DNS-Alterung und -Bereinigung

2025-05-06
Gilt für:: ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

DNS-Server, auf denen Windows Server ausgeführt wird, unterstützen Alterungs- und Bereinigungsfunktionen. Diese Features werden als Mechanismus zum Durchführen der Bereinigung und Entfernung veralteter Ressourceneinträge bereitgestellt, die sich im Laufe der Zeit in Zonendaten sammeln können.

Gründe für die Verwendung von Altern und Aufräumen

Bei dynamischer Aktualisierung werden Ressourceneinträge automatisch zu Zonen hinzugefügt, wenn Computer im Netzwerk starten. In einigen Fällen werden sie jedoch nicht automatisch entfernt, wenn Computer das Netzwerk verlassen. Wenn ein Computer beispielsweise einen eigenen Hostressourcendatensatz (A) beim Start registriert und später nicht ordnungsgemäß vom Netzwerk getrennt wird, wird der Ressourcendatensatz des Hosts (A) möglicherweise nicht gelöscht. Wenn Ihr Netzwerk mobile Benutzer und Computer hat, kann diese Situation häufig auftreten.

Wenn sie nicht verwaltet werden, kann das Vorhandensein veralteter Ressourcendatensätze in Zonendaten einige Probleme verursachen. Im Folgenden finden Sie Beispiele:

Wenn eine große Anzahl veralteter Ressourceneinträge in Serverzonen verbleiben, können sie schließlich Speicherplatz auf dem Server belegen und lange Zonenübertragungen verursachen.
DNS-Server mit veralteten Ressourceneinträgen verwenden möglicherweise veraltete Informationen, um Clientabfragen zu beantworten, wodurch die Clients möglicherweise Probleme bei der Namensauflösung im Netzwerk haben.
Die Ansammlung veralteter Ressourceneinträge auf dem DNS-Server kann die Leistung und Reaktionsfähigkeit beeinträchtigen.
In einigen Fällen kann das Vorhandensein eines veralteten Ressourceneintrags in einer Zone verhindern, dass ein DNS-Domänenname von einem anderen Computer oder Hostgerät verwendet wird.

Um diese Probleme zu lösen, verfügt der DNS-Serverdienst über die folgenden Features:

Zeitstempel, basierend auf dem aktuellen Datum und der aktuellen Uhrzeit auf dem Servercomputer, für alle Ressourceneinträge, die dynamisch zu Zonen des primären Typs hinzugefügt werden. Darüber hinaus werden Zeitstempel in Standardprimärzonen aufgezeichnet, für die Altern oder Aufräumen aktiviert ist.
Bei Ressourceneinträgen, die Sie manuell hinzufügen, weist der Server einen Zeitstempelwert von Null zu. Dies bedeutet, dass der Alterungsprozess nicht angewendet wird. Diese Datensätze können unbegrenzt in den Zonendaten verbleiben, es sei denn, Sie ändern ihren Zeitstempel oder löschen sie.
Der DNS-Serverdienst altert Ressourceneinträge in lokalen Daten basierend auf einem angegebenen Aktualisierungszeitraum für alle berechtigten Zonen. Nur primäre Typzonen, die der DNS-Serverdienst lädt, können an diesem Prozess teilnehmen.
Durchsuchen nach Ressourceneinträgen, die über den angegebenen Aktualisierungszeitraum hinaus bestehen bleiben. Bei einem Aufräumvorgang kann ein DNS-Server veraltete Ressourceneinträge ermitteln und sie aus den Zonendaten entfernen. Server können so konfiguriert werden, dass wiederkehrende Gerüstvorgänge automatisch ausgeführt werden, oder Sie können einen sofortigen Gerüstvorgang auf dem Server initiieren.

Warnung

Standardmäßig ist der Alterungs- und Bereinigungsmechanismus für den DNS-Serverdienst deaktiviert. Sie sollte nur aktiviert werden, wenn alle Parameter vollständig verstanden werden. Andernfalls könnte der Server versehentlich so konfiguriert werden, dass Datensätze gelöscht werden, die nicht gelöscht werden sollten. Wenn ein Datensatz versehentlich gelöscht wird, können Benutzer Abfragen für diesen Datensatz nicht auflösen. Außerdem kann jeder Benutzer den Datensatz erstellen und den Besitz übernehmen, auch in Zonen, die für sichere dynamische Updates konfiguriert sind.

