DNS-Scavenging-Setup

In diesem Artikel wird erläutert, wie Sie dns (Domain Name System)-Scavenging einrichten, und es wird ein Beispiel für das Einrichten von Scavening für eine bereits vorhandene Zone angegeben.

Beim Aufräumen werden veraltete Einträge in DNS bereinigt (gelöscht). Da das Löschen im Spiel ist, sind viele Sicherheitsventile in das Scavenging integriert, was lange dauert, um das Abfangen zu ermöglichen.

Hinweis

Dieser Artikel konzentriert sich auf das am häufigsten verwendete Windows DNS-Szenario: Windows Server-DNS-Server, die Active Directory (AD)-integrierte Zonen hosten.

In Windows Server sollte das Scavenging an allen folgenden drei Stellen festgelegt werden:

1. Für den einzelnen Ressourcendatensatz, der gerüstet werden soll.
2. In einer Zone, die abgefangen werden soll.
3. Auf einem oder mehreren Servern, die das Abfangen ausführen.

Abfangen von Einstellungen für den Ressourcendatensatz

Wählen Sie in der DNS-Microsoft Management Console (MMC)Die Option Erweitert anzeigen> aus, und überprüfen Sie die Eigenschaften eines Ressourcendatensatzes, um die Einstellungen für das Auffangen anzuzeigen. Zum Beispiel:

Das Abfangen eines Ressourcendatensatzes kann mit drei Methoden festgelegt werden:

• Der erste ist das Aktivieren des Kontrollkästchens Diesen Datensatz löschen, wenn er veraltet ist , und wählen Sie Übernehmen aus. Wenn Sie Anwenden auswählen, wird die aktuelle Zeit auf die nächste Stunde gerundet und als Zeitstempel auf den Datensatz angewendet. Der Zeitstempel von statischen Datensätzen ist 0, was darauf hinweist, dass sie nicht bereinigt wurden.
• Die zweite Möglichkeit besteht darin, dass ein Datensatz von einem Clientcomputer erstellt wird, der mithilfe von dynamischem DNS (DDNS) registriert wird. Windows-Clients aktualisieren DNS dynamisch alle 24 Stunden. Alle DDNS-Einträge sind auf "Scavenge" festgelegt. Wenn ein Datensatz zum ersten Mal von einem Client erstellt wird, der über keinen vorhandenen Datensatz verfügt, wird er als "Update" betrachtet, und ein Zeitstempel wird festgelegt. Wenn der Client über einen vorhandenen Hostdatensatz verfügt und die IP-Adresse des Hostdatensatzes ändert, wird dies auch als "Update" betrachtet, und ein Zeitstempel wird festgelegt. Wenn der Client über einen vorhandenen Hostdatensatz mit derselben IP-Adresse verfügt, wird dies als "Aktualisieren" betrachtet, und ob sich der Zeitstempel ändert, hängt von den Zoneneinstellungen ab.
• Die dritte Möglichkeit zum Festlegen der Erstellung von Datensätzen ist die Verwendung des Befehls dnscmd /ageallrecords . Wenn Sie diesen Befehl für eine Zone ausführen, werden das Scavenging und ein Zeitstempel für alle Datensätze in der Zone festgelegt, einschließlich statischer Datensätze, die nicht abgefangen werden sollen.

Sobald ein Zeitstempel für einen Datensatz festgelegt wurde, wird er auf alle Server repliziert, die die Zone hosten.

Hinweis

Wenn die Zone, in der der Datensatz gehostet wird, das Abfangen nicht aktiviert, wird sie nicht gelöscht, sodass der Zeitstempel irrelevant ist. Der Zeitstempel kann auf dem Server aktualisiert werden, auf dem sich der Client dynamisch registriert, aber er wird nicht auf andere Server in der Zone repliziert.

Abfangen von Einstellungen für die Zone

Bevor ein Server einen Datensatz überprüft, um festzustellen, ob er gelöscht wird, sollte für die Zone das Scavenging aktiviert sein. Um auf die Scavenging-Einstellungen einer Zone zuzugreifen, klicken Sie mit der rechten Maustaste auf die Zone, wählen Sie Eigenschaften und dann auf der Registerkarte Allgemein die Option Altern aus.

