Udostępnij za pośrednictwem

Konfiguracja oczyszczania DNS

  • Artykuł

W tym artykule omówiono sposób konfigurowania oczyszczania systemu nazw domen (DNS) i przedstawiono przykład ustawienia oczyszczania w istniejącej strefie.

Czyszczenie (usuwanie) nieaktualnych rekordów w systemie DNS. W miarę usuwania wiele zaworów bezpieczeństwa jest wbudowanych w oczyszczanie, co zajmuje dużo czasu w celu umożliwienia oczyszczania.

Uwaga 16.

Ten artykuł koncentruje się na najbardziej typowym scenariuszu systemu Windows DNS: serwery DNS systemu Windows Server hostowania stref zintegrowanych z usługą Active Directory (AD).

W systemie Windows Server oczyszczanie powinno być ustawione we wszystkich następujących trzech miejscach:

  1. Na pojedynczym rekordzie zasobu, który ma zostać przeszycony.
  2. W strefie, która ma zostać przeszycona.
  3. Na co najmniej jednym serwerze wykonującym oczyszczanie.

Ustawienia oczyszczania rekordu zasobu

W konsoli zarządzania firmy Microsoft (MMC) dns wybierz pozycję Wyświetl>zaawansowane i sprawdź właściwości rekordu zasobu, aby wyświetlić ustawienia oczyszczania. Na przykład:

Zrzut ekranu przedstawiający sprawdzanie właściwości rekordu zasobu w celu wyświetlenia ustawień oczyszczania.

Scavenging na rekord zasobu można ustawić w trzech metodach:

  • Pierwszy polega na zaznaczeniu pola wyboru Usuń ten rekord, gdy staje się on nieaktualny , a następnie wybierając pozycję Zastosuj. Po wybraniu pozycji Zastosuj bieżący czas jest zaokrąglany w dół do najbliższej godziny i stosowany jako znacznik czasu rekordu. Sygnatura czasowa rekordów statycznych wynosi 0, co oznacza, że nie są one scavenged.
  • Drugim sposobem jest utworzenie rekordu przez maszynę kliencką rejestrującą się przy użyciu dynamicznego systemu DNS (DDNS). Klienci systemu Windows dynamicznie aktualizują system DNS co 24 godziny. Wszystkie rekordy DDNS są ustawione na scavenge. Gdy rekord jest tworzony po raz pierwszy przez klienta, który nie ma istniejącego rekordu, jest traktowany jako "Aktualizacja", a sygnatura czasowa jest ustawiana. Jeśli klient ma istniejący rekord hosta i zmienia adres IP rekordu hosta, jest to również traktowane jako "Aktualizacja", a sygnatura czasowa jest ustawiona. Jeśli klient ma istniejący rekord hosta z tym samym adresem IP, jest to uważane za "Odśwież" i czy zmiany znacznika czasu zależą od ustawień strefy.
  • Trzecim sposobem ustawienia oczyszczania rekordów jest użycie polecenia dnscmd /ageallrecords . Jeśli uruchomisz to polecenie względem strefy, ustawi to ścięcie i sygnaturę czasową dla wszystkich rekordów w strefie, w tym rekordy statyczne, których nie chcesz oczyszczać.

Po ustawieniu znacznika czasu na rekord zostanie zreplikowany do wszystkich serwerów hostujących strefę.

Uwaga 16.

Jeśli strefa, która hostuje rekord, nie włącza oczyszczania, nie będzie zmęczać, więc sygnatura czasowa jest nieistotna. Sygnatura czasowa może zostać zaktualizowana na serwerze, na którym klient jest dynamicznie rejestrowany, ale nie będzie replikowany do innych serwerów w strefie.

Ustawienia oczyszczania w strefie

Zanim serwer sprawdzi rekord, aby sprawdzić, czy zostanie on usunięty, strefa powinna mieć włączone oczyszczanie. Aby uzyskać dostęp do ustawień oczyszczania strefy, kliknij prawym przyciskiem myszy strefę, wybierz pozycję Właściwości, a następnie wybierz pozycję Starzenie się na karcie Ogólne .

