Dela via

Konfiguration av DNS-rensning

  • Artikel

I den här artikeln beskrivs hur du konfigurerar DNS-rensning (Domain Name System) och ger ett exempel på hur du konfigurerar rensning i en befintlig zon.

Rensning rensar (tar bort) inaktuella poster i DNS. Eftersom borttagningen sker är många säkerhetsventiler inbyggda i rensning, vilket tar lång tid att aktivera rensning.

Kommentar

Den här artikeln fokuserar på det vanligaste Windows DNS-scenariot: Windows Server DNS-servrar som är värdar för Active Directory-integrerade zoner (AD).

I Windows Server ska rensning ställas in på alla följande tre platser:

  1. På den enskilda resursposten som ska rensas.
  2. På en zon som ska rensas.
  3. På en eller flera servrar som utför rensning.

Rensa inställningar för resursposten

I DNS Microsoft Management Console (MMC) väljer du Visa>avancerat och kontrollerar egenskaperna för en resurspost för att se rensningsinställningarna. Till exempel:

Skärmbild av att kontrollera egenskaperna för en resurspost för att se rensningsinställningarna.

Rensning på en resurspost kan anges på tre sätt:

  • Den första är att kontrollera kryssrutan Ta bort den här posten när den blir inaktuell och välja Använd. När du väljer Använd avrundas den aktuella tiden ned till närmaste timme och tillämpas som tidsstämpel på posten. Tidsstämpeln för statiska poster är 0, vilket indikerar att de inte rensas.
  • Det andra sättet är när en post skapas av en klientdator som registrerar med dynamisk DNS (DDNS). Windows-klienter uppdaterar DNS dynamiskt var 24:e timme. Alla DDNS-poster är inställda på rensning. När en post först skapas av en klient som inte har någon befintlig post betraktas den som en "Uppdatering" och en tidsstämpel anges. Om klienten har en befintlig värdpost och ändrar IP-adressen för värdposten betraktas detta också som en "Uppdatering" och en tidsstämpel anges. Om klienten har en befintlig värdpost med samma IP-adress anses detta vara en "Uppdatering" och om tidsstämpeländringarna beror på zoninställningarna.
  • Det tredje sättet att ange rensning på poster är att använda kommandot dnscmd /ageallrecords . Om du kör det här kommandot mot en zon kommer det att ange rensning och en tidsstämpel för alla poster i zonen, inklusive statiska poster som du inte vill ska rensas.

När en tidsstämpel har angetts för en post replikeras den till alla servrar som är värdar för zonen.

Kommentar

Om zonen som är värd för posten inte aktiverar rensning rensas den inte, så tidsstämpeln är irrelevant. Tidsstämpeln kan uppdateras på servern där klienten registreras dynamiskt, men den replikeras inte till andra servrar i zonen.

Rensa inställningar i zonen

Innan en server kontrollerar en post för att se om den kommer att rensas bör zonen ha rensning aktiverat. Om du vill komma åt rensningsinställningarna för en zon högerklickar du på zonen, väljer Egenskaper och väljer sedan Åldrandefliken Allmänt.

Skärmbild av zonens åldranderensning Fönstret Egenskaper.

Kommentar

Skärmbilden är densamma på alla DNS-servrar där den här zonen replikeras.

När du först anger rensning i en zon anges tidsstämpeln (som visas längst ned) till aktuell tid på dagen (avrundad nedåt till närmaste timme) plus uppdateringsintervallet. Den här inställningen återställs också när zonen läses in eller dynamiska uppdateringar aktiveras i zonen.

Kommentar

Om du inte ser zonen kan rensas efter tidsstämpeln läser du in zonen igen.

Zonen kan rensas efter att tidsstämpeln är den första säkerhetsventilen. Det ger klienterna tid att uppdatera sina posttidsstämplar. Eftersom nya posttidsstämplar inte replikeras när zonrensning är inaktiverad, ger detta även replikeringstid för att hålla ordning på saker och ting.

Uppdaterings- och uppdateringsintervall

Nästa säkerhetsventiler är intervallen Uppdatera och Uppdatera inte. När båda intervallen har förflutit kan en post tas bort.

