gerüstet werden soll.
  2. Auf einer Zone, die gerüstet werden soll.
  3. Auf mindestens einem Server, auf dem ein Gerüst ausgeführt wird.

Gerüsteinstellungen für den Ressourcendatensatz

Wählen Sie in der DNS Microsoft Management Console (MMC) "Erweitert anzeigen>" aus, und überprüfen Sie die Eigenschaften eines Ressourceneintrags, um die Gerüsteinstellungen anzuzeigen. Zum Beispiel:

Screenshot der Überprüfung der Eigenschaften eines Ressourcendatensatzes, um die Gerüsteinstellungen anzuzeigen.

Das Gerüst für einen Ressourcendatensatz kann in drei Methoden festgelegt werden:

  • Als Erstes wird das Kontrollkästchen "Diesen Datensatz löschen" überprüft, wenn es veraltet wird, und wählen Sie "Übernehmen" aus. Wenn Sie "Übernehmen" auswählen, wird die aktuelle Zeit auf die nächste Stunde aufgerundet und als Zeitstempel auf den Datensatz angewendet. Der Zeitstempel statischer Datensätze ist 0, der angibt, dass sie nicht gerüstet werden.
  • Die zweite Möglichkeit besteht darin, dass ein Eintrag von einem Clientcomputer erstellt wird, der mithilfe von dynamischem DNS (DDNS) registriert wird. Windows-Clients aktualisieren DNS alle 24 Stunden dynamisch. Alle DDNS-Datensätze werden auf ein Gerüst festgelegt. Wenn ein Datensatz zum ersten Mal von einem Client erstellt wird, der keinen vorhandenen Datensatz aufweist, wird er als "Update" betrachtet und ein Zeitstempel festgelegt. Wenn der Client über einen vorhandenen Hostdatensatz verfügt und die IP des Hostdatensatzes ändert, wird dies auch als "Update" betrachtet, und ein Zeitstempel wird festgelegt. Wenn der Client über einen Hostdatensatz mit derselben IP-Adresse verfügt, gilt dies als "Aktualisieren", und ob sich der Zeitstempel ändert, hängt von den Zoneneinstellungen ab.
  • Die dritte Möglichkeit zum Festlegen der Gerüsterstellung für Datensätze ist die Verwendung des Befehls "dnscmd /ageallrecords ". Wenn Sie diesen Befehl für eine Zone ausführen, wird das Gerüst und ein Zeitstempel für alle Datensätze in der Zone festgelegt, einschließlich statischer Datensätze, die Sie nicht gerüstet werden möchten.

Sobald ein Zeitstempel für einen Datensatz festgelegt ist, wird er auf allen Servern repliziert, auf denen die Zone gehostet wird.

Notiz

Wenn die Zone, in der der Datensatz gehostet wird, das Gerüst nicht aktiviert, wird sie nicht gerüstet, sodass der Zeitstempel irrelevant ist. Der Zeitstempel kann auf dem Server aktualisiert werden, auf dem sich der Client dynamisch registriert, aber nicht auf anderen Servern in der Zone repliziert wird.

Gerüsteinstellungen für die Zone

Bevor ein Server einen Datensatz überprüft, um festzustellen, ob er gerüstet wird, sollte die Zone ein Gerüst aktiviert haben. Um auf die Gerüsteinstellungen einer Zone zuzugreifen, klicken Sie mit der rechten Maustaste auf die Zone, wählen Sie "Eigenschaften" aus, und wählen Sie dann auf der Registerkarte "Allgemein" die Option "Altern" aus.

Screenshot der Zone Aging Scavenging-Eigenschaftenfenster.

Notiz

Der Screenshot ist auf jedem DNS-Server identisch, auf dem diese Zone repliziert wird.

Wenn Sie zum ersten Mal ein Gerüst für eine Zone festlegen, wird der Zeitstempel (unten angezeigt) auf die aktuelle Tageszeit (aufgerundet auf die nächste Stunde) und das Aktualisierungsintervall festgelegt. Diese Einstellung wird auch zurückgesetzt, wenn die Zone geladen oder dynamische Updates in der Zone aktiviert sind.