Zrzut ekranu przedstawiający okno Właściwości oczyszczania strefy starzenia się.

Uwaga 16.

Zrzut ekranu jest taki sam na dowolnym serwerze DNS, na którym jest replikowana ta strefa.

Po pierwszym ustawieniu oczyszczania w strefie sygnatura czasowa (widoczna u dołu) jest ustawiona na bieżącą godzinę dnia (zaokrąglona w dół do najbliższej godziny) oraz interwał odświeżania. To ustawienie jest również resetowane za każdym razem, gdy strefa jest ładowana lub aktualizacje dynamiczne są włączone w strefie.

Uwaga 16.

Jeśli nie widzisz, że strefa może zostać przeszycona po znaczniku czasu, załaduj ponownie strefę.

Strefa może być ścięty po znaczniku czasu jest pierwszym zaworem bezpieczeństwa. Daje to klientom czas aktualizowania sygnatur czasowych rekordu. Ponieważ nowe znaczniki czasu rekordu nie są replikowane, gdy oczyszczanie strefy jest wyłączone, daje to również czas replikacji, aby zachować kolejność elementów.

Interwały odświeżania i braku odświeżania

Następne zawory bezpieczeństwa to interwały Odświeżanie i Brak odświeżania. Po upływie obu interwałów można usunąć rekord.

Interwał bez odświeżania to okres, w którym nie można odświeżyć rekordu zasobu. "Odśwież" to aktualizacja dynamiczna, w której nie zmieniasz rekordu zasobu hosta; wystarczy dotknąć znacznika czasu. Jeśli klient zmieni adres IP rekordu hosta, zostanie on uznany za "Aktualizację" i jest wykluczony z interwału bez odświeżania. Celem interwału bez odświeżania jest zmniejszenie ruchu związanego z replikacją. Zmiana rekordu oznacza, że zmiana powinna zostać zreplikowana.

Po upływie znacznika czasu rekordu oraz interwału bez odświeżania możesz wprowadzić interwał odświeżania. Interwał odświeżania to czas, kiedy odświeżanie do znacznika czasu jest dozwolone. Klient może wejść i zaktualizować sygnaturę czasową. Ten znacznik czasu zostanie zreplikowany, a interwał braku odświeżania zostanie uruchomiony ponownie. Jeśli klient nie zaktualizuje swojego rekordu w interwale odświeżania, stanie się uprawniony do usunięcia.

Uwaga 16.

Po ustawieniu interwałów Odświeżanie i Brak odświeżania umożliwia klientom wystarczająco dużo czasu na podjęcie kilku prób rejestracji w interwale odświeżania. Jeśli tego nie zrobisz, rekord może kwalifikować się do oczyszczania z powodu nieudanej próby odświeżenia.

Jeśli klikniesz prawym przyciskiem myszy serwer i wybierzesz pozycję Ustaw starzejące się/przeszukiwające dla wszystkich stref..., zobaczysz zrzut ekranu podobny do powyższego. Ta opcja ustawia ustawienia domyślne, które będą używane podczas tworzenia nowej strefy przez ten serwer. Jeśli nie zaznaczysz pola wyboru Zastosuj te ustawienia do istniejących stref zintegrowanych z usługą Active Directory, ustawienie nie ma wpływu na istniejące strefy.

Ustawienia oczyszczania na serwerze

Aby ustawić oczyszczanie na serwerze, kliknij prawym przyciskiem myszy serwer w mmC i wybierz polecenie Właściwości. Następnie zaznacz pole wyboru Włącz automatyczne oczyszczanie nieaktualnych rekordów na karcie Zaawansowane w następujący sposób:

Zrzut ekranu przedstawiający właściwości serwera z polem wyboru Włącz automatyczne oczyszczanie nieaktualnych rekordów zaznaczone na karcie Zaawansowane.