Hinweis

Der Screenshot ist auf jedem DNS-Server, auf dem diese Zone repliziert wird, identisch.

Wenn Sie das erste Gerüst für eine Zone festlegen, wird der Zeitstempel (unten zu sehen) auf die aktuelle Tageszeit (gerundet auf die nächste Stunde) plus das Aktualisierungsintervall festgelegt. Diese Einstellung wird auch zurückgesetzt, wenn die Zone geladen wird oder dynamische Updates für die Zone aktiviert sind.

Hinweis

Wenn die Option Die Zone kann nach dem Zeitstempel abgefangen werden kann nicht angezeigt wird, laden Sie die Zone erneut.

Die Zone kann nach zeitstempel ist das erste Sicherheitsventil. Es gibt Clients Zeit, ihre Datensatzzeitstempel zu aktualisieren. Da neue Datensatzzeitstempel nicht repliziert werden, wenn die Zonenabreinigung deaktiviert ist, gibt dies auch der Replikation Zeit, um die Dinge in Ordnung zu halten.

Aktualisierungsintervalle und Intervalle ohne Aktualisierung

Die nächsten Sicherheitsventile sind die Intervalle Refresh und No-refresh. Nachdem beide Intervalle abgelaufen sind, kann ein Datensatz gelöscht werden.

Das Intervall ohne Aktualisierung ist ein Zeitraum, in dem ein Ressourcendatensatz nicht aktualisiert werden kann. Eine "Aktualisierung" ist ein dynamisches Update, bei dem Sie den Hostressourcendatensatz nicht ändern. berühren Sie einfach den Zeitstempel. Wenn ein Client die IP-Adresse eines Hostdatensatzes ändert, wird dies als "Update" betrachtet und vom Intervall ohne Aktualisierung ausgenommen. Der Zweck eines Intervalls ohne Aktualisierung besteht darin, den Replikationsdatenverkehr zu reduzieren. Eine Änderung an einem Datensatz bedeutet, dass die Änderung repliziert werden sollte.

Nachdem der Datensatzzeitstempel und das Intervall ohne Aktualisierung verstrichen sind, können Sie ein Aktualisierungsintervall eingeben. Das Aktualisierungsintervall ist die Zeit, zu der Aktualisierungen des Zeitstempels zulässig sind. Der Client darf seinen Zeitstempel aktualisieren. Dieser Zeitstempel wird repliziert, und das Intervall ohne Aktualisierung beginnt erneut. Wenn der Client seinen Datensatz während des Aktualisierungsintervalls nicht aktualisiert, kann er abgefangen werden.

Hinweis

Wenn Sie die Intervalle Aktualisieren und Keine Aktualisierung festlegen, geben Sie Clients genügend Zeit, um während des Aktualisierungsintervalls mehrere Registrierungsversuche durchzuführen. Wenn Sie dies nicht tun, kann ein Datensatz aufgrund eines fehlgeschlagenen Aktualisierungsversuchs zum Auffangen berechtigt sein.

Wenn Sie mit der rechten Maustaste auf Ihren Server klicken und Alterung/Gerüst für alle Zonen festlegen... auswählen, wird ein Screenshot ähnlich dem obigen angezeigt. Diese Option legt die Standardeinstellungen fest, die verwendet werden, wenn dieser Server eine neue Zone erstellt. Sofern Sie nicht das Kontrollkästchen Diese Einstellungen auf vorhandene in Active Directory integrierte Zonen anwenden aktivieren, wirkt sich die Einstellung nicht auf vorhandene Zonen aus.

Abfangen von Einstellungen auf dem Server

Um die Abreinigung auf dem Server festzulegen, klicken Sie mit der rechten Maustaste auf den Server in der MMC, und wählen Sie Eigenschaften aus. Aktivieren Sie dann das Kontrollkästchen Automatisches Abfangen veralteter Datensätze aktivieren auf der Registerkarte Erweitert wie folgt:

Der Wert des Abfangenzeitraums gibt an, wie oft dieser Server bereinigt wird. Wenn ein Server ablöscht, protokolliert er die DNS-Ereignis-ID 2501, um anzugeben, wie viele Datensätze gelöscht werden. Wenn keine Datensätze erstellt werden, wird die Ereignis-ID 2502 protokolliert. Es muss nur ein Server abgefangen werden, da die Zonendaten auf alle Server repliziert werden, die die Zone hosten.