Intervallet Ingen uppdatering är en tidsperiod under vilken en resurspost inte kan uppdateras. En "Uppdatering" är en dynamisk uppdatering där du inte ändrar värdresursposten. bara röra tidsstämpeln. Om en klient ändrar IP-adressen för en värdpost anses detta vara en "uppdatering" och undantas från intervallet Ingen uppdatering. Syftet med ett intervall utan uppdatering är att minska replikeringstrafiken. En ändring av en post innebär att ändringen ska replikeras.

När posttidsstämpeln plus intervallet Ingen uppdatering har förflutit kan du ange ett uppdateringsintervall. Uppdateringsintervallet är den tid då uppdateringar av tidsstämpeln tillåts. Klienten får komma in och uppdatera tidsstämpeln. Tidsstämpeln replikeras och intervallet Ingen uppdatering startar igen. Om klienten inte kan uppdatera sin post under uppdateringsintervallet blir den berättigad att rensas.

Kommentar

När du anger intervallen Uppdatera och Ingen uppdatering kan du ge klienter tillräckligt med tid för att göra flera registreringsförsök under uppdateringsintervallet. Om du inte gör det kan en post bli berättigad till rensning på grund av ett misslyckat uppdateringsförsök.

Om du högerklickar på servern och väljer Ange åldrande/rensning för alla zoner... visas en skärmbild som liknar den ovan. Det här alternativet anger standardinställningarna som ska användas när den här servern skapar en ny zon. Om du inte markerar kryssrutan Tillämpa de här inställningarna på befintliga Active Directory-integrerade zoner påverkar inte inställningen befintliga zoner.

Rensa inställningar på servern

Om du vill ange rensning på servern högerklickar du på servern i MMC och väljer Egenskaper. Markera sedan kryssrutan Aktivera automatisk rensning av inaktuella poster på fliken Avancerat på följande sätt:

Skärmbild av serveregenskaperna med kryssrutan Aktivera automatisk rensning av inaktuella poster markerad på fliken Avancerat.

Värdet för rensningsperiod är hur ofta den här servern rensas. När en server rensas loggar den ett DNS-händelse-ID 2501 för att ange hur många poster som rensas. Om inga poster rensas loggas händelse-ID 2502. Endast en server krävs för att rensa eftersom zondata replikeras till alla servrar som är värdar för zonen.

Dricks

Genom att hämta tidsstämpeln på det senaste händelse-ID:t 2501 eller 2502 och lägga till rensningsperioden i det, kan du se exakt när en server kommer att försöka rensa.

Även om du kan ange att alla servrar som är värdar för zonen ska rensas rekommenderar vi att du bara har en uppsättning. Om servern inte kan rensas får den ingen allvarlig inverkan. Du har en plats där du kan söka efter misstanken och en uppsättning loggar att kontrollera. Om du har många servrar inställda på att rensa har du många loggar för att kontrollera om rensningen misslyckas.

Om du vill styra vilken server som rensar för en zon kan du använda kommandot dnscmd för att ange exakt vilka servrar som kan rensas. Kommandot tillåter till exempel dnscmd /zoneresetscavengeservers contoso.com 192.168.1.1 192.168.1.2 endast DNS-servrar med IP-adresserna 192.168.1.1 och 192.168.1.2 att rensa i contoso.com zonen.

Rensningsprocess och slutliga kontroller

Du kan också initiera ett rensningsförsök manuellt genom att högerklicka på servern och välja Rensa inaktuella resursposter. Observera att manuella försök inte kringgår säkerhetsventilerna.

Kontrollera följande innan du tar bort inaktuella poster:

  • Är rensning aktiverat i zonen?
  • Är dynamisk uppdatering aktiverad i zonen?
  • Visas den rensande servern som en av rensningsservrarna för zonen?
  • Överskrids tidsstämpeln "zon kan rensas efter" i zonen?
    Detta gör att klienterna och AD-replikeringen kan förberedas innan du börjar.
  • Har det varit längre än uppdateringsintervallet sedan den här zonen senast replikerades i Active Directory?
    Om rensning är aktiverat på en server som har replikeringsproblem kan detta bidra till att förhindra onödig tombstoning av poster som fortfarande kan vara giltiga på andra servrar.

