Compartir a través de

Configuración de scavenging de DNS

  • Artículo

En este artículo se describe cómo configurar el scavenging del sistema de nombres de dominio (DNS) y se proporciona un ejemplo de cómo configurar el scavenging en una zona preexistente.

El scavenging limpia (elimina) registros obsoletos en DNS. A medida que la eliminación está implicada, muchas válvulas de seguridad están integradas en scavenging, lo que tarda mucho tiempo en habilitar el scavenging.

Nota:

Este artículo se centra en el escenario de DNS de Windows más común: servidores DNS de Windows Server que hospedan zonas integradas de Active Directory (AD).

En Windows Server, el scavenging debe establecerse en los tres lugares siguientes:

  1. En el registro de recursos individual que se va a guardar.
  2. En una zona que se va a guardar.
  3. En uno o varios servidores que realizan scavenging.

Configuración de scavenging en el registro de recursos

En dns Microsoft Management Console (MMC), seleccione Ver>avanzadas y compruebe las propiedades de un registro de recursos para ver la configuración de scavenging. Por ejemplo:

Captura de pantalla de la comprobación de las propiedades de un registro de recursos para ver la configuración de scavenging.

El scavenging en un registro de recursos se puede establecer en tres métodos:

  • La primera es comprobar la casilla Eliminar este registro cuando se vuelve obsoleta y activa Aplicar. Al seleccionar Aplicar, la hora actual se redondea hacia abajo hasta la hora más cercana y se aplica como marca de tiempo en el registro. La marca de tiempo de los registros estáticos es 0, lo que indica que no se han guardado.
  • La segunda forma es cuando una máquina cliente crea un registro mediante DNS dinámico (DDNS). Los clientes de Windows actualizan dinámicamente DNS cada 24 horas. Todos los registros DDNS se establecen en scavenge. Cuando un cliente crea por primera vez un registro que no tiene ningún registro existente, se considera "Actualizar" y se establece una marca de tiempo. Si el cliente tiene un registro de host existente y cambia la dirección IP del registro de host, también se considera una "actualización" y se establece una marca de tiempo. Si el cliente tiene un registro de host existente con la misma dirección IP, se considera "Actualizar" y si la marca de tiempo cambia depende de la configuración de zona.
  • La tercera manera de establecer el scavenging en los registros es usar el comando dnscmd /ageallrecords . Si ejecuta este comando en una zona, establecerá scavenging y una marca de tiempo para todos los registros de la zona, incluidos los registros estáticos que no desea guardar.

Una vez establecida una marca de tiempo en un registro, se replicará en todos los servidores que hospedan la zona.

Nota:

Si la zona que hospeda el registro no habilita el scavenging, no se descavenecerá, por lo que la marca de tiempo es irrelevante. La marca de tiempo se puede actualizar en el servidor donde el cliente se registra dinámicamente, pero no se replicará en otros servidores de la zona.

Configuración de scavenging en la zona

Antes de que un servidor compruebe un registro para ver si se va a aplicar scavenging, la zona debe tener habilitada la eliminación de scavenging. Para acceder a la configuración de scavenging de una zona, haga clic con el botón derecho en la zona, seleccione Propiedades y, a continuación, seleccione Envejecimiento en la pestaña General .

Captura de pantalla de la ventana Propiedades de scavenging de envejecimiento de zona.

Nota:

La captura de pantalla es la misma en cualquier servidor DNS donde se replique esta zona.

Cuando se establece el scavenging por primera vez en una zona, la marca de tiempo (vista en la parte inferior) se establece en la hora actual del día (redondeada hacia abajo hasta la hora más cercana) más el intervalo de actualización. Esta configuración también se restablece siempre que la zona se cargue o se habilite las actualizaciones dinámicas en la zona.

Nota:

Si no ve la zona se puede guardar después de la marca de tiempo, vuelva a cargar la zona.

La zona puede ser escarbatada después de la marca de tiempo es la primera válvula de seguridad. Proporciona a los clientes tiempo para actualizar sus marcas de tiempo de registro. Dado que las nuevas marcas de tiempo de registro no se replican cuando se deshabilita el scavenging de zona, esto también proporciona tiempo de replicación para mantener las cosas en orden.

Intervalos de actualización y sin actualización

Las siguientes válvulas de seguridad son los intervalos De actualización y Sin actualización. Una vez transcurridos ambos intervalos, se puede eliminar un registro.

