Partilhar via

Configuração de eliminação de DNS

  • Artigo

Este artigo discute como configurar a eliminação do DNS (Sistema de Nomes de Domínio) e fornece um exemplo de configuração da eliminação em uma zona pré-existente.

A eliminação limpa (exclui) registros obsoletos no DNS. Como a exclusão está envolvida, muitas válvulas de segurança são incorporadas à limpeza, o que leva muito tempo para permitir a limpeza.

Observação

Este artigo se concentra no cenário DNS do Windows mais comum: servidores DNS do Windows Server que hospedam zonas integradas ao Active Directory (AD).

No Windows Server, a eliminação deve ser definida em todos os três locais a seguir:

  1. No registro de recurso individual a ser eliminado.
  2. Em uma zona a ser eliminada.
  3. Em um ou mais servidores que executam a eliminação.

Configurações de eliminação no registro de recurso

No MMC (Console de Gerenciamento Microsoft) do DNS, selecione Exibir>Avançado e verifique as propriedades de um registro de recurso para ver as configurações de eliminação. Por exemplo:

Captura de tela da verificação das propriedades de um registro de recurso para ver as configurações de eliminação.

A eliminação em um registro de recurso pode ser definida em três métodos:

  • A primeira é marcar a caixa de seleção Excluir este registro quando ele se tornar obsoleto e selecionar Aplicar. Quando você seleciona Aplicar, a hora atual é arredondada para baixo para a hora mais próxima e aplicada como o carimbo de data/hora no registro. O carimbo de data/hora dos registros estáticos é 0, indicando que eles não são eliminados.
  • A segunda maneira é quando um registro é criado por uma máquina cliente que se registra usando DNS dinâmico (DDNS). Os clientes Windows atualizam dinamicamente o DNS a cada 24 horas. Todos os registros DDNS são definidos para eliminação. Quando um registro é criado pela primeira vez por um cliente que não tem registro existente, ele é considerado uma "Atualização" e um carimbo de data/hora é definido. Se o cliente tiver um registro de host existente e alterar o IP do registro de host, isso também será considerado uma "Atualização" e um carimbo de data/hora será definido. Se o cliente tiver um registro de host existente com o mesmo endereço IP, isso será considerado uma "Atualização" e se o carimbo de data/hora for alterado dependerá das configurações de zona.
  • A terceira maneira de definir a eliminação de registros é usando o comando dnscmd /ageallrecords . Se você executar esse comando em uma zona, ele definirá a eliminação e um carimbo de data/hora para todos os registros na zona, incluindo registros estáticos que você não deseja que sejam eliminados.

Depois que um carimbo de data/hora for definido em um registro, ele será replicado para todos os servidores que hospedam a zona.

Observação

Se a zona que hospeda o registro não habilitar a eliminação, ela não será eliminada, portanto, o carimbo de data/hora é irrelevante. O carimbo de data/hora pode ser atualizado no servidor em que o cliente se registra dinamicamente, mas não será replicado para outros servidores na zona.

Configurações de eliminação na zona

Antes de um servidor verificar um registro para ver se ele será eliminado, a zona deve ter a eliminação habilitada. Para acessar as configurações de eliminação de uma zona, clique com o botão direito do mouse na zona, selecione Propriedades e, em seguida, selecione Duração na guia Geral .

Captura de tela da janela Propriedades de eliminação de envelhecimento da zona.

Observação

A captura de tela é a mesma em qualquer servidor DNS em que essa zona é replicada.

Quando você define a eliminação pela primeira vez em uma zona, o carimbo de data/hora (visto na parte inferior) é definido como a hora atual do dia (arredondada para a hora mais próxima) mais o intervalo de atualização. Essa configuração também é redefinida sempre que a região é carregada ou as atualizações dinâmicas são habilitadas na zona.

Observação

Se você não vir A zona pode ser eliminada após o carimbo de data/hora, recarregue a zona.

A zona pode ser eliminada após o carimbo de data/hora ser a primeira válvula de segurança. Ele dá aos clientes tempo para atualizar seus carimbos de data/hora de registro. Como os novos carimbos de data/hora de registro não são replicados quando a eliminação de zona está desabilitada, isso também dá tempo de replicação para manter as coisas em ordem.