Tipp

Indem Sie den Zeitstempel für die neueste Ereignis-ID 2501 oder 2502 abrufen und ihr den Abscheidungszeitraum hinzufügen, können Sie genau erkennen, wann ein Server versucht, eine Abfangen durchzuführen.

Sie können zwar jeden Server, der die Zone hostet, so festlegen, dass sie gerüstet wird, es wird jedoch empfohlen, nur einen Satz zu verwenden. Wenn der Server nicht abfangen kann, hat dies keine schwerwiegenden Auswirkungen. Sie haben einen Ort, an dem Sie nach dem Verdacht suchen können, und eine Reihe von Protokollen, die Sie überprüfen können. Wenn Sie viele Server auf Scavenge festgelegt haben, haben Sie viele Protokolle, um zu überprüfen, ob beim Abfangen ein Fehler auftritt.

Um zu steuern, welcher Server für eine Zone erstellt wird, können Sie den Befehl dnscmd verwenden, um genau anzugeben, welche Server entfernt werden können. Der Befehl lässt beispielsweise zu, dnscmd /zoneresetscavengeservers contoso.com 192.168.1.1 192.168.1.2 dass nur DNS-Server mit den IP-Adressen 192.168.1.1 und 192.168.1.2 die contoso.com Zone löschen können.

Abfangen des Prozesses und der abschließenden Überprüfungen

Sie können auch manuell einen Abfangenversuch initiieren, indem Sie mit der rechten Maustaste auf den Server klicken und Gerüst für veraltete Ressourceneinträge auswählen. Beachten Sie, dass manuelle Versuche die Sicherheitsventile nicht umgehen.

Überprüfen Sie Folgendes, bevor Sie die veralteten Datensätze löschen:

• Ist das Scavenging für die Zone aktiviert?
• Ist das dynamische Update für die Zone aktiviert?
• Ist der Scavengingserver als einer der Gerüstserver für die Zone aufgeführt?
• Wird der Zeitstempel "zone can be scavenged after" für die Zone überschritten?
  Dadurch können die Clients und die AD-Replikation vorbereitet werden, bevor Sie beginnen.
• Ist das Aktualisierungsintervall seit der letzten Replikation dieser Zone in Active Directory länger als das Aktualisierungsintervall?
  Wenn das Scavenging auf einem Server mit Replikationsproblemen aktiviert ist, kann dies dazu beitragen, eine unnötige Grabung von Datensätzen zu verhindern, die auf anderen Servern möglicherweise noch gültig sind.

Wenn alle oben genannten Überprüfungen bestanden werden, ist die Zone bereit für das Abfangen. An diesem Punkt überprüft der Scavengingserver den Zeitstempel für jeden Ressourcendatensatz. Wenn das aktuelle Datum und die aktuelle Uhrzeit größer als der Zeitstempel sowie die Intervalle Keine Aktualisierung und Aktualisierung sind, wird der Datensatz gelöscht.

Beispiel: Festlegen des Gerüsts für eine bereits vorhandene Zone

Hier sehen Sie ein Beispiel für das Einrichten einer bereits vorhandenen Zone. Dieses Verfahren ist auf maximale Sicherheit ausgelegt. Bei Verwendung von Standardeinstellungen kann dieser Prozess vier bis fünf Wochen dauern (zwei Wochen für die Integritätsprüfungsphase und zwei bis drei Wochen für die Aktivierungsphase).

Setupphase

1. Deaktivieren Sie das Scavenging auf allen Servern. Sie können den Befehl verwenden, um das dnscmd /zoneresetscavengeservers Scavening auf einen einzelnen Server zu beschränken und dann sicherzustellen, dass das Scavenging für diesen Server deaktiviert ist.
2. Aktivieren Sie das Scavenging für die Zonen, die Sie abfangen möchten. Legen Sie die Intervalle Aktualisieren und Keine Aktualisierung nach Bedarf fest. Um eine effektivere Abfangen zu ermöglichen, empfehlen wir, das Intervall ohne Aktualisierung zu verringern und das Aktualisierungsintervall auf dem Standardwert zu belassen.
3. Fügen Sie das heutige Datum sowie die Aktualisierungs- und No-Refresh-Intervalle hinzu. Kommen Sie in ein paar Wochen zurück, wenn diese Zeit verstrichen ist.