El intervalo sin actualización es un período de tiempo durante el que no se puede actualizar un registro de recursos. Una "Actualización" es una actualización dinámica en la que no se cambia el registro de recursos del host; simplemente toque la marca de tiempo. Si un cliente cambia la dirección IP de un registro de host, se considera una "Actualización" y está exenta del intervalo sin actualización. El propósito de un intervalo sin actualización es reducir el tráfico de replicación. Un cambio en un registro significa que se debe replicar el cambio.

Después de que haya transcurrido la marca de tiempo del registro más el intervalo sin actualización, puede escribir un intervalo de actualización. El intervalo de actualización es la hora en que se permiten las actualizaciones a la marca de tiempo. El cliente puede entrar y actualizar su marca de tiempo. Esta marca de tiempo se replicará y el intervalo sin actualización se iniciará de nuevo. Si el cliente no puede actualizar su registro durante el intervalo de actualización, es apto para ser guardado.

Nota:

Al establecer los intervalos De actualización y Sin actualización, permita tiempo suficiente para que los clientes realicen varios intentos de registro durante el intervalo de actualización. Si no lo hace, es posible que un registro sea apto para el scavenging debido a un intento de actualización con errores.

Si hace clic con el botón derecho en el servidor y selecciona Establecer envejecimiento/Scavenging para Todas las zonas..., verá una captura de pantalla similar a la anterior. Esta opción establece la configuración predeterminada que se usará cuando este servidor cree una nueva zona. A menos que active la casilla Aplicar esta configuración a las zonas integradas en Active Directory existentes, la configuración no afecta a las zonas existentes.

Configuración de scavenging en el servidor

Para establecer el scavenging en el servidor, haga clic con el botón derecho en el servidor en MMC y seleccione Propiedades. A continuación, active la casilla Habilitar scavenging automático de registros obsoletos en la pestaña Avanzadas de la siguiente manera:

Captura de pantalla de las propiedades del servidor con la casilla Habilitar scavenging automático de registros obsoletos activada en la pestaña Opciones avanzadas.

El valor del período de scavenging es la frecuencia con la que este servidor se revenece. Cuando un servidor se revenge, registra un identificador de evento DNS 2501 para indicar cuántos registros se almacenan en scavenging. Si no se aplica scavenged a ningún registro, se registra el identificador de evento 2502. Solo se requiere un servidor para escavengar, ya que los datos de zona se replican en todos los servidores que hospedan la zona.

Sugerencia

Al obtener la marca de tiempo en el identificador de evento 2501 o 2502 más reciente y agregarle el período de scavenging, puede indicar exactamente cuándo un servidor intentará escavenir.

Aunque puede establecer todos los servidores que hospedan la zona en scavenge, se recomienda tener un solo conjunto. Si el servidor no puede vengarse, no tendrá un impacto grave. Tendrá un lugar para buscar la sospecha y un conjunto de registros que se van a comprobar. Si tiene muchos servidores establecidos en scavenge, tiene muchos registros para comprobar si se produce un error en el scavenging.

Para controlar qué servidor está scavenging para una zona, puede usar el comando dnscmd para especificar exactamente qué servidores pueden purgar. Por ejemplo, el dnscmd /zoneresetscavengeservers contoso.com 192.168.1.1 192.168.1.2 comando solo permite que los servidores DNS con direcciones IP de 192.168.1.1 y 192.168.1.2 se avenguen en la contoso.com zona.

Proceso de scavenging y comprobaciones finales

También puede iniciar manualmente un intento de scavenging haciendo clic con el botón derecho en el servidor y seleccionando Registros de recursos obsoletos de Scavenge. Tenga en cuenta que los intentos manuales no omitirán las válvulas de seguridad.

Compruebe lo siguiente antes de eliminar los registros obsoletos:

  • ¿Está habilitada la scavenging en la zona?
  • ¿Está habilitada la actualización dinámica en la zona?
  • ¿El servidor de scavenging aparece como uno de los servidores de scavenging para la zona?
  • ¿Se supera la marca de tiempo "zona después" en la zona?
    Esto permite que los clientes y la replicación de AD se preparen antes de empezar.
  • ¿Ha pasado más tiempo que el intervalo de actualización desde que esta zona se replique por última vez en Active Directory?
    Si el scavenging está habilitado en un servidor que tiene problemas de replicación, esto puede ayudar a evitar la eliminación innecesaria de registros que pueden seguir siendo válidos en otros servidores.