Notiz

Wenn die Zone nicht angezeigt wird, kann die Zone nach dem Zeitstempel gerüstet werden, laden Sie die Zone neu.

Die Zone kann nach dem Zeitstempel gerüstet werden, ist das erste Sicherheitsventil. Es gibt Clients Zeit, um ihre Datensatzzeitstempel zu aktualisieren. Da neue Datensatzzeitstempel nicht repliziert werden, wenn das Zonengerüst deaktiviert ist, gibt dies auch Replikationszeit, um Die Dinge in ordnung zu halten.

Aktualisierungs- und Keine Aktualisierungsintervalle

Die nächsten Sicherheitsventile sind die Aktualisierungs- und No-Refresh-Intervalle. Nachdem beide Intervalle verstrichen sind, kann ein Datensatz gelöscht werden.

Das No-Refresh-Intervall ist ein Zeitraum, in dem ein Ressourcendatensatz nicht aktualisiert werden kann. Eine "Aktualisierung" ist eine dynamische Aktualisierung, bei der Sie den Hostressourcendatensatz nicht ändern. berühren Sie einfach den Zeitstempel. Wenn ein Client die IP eines Hostdatensatzes ändert, gilt dies als "Update" und ist vom No-Refresh-Intervall ausgenommen. Der Zweck eines No-Refresh-Intervalls besteht darin, den Replikationsverkehr zu reduzieren. Eine Änderung an einem Datensatz bedeutet, dass die Änderung repliziert werden soll.

Nachdem der Zeitstempel des Datensatzes plus keine Aktualisierungsintervall abgelaufen ist, können Sie ein Aktualisierungsintervall eingeben. Das Aktualisierungsintervall ist die Zeit, zu der aktualisierungen auf den Zeitstempel zulässig sind. Der Client darf in den Zeitstempel kommen und aktualisieren. Dieser Zeitstempel wird repliziert, und das No-Refresh-Intervall wird erneut gestartet. Wenn der Client seinen Datensatz während des Aktualisierungsintervalls nicht aktualisieren kann, kann er gerüstet werden.

Notiz

Wenn Sie die Aktualisierungs- und "Keine Aktualisierungsintervalle" festlegen, lassen Sie genügend Zeit für Clients, während des Aktualisierungsintervalls mehrere Registrierungsversuche durchzuführen. Wenn Sie dies nicht tun, kann ein Datensatz aufgrund eines fehlgeschlagenen Aktualisierungsversuchs zur Gerüsterstellung berechtigt sein.

Wenn Sie mit der rechten Maustaste auf Ihren Server klicken und "Altern/Gerüst für alle Zonen festlegen" auswählen , wird ein Screenshot ähnlich dem oben gezeigten angezeigt. Diese Option legt die Standardeinstellungen fest, die verwendet werden, wenn dieser Server eine neue Zone erstellt. Sofern Sie nicht das Kontrollkästchen "Diese Einstellungen auf die vorhandenen integrierten Active Directory-Zonen anwenden" aktivieren, wirkt sich die Einstellung nicht auf vorhandene Zonen aus.

Gerüsteinstellungen auf dem Server

Um das Gerüst auf dem Server festzulegen, klicken Sie mit der rechten Maustaste auf den Server im MMC, und wählen Sie "Eigenschaften" aus. Aktivieren Sie dann auf der Registerkarte "Erweitert" auf der Registerkarte "Erweitert" das Kontrollkästchen "Automatisches Gerüst für veraltete Datensätze aktivieren":

Screenshot der Servereigenschaften mit aktiviertem Kontrollkästchen

Der Wert des Gerüstzeitraums ist, wie oft dieser Server ein Gerüst erstellt. Wenn ein Server ein Gerüst erstellt, protokolliert er eine DNS-Ereignis-ID 2501, um anzugeben, wie viele Einträge abgewölbt werden. Wenn keine Datensätze gerüstet werden, wird die Ereignis-ID 2502 protokolliert. Es ist nur ein Server erforderlich, um ein Gerüst zu erstellen, da die Zonendaten auf allen Servern repliziert werden, auf denen die Zone gehostet wird.