Intervalos de atualização e sem atualização

As próximas válvulas de segurança são os intervalos de atualização e sem atualização. Depois que ambos os intervalos tiverem decorrido, um registro poderá ser excluído.

O intervalo sem atualização é um período de tempo durante o qual um registro de recurso não pode ser atualizado. Uma "Atualização" é uma atualização dinâmica em que você não altera o registro de recurso do host; basta tocar no carimbo de data/hora. Se um cliente alterar o IP de um registro de host, isso será considerado uma "Atualização" e estará isento do intervalo Sem atualização. A finalidade de um intervalo sem atualização é reduzir o tráfego de replicação. Uma alteração em um registro significa que a alteração deve ser replicada.

Depois que o carimbo de data/hora do registro mais o intervalo sem atualização tiver decorrido, você poderá inserir um intervalo de atualização. O intervalo de atualização é o momento em que as atualizações para o carimbo de data/hora são permitidas. O cliente tem permissão para entrar e atualizar seu carimbo de data/hora. Esse carimbo de data/hora será replicado e o intervalo sem atualização será iniciado novamente. Se o cliente não atualizar seu registro durante o intervalo de atualização, ele se tornará qualificado para ser eliminado.

Observação

Ao definir os intervalos de atualização e sem atualização, aguarde tempo suficiente para que os clientes façam várias tentativas de registro durante o intervalo de atualização. Se você não fizer isso, um registro poderá se tornar qualificado para eliminação devido a uma tentativa de atualização com falha.

Se você clicar com o botão direito do mouse no servidor e selecionar Definir Duração/Eliminação para Todas as Zonas..., verá uma captura de tela semelhante à acima. Esta opção define as configurações padrão que serão usadas quando este servidor criar uma nova zona. A menos que você marque a caixa de seleção Aplicar essas configurações às zonas integradas ao Active Directory existentes, a configuração não afetará as zonas existentes.

Configurações de eliminação no servidor

Para definir a eliminação no servidor, clique com o botão direito do mouse no servidor no MMC e selecione Propriedades. Em seguida, marque a caixa de seleção Habilitar eliminação automática de registros obsoletos na guia Avançado da seguinte maneira:

Captura de tela das propriedades do servidor com a caixa de seleção Habilitar eliminação automática de registros obsoletos marcada na guia Avançado.

O valor do período de eliminação é a frequência com que esse servidor elimina. Quando um servidor elimina, ele registra uma ID de evento DNS 2501 para indicar quantos registros são eliminados. Se nenhum registro for eliminado, a ID do Evento 2502 será registrada. Apenas um servidor é necessário para eliminar, pois os dados da zona são replicados para todos os servidores que hospedam a zona.

Dica

Ao obter o carimbo de data/hora na ID de evento 2501 ou 2502 mais recente e adicionar o período de eliminação a ele, você pode saber exatamente quando um servidor tentará limpar.

Embora você possa definir todos os servidores que hospedam a zona para limpeza, recomendamos ter apenas um conjunto. Se o servidor não conseguir limpar, isso não terá um impacto sério. Você terá um lugar para procurar a suspeita e um conjunto de registros para verificar. Se você tiver muitos servidores configurados para limpeza, terá muitos logs para verificar se a eliminação falhar.

Para controlar qual servidor está limpando uma zona, você pode usar o comando dnscmd para especificar exatamente quais servidores podem varrer. Por exemplo, o dnscmd /zoneresetscavengeservers contoso.com 192.168.1.1 192.168.1.2 comando permite que apenas servidores DNS com endereços IP de 192.168.1.1 e 192.168.1.2 vasculhem a contoso.com zona.

Processo de limpeza e verificações finais

Você também pode iniciar manualmente uma tentativa de eliminação clicando com o botão direito do mouse no servidor e selecionando Eliminar Registros de Recursos Obsoletos. Observe que as tentativas manuais não ignoram as válvulas de segurança.

Verifique o seguinte antes de excluir os registros obsoletos:

  • A limpeza está habilitada na zona?
  • A atualização dinâmica está habilitada na região?
  • O servidor de limpeza está listado como um dos servidores de limpeza da zona?
  • O carimbo de data/hora "zona pode ser eliminada após" na zona foi excedido?
    Isso permite que os clientes e a replicação do AD sejam preparados antes de você começar.
  • Foi maior do que o intervalo de atualização desde que essa zona foi replicada pela última vez no Active Directory?
    Se a eliminação estiver habilitada em um servidor com problemas de replicação, isso poderá ajudar a evitar marcas de exclusão desnecessárias de registros que ainda podem ser válidos em outros servidores.