Der Server nutzt den Zeitstempel der einzelnen Ressourceneinträge, um zu bestimmen, wann Datensätze aufgeräumt werden sollen. Sie können Alterungs- und Säuberungseigenschaften konfigurieren, um diesen Prozess zu kontrollieren.

Voraussetzungen

Bevor die Alterungs- und Bereinigungsfunktionen von DNS verwendet werden können, müssen mehrere Bedingungen erfüllt sein:

Das Aufräumen und Altern müssen sowohl auf dem DNS-Server als auch in der Zone aktiviert sein.

Standardmäßig sind Altern und Aufräumen von Ressourceneinträgen deaktiviert.

Ressourceneinträge müssen entweder dynamisch Zonen hinzugefügt oder manuell geändert werden, um in Alterungs- und Aufräumvorgängen verwendet werden zu können.

In der Regel unterliegen nur die Ressourceneinträge, die dynamisch mithilfe des dynamischen DNS-Updateprotokolls hinzugefügt werden, dem Altern und der Bereinigung.

Sie können jedoch die Bereinigung für andere Ressourceneinträge aktivieren, die über nicht-dynamische Verfahren hinzugefügt wurden. Für Datensätze, die mithilfe einer textbasierten Zonendatei von einem anderen DNS-Server hinzugefügt oder manuell hinzugefügt wurden, legt der Server einen Zeitstempel von Null fest. Durch einen Zeitstempel von Null werden diese Datensätze für Alterungs- und Aufräumvorgänge ungeeignet.

Um diesen Standardwert zu ändern, können Sie diese Datensätze einzeln konfigurieren, zurücksetzen und ihnen erlauben, einen aktuellen Zeitstempelwert (nonzero) zu verwenden. Durch einen aktuellen Zeitstempelwert (ungleich null) können diese Datensätze als veraltet gekennzeichnet und aufgeräumt werden.

Tipp

Wenn Sie eine Zone von einer standardmäßigen primären Zone zu einer Active Directory-integrierten Zone ändern, sollten Sie die Bereinigung aller vorhandenen Ressourceneinträge in der Zone aktivieren. Um das Altern für alle vorhandenen Ressourceneinträge in einer Zone zu aktivieren, können Sie den Befehl "AgeAllRecords" verwenden, der über das dnscmd Befehlszeilentool verfügbar ist.

Terminologie

Die folgende Liste enthält Begriffe, die im Zusammenhang mit Altern und Aufräumen verwendet werden.

Aktuelle Serverzeit Das aktuelle Datum und die aktuelle Uhrzeit auf dem DNS-Server. Diese Zahl kann jederzeit als exakter numerischer Wert ausgedrückt werden.
Kein Aktualisierungsintervall: Ein für jede Zone festgelegtes Zeitintervall, das durch die beiden folgenden Ereignisse begrenzt wird:
- Das Datum und die Uhrzeit, zu der der Datensatz zuletzt aktualisiert wurde, und der Zeitpunkt, an dem der Zeitstempel gesetzt wurde.
- Das Datum und die Uhrzeit, zu dem bzw. der der Datensatz das nächste Mal für eine Aktualisierung verfügbar ist und sein Zeitstempel zurückgesetzt wird.

Dieser Wert ist erforderlich, um die Anzahl der Schreibvorgänge in die Active Directory-Datenbank zu verringern. Dieses Intervall ist standardmäßig auf 7 Tage festgelegt.

Es sollte nicht auf einen unangemessen hohen Wert festgelegt werden, da die Vorteile der Funktion für Altern und Aufräumen entweder verloren gehen oder gemindert werden könnten.