Phase der Integritätsprüfung

Suchen Sie in Ihren DNS-Einträgen nach Datensätzen, die älter als das Intervall Aktualisieren und No-Refresh sind. Wenn eines angezeigt wird, liegt ein Problem mit dem dynamischen Registrierungsprozess vor, das behoben werden sollte, bevor Sie fortfahren. Eine gründliche Überprüfung an diesem Punkt ist der wichtigste Schritt bei der Einrichtung.

Zu überprüfende Punkte, wenn Sie alte Datensätze finden:

• Funktioniert der ipconfig /registerdns Befehl?
• Wer ist der Besitzer des Datensatzes (siehe Registerkarte Sicherheit in den Datensatzeigenschaften)?
• Wird der Datensatz statisch von einem Administrator erstellt und dann für das Auffangen aktiviert? Wenn ja, müssen Sie den Datensatz löschen, um den Besitz zu löschen, und den ipconfig /registerdns Befehl ausführen, um ihn zu aktualisieren.
• Funktioniert die Active Directory-Replikation des Servers ordnungsgemäß?

Fahren Sie nur dann fort, wenn Sie veraltete Datensätze erklären können. In der nächsten Phase werden sie gelöscht.

Aktivierungsphase

Sie können den dnscmd /zoneresetscavengeservers Befehl verwenden, um das Scavenging auf einem einzelnen Server zu aktivieren.

Nachdem das Scavenging aktiviert ist, erstellen Sie einen neuen Testdatensatz, und aktivieren Sie ihn für das Auffangen. Stellen Sie dann den Zeitpunkt fest, zu dem dieser Datensatz nicht mehr vorhanden ist. Die Schritte sind hier aufgeführt:

1. Beginnen Sie mit dem Zeitstempel für den Datensatz.
2. Fügen Sie das Aktualisierungsintervall hinzu.
3. Fügen Sie das Intervall Ohne Aktualisierung hinzu.
4. Das Ergebnis ist Ihre Zeit für die "Schnitzelberechtigung".The result will be your "eligible to scavenge". Der Datensatz wird jedoch zu diesem Zeitpunkt nicht ausgeblendet.
5. Überprüfen Sie ihre DNS-Ereignisprotokolle auf die Ereignis-IDs 2501 und 2502, um zu ermitteln, wann der DNS-Server das Scavenging ausführen wird.
6. Suchen Sie basierend auf Ihrem Zeitpunkt für die Erstellung von Löschberechtigungen die neueste Ereignis-ID 2501 oder Ereignis-ID 2502, und fügen Sie den Aufräumzeitraum des Servers (auf der Registerkarte Erweitert der Servereigenschaften) hinzu.
7. Dies ist der Zeitpunkt, zu dem der Testdatensatz verschwindet.

Zum Beispiel:

• Eine Zone wird auf ein Aktualisierungsintervall von 3 Tagen und ein 3-tägiges Intervall ohne Aktualisierung festgelegt.
• Der Serverabräumzeitraum ist auf drei Tage festgelegt.
• Die letzte DNS-Ereignis-ID 2501 oder 2502 ist am 01.01.2008 um 6:00 Uhr aufgetreten.
• Sie verfügen über einen Datensatz mit einem Zeitstempel vom 1.1.2008 um 12:00 Uhr (12:00 Uhr).

Unter diesen Annahmen können Sie vorhersagen, dass der Datensatz am 10.01.2008 um etwa 6 Uhr gelöscht wird. Hier sehen Sie ein Diagramm des Beispiels.

Sobald das Abfangen aktiviert ist, können Sie in regelmäßigen Abständen nach den Ereignissen Ereignis-ID 2501 und 2502 suchen, um zu sehen, wie die Dinge laufen. Sie können auch zum vorhergesagten Datum und zur vorhergesagten Uhrzeit zurückkehren und überprüfen, ob Ihr Testdatensatz nicht mehr vorhanden ist.