Se todas as verificações acima forem aprovadas, a zona estará pronta para limpeza. Neste ponto, o servidor de eliminação verifica o carimbo de data/hora em cada registro de recurso. Se a data e a hora atuais forem maiores que o carimbo de data/hora mais os intervalos Sem atualização e Atualização, o registro será excluído.

Exemplo: configuração de eliminação em uma zona pré-existente

Aqui está um exemplo de configuração de limpeza em uma zona pré-existente. Este procedimento foi concebido para a máxima segurança. Se estiver usando as configurações padrão, esse processo pode levar de quatro a cinco semanas (duas semanas para a fase de verificação de integridade e duas a três semanas para a fase de ativação).

Fase de configuração

  1. Desative a limpeza em todos os servidores. Você pode usar o comando para limitar a dnscmd /zoneresetscavengeservers eliminação a um único servidor e, em seguida, garantir que esse servidor tenha a eliminação desabilitada.
  2. Ative a eliminação nas zonas que você deseja eliminar. Defina os intervalos de atualização e sem atualização conforme desejado. Para eliminar com mais eficiência, recomendamos reduzir o intervalo Sem atualização e deixar o intervalo de atualização no padrão.
  3. Adicione a data de hoje mais os intervalos de atualização e sem atualização. Volte em algumas semanas, quando esse tempo tiver decorrido.

Fase de verificação de sanidade

Procure registros anteriores ao intervalo Atualizar mais Sem Atualização em seus registros DNS. Se você vir algum, há um problema com o processo de registro dinâmico, que deve ser corrigido antes de prosseguir. Uma verificação completa neste ponto é a etapa mais importante na configuração.

Coisas para verificar se você encontrar registros antigos:

  • O ipconfig /registerdns comando funciona?
  • Quem é o proprietário do registro (consulte a guia Segurança nas propriedades do registro)?
  • O registro é criado estaticamente por um administrador e, em seguida, habilitado para eliminação? Nesse caso, você precisa excluir o registro para limpar a propriedade e executar o ipconfig /registerdns comando para atualizá-lo.
  • A replicação do Active Directory do servidor está funcionando corretamente?

Não prossiga a menos que você possa explicar quaisquer registros desatualizados. Na próxima fase, eles serão excluídos.

Fase de ativação

Você pode usar o comando para habilitar a dnscmd /zoneresetscavengeservers eliminação em um único servidor.

Depois que a eliminação estiver habilitada, crie um novo registro de teste e habilite-o para eliminação. Em seguida, mapeie o ponto no tempo em que esse registro desaparece. Estas são as etapas:

  1. Comece com o carimbo de data/hora no registro.
  2. Adicione o intervalo de atualização.
  3. Adicione o intervalo Sem atualização.
  4. O resultado será o seu tempo "elegível para vasculhar". O recorde não vai desaparecer neste momento, no entanto.
  5. Verifique seus logs de eventos DNS para as IDs de evento 2501 e 2502 para descobrir quando o servidor DNS executará a eliminação.
  6. Com base no seu tempo "qualificado para eliminação", localize o evento de ID de Evento 2501 ou ID de Evento 2502 mais recente e adicione o período de eliminação do servidor (na guia Avançado das propriedades do servidor) a ele.
  7. Este é o momento em que o registro de teste desaparece.

Por exemplo:

  • Uma zona é definida como um intervalo de atualização de 3 dias e um intervalo de 3 dias sem atualização.
  • O período de eliminação do servidor é definido como três dias.
  • A última ID de evento DNS 2501 ou 2502 ocorreu às 6h de 01/01/2008.
  • Você tem um registro com um carimbo de data/hora de 1/1/2008 às 12:00 (meio-dia).

Dadas essas suposições, você pode prever que o registro será excluído aproximadamente às 6 horas da manhã de 10/01/2008. Aqui está um diagrama do exemplo.

Diagrama de uma previsão sobre o registro a ser excluído.

Depois que a eliminação estiver habilitada, você poderá verificar periodicamente os eventos de ID de evento 2501 e 2502 para ver como as coisas estão indo. Você também pode voltar na data e hora previstas e ver se o registro do teste desapareceu.