Si se pasan todas las comprobaciones anteriores, la zona está lista para el scavenging. En este momento, el servidor de scavenging comprueba la marca de tiempo en cada registro de recursos. Si la fecha y hora actuales son mayores que la marca de tiempo más los intervalos Sin actualización y Actualización, se elimina el registro.

Ejemplo: Configuración de la aplicación de scavenging en una zona preexistente

Este es un ejemplo de configuración de la aplicación de scavenging en una zona preexistente. Este procedimiento está diseñado para la máxima seguridad. Si usa la configuración predeterminada, este proceso puede tardar cuatro a cinco semanas (dos semanas para la fase de comprobación de integridad y dos a tres semanas para la fase de habilitación).

Fase de configuración

  1. Desactive el scavenging en todos los servidores. Puede usar el comando para limitar el dnscmd /zoneresetscavengeservers scavenging a un solo servidor y, a continuación, asegurarse de que este servidor tiene deshabilitado el scavenging.
  2. Active el scavenging en las zonas que desea vengar. Establezca los intervalos De actualización y Sin actualización según sea necesario. Para recuperar más eficazmente, se recomienda reducir el intervalo sin actualización y dejar el intervalo de actualización en el valor predeterminado.
  3. Agregue la fecha de hoy más los intervalos De actualización y Sin actualización. Vuelva en unas semanas cuando haya transcurrido este tiempo.

Fase de comprobación de integridad

Busque los registros anteriores al intervalo Actualizar más Sin actualización en los registros DNS. Si ve alguno, hay un problema con el proceso de registro dinámico, que debe corregirse antes de continuar. Una comprobación exhaustiva en este punto es el paso más importante de la configuración.

Cosas que se deben comprobar si encuentra registros antiguos:

  • ¿Funciona el ipconfig /registerdns comando?
  • ¿Quién es el propietario del registro (consulte la pestaña Seguridad en las propiedades del registro)?
  • ¿El registro se crea estáticamente por un administrador y, a continuación, está habilitado para el scavenging? Si es así, debe eliminar el registro para borrar la propiedad y ejecutar el ipconfig /registerdns comando para actualizarlo.
  • ¿La replicación de Active Directory del servidor funciona correctamente?

No continúe a menos que pueda explicar los registros obsoletos. En la siguiente fase, se eliminarán.

Fase de habilitación

Puede usar el dnscmd /zoneresetscavengeservers comando para habilitar el scavenging en un solo servidor.

Una vez habilitado el scavenging, cree un nuevo registro de prueba y habilite para el scavenging. A continuación, asigne el momento en que este registro desaparece. He aquí los pasos:

  1. Comience con la marca de tiempo del registro.
  2. Agregue el intervalo de actualización.
  3. Agregue el intervalo Sin actualización.
  4. El resultado será el tiempo "apto para la purga". Sin embargo, el registro no desaparecerá en este momento.
  5. Compruebe los registros de eventos DNS de los identificadores de evento 2501 y 2502 para buscar cuándo ejecutará el servidor DNS el scavenging.
  6. En función de la hora "apta para escavenge", busque el identificador de evento 2501 o el identificador de evento 2502 más reciente y agregue el período de scavenging del servidor (desde la pestaña Avanzadas de las propiedades del servidor) a él.
  7. Este es el momento en que desaparece el registro de prueba.

Por ejemplo:

  • Una zona se establece en un intervalo de actualización de 3 días y un intervalo sin actualización de 3 días.
  • El período de scavenging del servidor se establece en tres días.
  • El último identificador de evento DNS 2501 o 2502 se produjo a las 6 a.m. el 1/1/2008.
  • Tiene un registro con una marca de tiempo de 1/1/2008 a las 12:00 (mediodía).

Dadas estas suposiciones, puede predecir que el registro se eliminará a las 6:00 aproximadamente el 10/10/2008. Este es un diagrama del ejemplo.

Diagrama de una predicción sobre el registro que se va a eliminar.

Una vez habilitado el scavenging, puede comprobar periódicamente para buscar los eventos Id. de evento 2501 y 2502 para ver cómo van las cosas. También puede volver a la fecha y hora de predicción y ver si el registro de prueba ha desaparecido.