Wartość okresu oczyszczania to częstotliwość zmładowania tego serwera. Gdy serwer jest zatkany, rejestruje zdarzenie DNS o identyfikatorze 2501, aby wskazać, ile rekordów jest czyszczonych. Jeśli żadne rekordy nie są scavenged, zostanie zarejestrowany identyfikator zdarzenia 2502. Tylko jeden serwer jest wymagany do zmładowania, ponieważ dane strefy są replikowane do wszystkich serwerów hostowanych w strefie.

Napiwek

Po uzyskaniu znacznika czasu ostatniego identyfikatora zdarzenia 2501 lub 2502 i dodaniu do niego okresu oczyszczania można określić dokładnie, kiedy serwer podejmie próbę zmładowania.

Mimo że można ustawić każdy serwer hostując strefę na zmęt, zalecamy posiadanie tylko jednego zestawu. Jeśli serwer nie zemści się, nie będzie to miało poważnego wpływu. Będziesz mieć jedno miejsce, aby wyszukać podejrzenie i jeden zestaw dzienników do sprawdzenia. Jeśli masz wiele serwerów ustawionych na scavenge, masz wiele dzienników, aby sprawdzić, czy oczyszczanie nie powiedzie się.

Aby kontrolować, który serwer jest scavenging dla strefy, można użyć dnscmd polecenia, aby określić dokładnie, które serwery mogą scavenge. Na przykład dnscmd /zoneresetscavengeservers contoso.com 192.168.1.1 192.168.1.2 polecenie zezwala tylko serwerom DNS z adresami IP 192.168.1.1 i 192.168.1.2 na scavenge w contoso.com strefie.

Proces oczyszczania i końcowe kontrole

Możesz również ręcznie zainicjować próbę oczyszczania, klikając prawym przyciskiem myszy serwer i wybierając pozycję Scavenge Stale Resource Records. Należy pamiętać, że próby ręczne nie ominą zaworów bezpieczeństwa.

Przed usunięciem nieaktualnych rekordów sprawdź następujące elementy:

  • Czy oczyszczanie jest włączone w strefie?
  • Czy aktualizacja dynamiczna jest włączona w strefie?
  • Czy serwer oczyszczania jest wymieniony jako jeden z serwerów oczyszczania strefy?
  • Czy znacznik czasu "strefa może zostać przeszycony po" w strefie przekroczony?
    Umożliwia to przygotowanie klientów i replikacji usługi AD przed rozpoczęciem.
  • Czy interwał odświeżania był dłuższy niż od czasu ostatniej replikacji tej strefy w usłudze Active Directory?
    Jeśli usuwanie jest włączone na serwerze, na który występują problemy z replikacją, może to pomóc zapobiec niepotrzebnemu dołączaniu rekordów, które mogą być nadal prawidłowe na innych serwerach.

Jeśli wszystkie powyższe kontrole są przekazywane, strefa jest gotowa do oczyszczania. W tym momencie serwer oczyszczania sprawdza znacznik czasu dla każdego rekordu zasobu. Jeśli bieżąca data i godzina jest większa niż sygnatura czasowa oraz interwały bez odświeżania i odświeżania, rekord zostanie usunięty.

Przykład: ustawianie oczyszczania w istniejącej strefie

Oto przykład ustawienia oczyszczania w istniejącej strefie. Ta procedura została zaprojektowana pod kątem maksymalnego bezpieczeństwa. W przypadku korzystania z ustawień domyślnych ten proces może potrwać od czterech do pięciu tygodni (dwa tygodnie fazy sprawdzania kondycji i dwa do trzech tygodni dla fazy włączania).