Datensatzaktualisierung Wenn eine dynamische DNS-Aktualisierung für einen Ressourceneintrag verarbeitet wird, wenn nur der Zeitstempel des Ressourceneintrags und keine anderen Merkmale des Eintrags überarbeitet werden. Aktualisierungen treten in der Regel aus folgenden Gründen auf:
- Wenn ein Computer im Netzwerk neu gestartet wird, überprüft er, ob der Name und die IP-Adresse identisch sind wie vor dem Herunterfahren. Wenn der Name und die IP-Adresse konsistent sind, sendet der Computer eine Aktualisierung, um die zugehörigen Ressourceneinträge zu erneuern.
- Der Computer sendet während seiner Ausführung eine regelmäßige Aktualisierung.
- Der Windows- und Windows Server-DNS-Clientdienst erneuert die DNS-Registrierung von Clientressourceneinträgen alle 24 Stunden. Wenn die dynamische Updateanforderung keine Änderung an der DNS-Datenbank verursacht, wird eine Aktualisierung ausgeführt.
- Ein anderer Netzwerkdienst führt einen Aktualisierungsversuch durch. Beispiel:
  - DHCP-Server verlängern die Leasedauer von Clientadressen.
  - Clusterserver registrieren und aktualisieren Datensätze für einen Cluster.
  - Der Netlogon-Dienst registriert und aktualisiert Ressourceneinträge, die von Active Directory-Domänencontrollern verwendet werden.
Datensatzaktualisierung Wenn eine dynamische DNS-Aktualisierung für einen Ressourceneintrag verarbeitet wird, bei dem andere Merkmale des Eintrags zusätzlich zum Zeitstempel überarbeitet werden. Updates treten in der Regel aus folgenden Gründen auf:
- Wenn dem Netzwerk ein neuer Computer hinzugefügt wird. Beim Start sendet der Computer ein Update, um seine Ressourceneinträge zum ersten Mal bei der konfigurierten Zone zu registrieren.
- Wenn bei einem Computer mit vorhandenen Einträgen in der Zone eine Änderung der IP-Adresse erfolgt, sodass Aktualisierungen für die überarbeiteten Zuordnungen vom Typ „Name zu Adresse“ in DNS-Zonendaten gesendet werden
- Wenn der Netlogon-Dienst einen neuen Active Directory-Domänencontroller registriert.
Aktualisierungsintervall: Ein für jede Zone festgelegtes Zeitintervall, das durch die beiden folgenden eindeutigen Ereignisse begrenzt wird:
- Das früheste Datum und die früheste Uhrzeit, zu der der Datensatz aktualisiert und sein Zeitstempel zurückgesetzt werden kann.
- Das früheste Datum und die früheste Uhrzeit, zu dem bzw. der der Eintrag aufgeräumt und aus der Zonendatenbank entfernt werden kann

Dieser Wert sollte groß genug sein, damit alle Clients ihre Datensätze aktualisieren können. Dieses Intervall ist standardmäßig auf sieben Tage festgelegt. Das Aktualisierungsintervall sollte nicht zu hoch konfiguriert werden, da die Vorteile der Alterungs- und Säuberungsfunktion verloren gehen oder verringert werden können. Berücksichtigen Sie beim Festlegen dieses Werts die Anforderungen und das Verhalten Ihres Netzwerks.

Ressourcendatensatz-Zeitstempel Ein Datums- und Uhrzeitwert, der vom DNS-Server verwendet wird, um das Entfernen des Ressourceneintrags zu bestimmen, wenn er Alterungs- und Bereinigungsvorgänge ausführt.
Bereinigungszeitraum Wenn die automatische Bereinigung auf dem Server aktiviert ist, stellt dieser Zeitraum die Zeit zwischen Wiederholungen des automatisierten Bereinigungsprozesses dar. Die Standardeinstellung beträgt 7 Tage. Um eine Verschlechterung der DNS-Serverleistung zu verhindern, beträgt der zulässige Mindestwert eine Stunde.
Bereinigungsserver Ein optionaler erweiterter Zonenparameter, mit dem Sie eine eingeschränkte Liste von IP-Adressen für DNS-Server angeben können, die aktiviert sind, um die Zone zu bereinigen. Standardmäßig versuchen alle DNS-Server, die eine verzeichnisintegrierte Zone laden (die auch für Aufräumarbeiten aktiviert ist), diese Zone aufzuräumen, wenn dieser Parameter nicht angegeben ist. In einigen Fällen kann dieser Parameter hilfreich sein, wenn es vorzuziehen ist, dass das Scavenging nur auf einigen Servern durchgeführt wird, die die verzeichnisintegrierte Zone laden. Zum Festlegen dieses Parameters müssen Sie die Liste der IP-Adressen für die Server angeben, für die das Aufräumen der Zone im Parameter ScavengingServers für die Zone aktiviert ist. Verwenden Sie den dnscmd-Befehl, um den Parameter festzulegen. dnscmd ist ein befehlszeilenbasiertes Tool zur Verwaltung von Windows-DNS-Servern. Alternativ können Sie das PowerShell-Cmdlet Set-DnsServerScavenging verwenden.
Start der Sammelzeit Eine bestimmte Zeit, ausgedrückt als Zahl. Diese Zeit wird vom Server verwendet, um zu bestimmen, wann eine Zone für die Säuberung verfügbar wird.