Om alla ovanstående kontroller skickas är zonen redo för rensning. Nu kontrollerar rensningsservern tidsstämpeln för varje resurspost. Om aktuellt datum och tid är större än tidsstämpeln plus intervallen Ingen uppdatering och Uppdatering tas posten bort.

Exempel: Ställa in rensning i en befintlig zon

Här är ett exempel på hur du konfigurerar rensning i en befintlig zon. Detta förfarande är utformat för maximal säkerhet. Om du använder standardinställningarna kan den här processen ta fyra till fem veckor (två veckor för fasen för sanitetskontroll och två till tre veckor för aktiveringsfasen).

Installationsfas

  1. Inaktivera rensning på alla servrar. Du kan använda dnscmd /zoneresetscavengeservers kommandot för att begränsa rensningen till en enskild server och sedan se till att servern har rensats inaktiverat.
  2. Aktivera rensning på de zoner som du vill rensa. Ange intervallen Uppdatera och Uppdatera inte efter behov. För att rensa mer effektivt rekommenderar vi att du sänker intervallet Ingen uppdatering och lämnar uppdateringsintervallet som standard.
  3. Lägg till dagens datum plus intervallen Uppdatera och Uppdatera inte. Kom tillbaka om några veckor när den här tiden har gått.

Fasen för sanitetskontroll

Leta efter poster som är äldre än intervallet Uppdatera plus Ingen uppdatering i dina DNS-poster. Om du ser några problem med den dynamiska registreringsprocessen, som bör korrigeras innan du fortsätter. En grundlig kontroll i det här läget är det viktigaste steget i installationen.

Saker att kontrollera om du hittar gamla poster:

  • ipconfig /registerdns Fungerar kommandot?
  • Vem äger posten (se fliken Säkerhet i postegenskaperna)?
  • Skapas posten statiskt av en administratör och aktiveras sedan för rensning? I så fall måste du ta bort posten för att rensa ägarskapet och köra ipconfig /registerdns kommandot för att uppdatera den.
  • Fungerar serverns Active Directory-replikering korrekt?

Fortsätt inte om du inte kan förklara inaktuella poster. I nästa fas tas de bort.

Aktivera fas

Du kan använda dnscmd /zoneresetscavengeservers kommandot för att aktivera rensning på en enskild server.

När rensning har aktiverats skapar du en ny testpost och aktiverar den för rensning. Mappa sedan ut tidpunkten när den här posten försvinner. Här är stegen:

  1. Börja med tidsstämpeln på posten.
  2. Lägg till uppdateringsintervallet.
  3. Lägg till intervallet Ingen uppdatering.
  4. Resultatet blir din "berättigade att rensa" tid. Posten försvinner dock inte just nu.
  5. Kontrollera dns-händelseloggarna för händelse-ID 2501 och 2502 för att se när DNS-servern ska köra rensningen.
  6. Baserat på din "berättigade att rensa" tid hittar du den senaste händelse-ID:t 2501 eller händelse-ID 2502-händelsen och lägger till serverns rensningsperiod (från fliken Avancerat för serveregenskaper) till den.
  7. Det här är den tidpunkt då testposten försvinner.

Till exempel:

  • En zon är inställd på ett 3-dagars uppdateringsintervall och ett 3-dagars intervall utan uppdatering.
  • Serverrensningsperioden är inställd på tre dagar.
  • Det senaste DNS-händelse-ID:t 2501 eller 2502 inträffade kl. 06.00 den 1/1/2008.
  • Du har en post med tidsstämpeln 1/1/2008 kl. 12:00 (12:00).

Med tanke på dessa antaganden kan du förutsäga att posten kommer att tas bort cirka 06:00 den 10/10/2008. Här är ett diagram över exemplet.

Diagram över en förutsägelse om posten som ska tas bort.

När rensning har aktiverats kan du regelbundet söka efter händelse-ID:t 2501 och 2502 för att se hur det går. Du kan också komma tillbaka vid förutsagt datum och tid och se om testposten har försvunnit.