Tipp

Wenn Sie den Zeitstempel für die neueste Ereignis-ID 2501 oder 2502 abrufen und den Gerüstzeitraum hinzufügen, können Sie genau feststellen, wann ein Server versucht, ein Gerüst zu erstellen.

Obwohl Sie jeden Server festlegen können, auf dem die Zone gerüstet wird, empfehlen wir, nur einen Satz festzulegen. Wenn der Server nicht gerüstet werden kann, hat er keine schwerwiegenden Auswirkungen. Sie haben einen Ort, um nach dem Verdacht und einer Reihe von Protokollen zu suchen, die überprüft werden sollen. Wenn Viele Server auf Gerüst festgelegt sind, müssen Sie viele Protokolle überprüfen, ob das Gerüst fehlschlägt.

Um zu steuern, welcher Server für eine Zone gerüstet wird, können Sie den dnscmd-Befehl verwenden, um genau anzugeben, welche Server gerüstet werden können. Mit dem dnscmd /zoneresetscavengeservers contoso.com 192.168.1.1 192.168.1.2 Befehl können beispielsweise nur DNS-Server mit IP-Adressen von 192.168.1.1 und 192.168.1.2 für die contoso.com Zone gerüstet werden.

Gerüst für Prozess- und Endprüfungen

Sie können einen Gerüstversuch auch manuell initiieren, indem Sie mit der rechten Maustaste auf den Server klicken und scavenge Stale Resource Records auswählen. Beachten Sie, dass manuelle Versuche die Sicherheitsventile nicht umgehen.

Überprüfen Sie Folgendes, bevor Sie die veralteten Datensätze löschen:

  • Ist das Gerüst für die Zone aktiviert?
  • Ist dynamisches Update in der Zone aktiviert?
  • Wird der Gerüstserver als einer der Gerüstserver für die Zone aufgeführt?
  • Ist die "Zone kann nach" Zeitstempel in der Zone überschritten werden?
    Auf diese Weise können die Clients und die AD-Replikation vorbereitet werden, bevor Sie beginnen.
  • Ist es länger als das Aktualisierungsintervall seit der letzten Replikation dieser Zone in Active Directory?
    Wenn die Gerüsterstellung auf einem Server mit Replikationsproblemen aktiviert ist, kann dies dazu beitragen, unnötige Versteinerungen von Datensätzen zu verhindern, die auf anderen Servern möglicherweise noch gültig sind.

Wenn alle oben genannten Prüfungen bestanden werden, ist die Zone bereit für das Gerüst. An diesem Punkt überprüft der Gerüstserver den Zeitstempel für jeden Ressourcendatensatz. Wenn das aktuelle Datum und die aktuelle Uhrzeit größer als der Zeitstempel plus keine Aktualisierungs- und Aktualisierungsintervalle sind, wird der Datensatz gelöscht.

Beispiel: Einrichten eines Gerüsts für eine bereits vorhandene Zone

Hier ist ein Beispiel für das Einrichten eines Gerüsts für eine bereits vorhandene Zone. Dieses Verfahren ist für maximale Sicherheit ausgelegt. Bei Verwendung von Standardeinstellungen kann dieser Vorgang vier bis fünf Wochen dauern (zwei Wochen für die Sanity-Überprüfungsphase und zwei bis drei Wochen für die Aktivierungsphase).

Einrichtungsphase

  1. Deaktivieren Sie das Gerüst für alle Server. Sie können den dnscmd /zoneresetscavengeservers Befehl verwenden, um das Gerüst auf einen einzelnen Server zu beschränken, und stellen Sie dann sicher, dass dieser Server das Gerüst deaktiviert hat.
  2. Aktivieren Sie das Gerüst für die Zonen, die Sie gerüsten möchten. Legen Sie die Aktualisierungs- und Aktualisierungsintervalle auf Wunsch fest. Um effektiver zu gerüsten, empfehlen wir, das Intervall "No-refresh" zu verringern und das Aktualisierungsintervall standardmäßig zu verlassen.
  3. Fügen Sie das heutige Datum sowie die Aktualisierungs- und No-Refresh-Intervalle hinzu. Kommen Sie in ein paar Wochen zurück, wenn diese Zeit abgelaufen ist.