Wann kann das Sammeln beginnen?

Wenn alle Voraussetzungen für die Aktivierung des Aufräumens erfüllt sind, kann das Aufräumen für eine Serverzone beginnen, wenn die aktuelle Serverzeit größer ist als der Wert der Startzeit für das Aufräumen für die Zone.

Der Server legt den Zeitwert fest, um die Säuberung pro Zone zu starten, wenn eines der folgenden Ereignisse eintritt:

Dynamische Updates sind für die Zone aktiviert.
Eine Änderung des Zustands des Kontrollkästchens Veraltete Ressourcendatensätze aufräumen wird angewendet. Sie können die DNS-Konsole verwenden, um diese Einstellung entweder auf einem anwendbaren DNS-Server oder in einer der primären Zonen zu ändern.
Der DNS-Server oder -Dienst wird gestartet, wodurch der Server eine primäre Zone lädt, für die das Aufräumen aktiviert ist.
Wenn eine Zone den Dienst nach der Pause wieder einhält.

Wenn eines der vorangegangenen Ereignisse eintritt, legt der DNS-Server den Wert der Startzeit für die Reinigung fest, indem die folgende Summe berechnet wird:

Aktuelle Serverzeit + Aktualisierungsintervall = Startzeit für Aufräumen

Dieser Wert wird als Grundlage für den Vergleich bei Sammelvorgängen verwendet.

Beispielprozess für das Altern und Aufräumen für einen Eintrag

Um den Prozess des Alterns und der Bereinigung auf dem Server zu verstehen, sollten Sie die Lebensdauer sowie die Phasen eines einzelnen Ressourcendatensatzes berücksichtigen.

Im folgenden Beispiel wird einem Server und einer Zone, für die Altern und Aufräumen aktiviert sind, ein Eintrag hinzugefügt. Es altert dann und wird schließlich aus der Datenbank entfernt.

Der Beispiel-DNS-Host host-a.example.contoso.com registriert seinen Hostressourceneintrag (A) auf dem DNS-Server für eine Zone, für die Altern/Aufräumen aktiviert ist.
Wenn der DNS-Server den Eintrag registriert, wird ein Zeitstempel für diesen Eintrag basierend auf der aktuellen Serverzeit platziert.

Nachdem der Datensatzzeitstempel geschrieben wurde, akzeptiert der DNS-Server keine Aktualisierungen für diesen Eintrag während des Zonen-No-Refresh-Intervalls. Es kann jedoch vor diesem Zeitpunkt Aktualisierungen akzeptieren. Wenn sich die IP-Adresse für host-a.example.contoso.com ändert, kann der DNS-Server das Update akzeptieren. In diesem Fall aktualisiert der Server auch den Zeitstempel des Eintrags (setzt diesen zurück).
Nach Ablauf des Zeitraums ohne Aktualisierung beginnt der Server, Versuche zu akzeptieren, diesen Datensatz zu aktualisieren.

Nach Ablauf des anfänglichen Nicht-Aktualisierungszeitraums beginnt sofort der Aktualisierungszeitraum für den Datensatz. Während dieser Zeit unterdrückt der Server keine Versuche, den Eintrag für seine restliche Lebensdauer zu aktualisieren.
Wenn der Server während und nach dem Aktualisierungszeitraum eine Aktualisierung für den Datensatz erhält, verarbeitet er ihn.

Dadurch wird der Zeitstempel für den Eintrag basierend auf der in Schritt 2 beschriebenen Methode zurückgesetzt.
Wenn der Server für die example.contoso.com-Zone nachfolgende Bereinigungen durchführt, werden die Datensätze (und alle anderen Zonendatensätze) untersucht.

Jeder Datensatz wird basierend auf der folgenden Summe mit der aktuellen Serverzeit verglichen, um zu bestimmen, ob der Datensatz entfernt werden soll:

Zeitstempel des Eintrags + Kein Aktualisierungsintervall für Zone + Aktualisierungsintervall für Zone
1. Wenn der Wert dieser Summe größer als die aktuelle Serverzeit ist, wird keine Aktion ausgeführt, und der Datensatz wird weiterhin in der Zone altern.
  
  Oder
2. Wenn der Wert dieser Summe kleiner als die aktuelle Serverzeit ist, wird der Datensatz sowohl aus den Zonendaten im Serverspeicher als auch aus dem DnsZone-Objektspeicher in Active Directory für die verzeichnisintegrierte example.contoso.com Zone gelöscht.