Faza instalacji

  1. Wyłącz oczyszczanie na wszystkich serwerach. Możesz użyć dnscmd /zoneresetscavengeservers polecenia , aby ograniczyć oczyszczanie do pojedynczego serwera, a następnie upewnić się, że ten serwer ma wyłączone oczyszczanie.
  2. Włącz przecieranie stref, które chcesz scavenge. Ustaw interwały Odświeżanie i Brak odświeżania zgodnie z potrzebami. Aby efektywniej zmniejszyć interwał bez odświeżania, zalecamy obniżenie interwału odświeżania i pozostawienie domyślnego interwału odświeżania.
  3. Dodaj bieżącą datę oraz interwały Odświeżanie i Brak odświeżania. Wróć w ciągu kilku tygodni, kiedy ten czas upłynął.

Faza sprawdzania kondycji

Poszukaj rekordów starszych niż interwał Odświeżanie i Brak odświeżania w rekordach DNS. Jeśli widzisz jakikolwiek problem, wystąpił problem z procesem rejestracji dynamicznej, który powinien zostać rozwiązany przed kontynuowaniem. Dokładne sprawdzenie w tym momencie jest najważniejszym krokiem konfiguracji.

Kwestie do sprawdzenia, czy znajdziesz stare rekordy:

  • ipconfig /registerdns Czy polecenie działa?
  • Kto jest właścicielem rekordu (zobacz kartę Zabezpieczenia we właściwościach rekordu)?
  • Czy rekord jest tworzony statycznie przez administratora, a następnie włączony do oczyszczania? Jeśli tak, musisz usunąć rekord, aby wyczyścić własność i uruchomić ipconfig /registerdns polecenie , aby go zaktualizować.
  • Czy replikacja usługi Active Directory serwera działa prawidłowo?

Nie kontynuuj, chyba że możesz wyjaśnić wszelkie nieaktualne rekordy. W następnej fazie zostaną usunięte.

Faza włączania

Możesz użyć dnscmd /zoneresetscavengeservers polecenia , aby włączyć oczyszczanie na jednym serwerze.

Po włączeniu oczyszczania utwórz nowy rekord testowy i włącz go do oczyszczania. Następnie zamapuj punkt w czasie, gdy ten rekord zniknie. Oto konkretne kroki:

  1. Zacznij od znacznika czasu rekordu.
  2. Dodaj interwał odświeżania.
  3. Dodaj interwał braku odświeżania.
  4. Wynik będzie twoim "uprawnionym do zmęszczenia" czasu. Rekord nie zniknie jednak w tej chwili.
  5. Sprawdź dzienniki zdarzeń DNS pod kątem identyfikatorów zdarzeń 2501 i 2502, aby sprawdzić, kiedy serwer DNS uruchomi oczyszczanie.
  6. Na podstawie czasu "kwalifikującego się do zmęszczenia" znajdź do niego najnowszy identyfikator zdarzenia 2501 lub zdarzenie o identyfikatorze zdarzenia 2502 i dodaj do niego okres oczyszczania serwera (na karcie Zaawansowane właściwości serwera).
  7. Jest to punkt w czasie, gdy rekord testowy zniknie.

Na przykład:

  • Strefa jest ustawiona na 3-dniowy interwał odświeżania i 3-dniowy interwał bez odświeżania.
  • Okres oczyszczania serwera jest ustawiony na trzy dni.
  • Ostatni identyfikator zdarzenia DNS 2501 lub 2502 wystąpił o 6 rano w dniu 1.01.2008.
  • Masz rekord ze znacznikiem czasu 1.1.2008 o godzinie 12:00 (południe).

Biorąc pod uwagę te założenia, można przewidzieć, że rekord zostanie usunięty o około 6 rano w dniu 1.10.2008. Oto diagram przykładu.

Diagram przewidywania dotyczącego rekordu do usunięcia.

Po włączeniu oczyszczania można sprawdzić okresowo, aby wyszukać zdarzenia o identyfikatorze 2501 i 2502, aby zobaczyć, jak to się dzieje. Możesz również wrócić o przewidywanej dacie i godzinie i sprawdzić, czy rekord testowy zniknął.