Phase der Sanity-Prüfung

Suchen Sie nach Einträgen, die älter als das Refresh plus No-Refresh-Intervall in Ihren DNS-Einträgen sind. Wenn sie sehen, gibt es ein Problem mit dem dynamischen Registrierungsprozess, der behoben werden sollte, bevor Sie fortfahren. Eine gründliche Überprüfung an diesem Punkt ist der wichtigste Schritt im Setup.

Was Sie überprüfen sollten, wenn Sie alte Datensätze finden:

  • Funktioniert der ipconfig /registerdns Befehl?
  • Wer ist der Besitzer des Datensatzes (siehe Registerkarte "Sicherheit " in den Datensatzeigenschaften)?
  • Wird der Datensatz statisch von einem Administrator erstellt und dann für das Gerüst aktiviert? Wenn ja, müssen Sie den Datensatz löschen, um den Besitz zu löschen und den ipconfig /registerdns Befehl auszuführen, um ihn zu aktualisieren.
  • Funktioniert die Active Directory-Replikation des Servers ordnungsgemäß?

Fahren Sie nicht fort, es sei denn, Sie können veraltete Datensätze erklären. In der nächsten Phase werden sie gelöscht.

Aktivierungsphase

Sie können den dnscmd /zoneresetscavengeservers Befehl verwenden, um das Gerüst auf einem einzelnen Server zu aktivieren.

Nachdem das Gerüst aktiviert ist, erstellen Sie einen neuen Testdatensatz, und aktivieren Sie ihn zum Gerüsten. Ordnen Sie dann den Zeitpunkt ab, an dem dieser Datensatz verschwindet. Im Folgenden werden die Schritte aufgeführt:

  1. Beginnen Sie mit dem Zeitstempel für den Datensatz.
  2. Fügen Sie das Aktualisierungsintervall hinzu.
  3. Fügen Sie das No-Refresh-Intervall hinzu.
  4. Das Ergebnis ist Ihre "berechtigungsberechtigte Gerüst"-Zeit. Der Datensatz wird zurzeit jedoch nicht mehr verschwinden.
  5. Überprüfen Sie Ihre DNS-Ereignisprotokolle für Ereignis-IDs 2501 und 2502, um zu ermitteln, wann der DNS-Server das Gerüst ausführt.
  6. Suchen Sie basierend auf Ihrer Zeit "berechtigt zum Gerüst" die neueste Ereignis-ID 2501 oder Ereignis-ID 2502, und fügen Sie den Gerüstzeitraum des Servers (von der Registerkarte "Erweitert " der Servereigenschaften) hinzu.
  7. Dies ist der Zeitpunkt, an dem der Testdatensatz verschwindet.

Zum Beispiel:

  • Eine Zone wird auf ein 3-tägiges Aktualisierungsintervall und ein 3-tägiges Aktualisierungsintervall festgelegt.
  • Der Servergerüstzeitraum ist auf drei Tage festgelegt.
  • Die letzte DNS-Ereignis-ID 2501 oder 2502 ist am 1.1.2008 um 6 Uhr aufgetreten.
  • Sie haben einen Datensatz mit einem Zeitstempel vom 1.1.2008 um 12:00 Uhr (Mittag).

Angesichts dieser Annahmen können Sie vorhersagen, dass der Datensatz am 1.10.2008 um ca. 6 Uhr gelöscht wird. Hier ist ein Diagramm des Beispiels.

Diagramm einer Vorhersage über den zu löschenden Datensatz.

Nachdem das Gerüst aktiviert ist, können Sie regelmäßig überprüfen, ob sie nach den Ereignissen 2501 und 2502 suchen, um zu sehen, wie die Dinge laufen. Sie können auch zu dem vorhergesagten Datum und der vorhergesagten Uhrzeit zurückkehren und sehen, ob Ihr Testdatensatz verschwunden ist.