O que você está tentando fazer?
Estou tentando ativar a eliminação de DNS em uma zona DNS que possui cerca de cem registros DNS antigos.
O que você tentou para que isso acontecesse?
Eu configuro a eliminação de DNS de acordo com a postagem favorita do blog do TechNet de todos: Não tenha medo da eliminação de DNS. Apenas seja paciente.
Desativei a eliminação em todos os nossos controladores de domínio:
DNSCmd . /ZoneResetScavengeServers contoso.com 192.168.1.1 192.168.1.2
Ativei a eliminação automática na zona DNS:
Ativei a eliminação de DNS em um dos controladores de domínio:
Encontrei alguns registros que esperava excluir com timestamps de alguns anos atrás e garanti que o Delete this record when it becomes stalecarimbo de data e hora estivesse realmente definido:
Finalmente recarreguei a zona e esperei 14 dias (a soma dos períodos de atualização + sem atualização).
Que resultados você esperava?
Eu esperava ver um evento 2501 nos logs do servidor DNS, observando a exclusão de vários registros DNS.
O que realmente aconteceu?
Nada aconteceu. As propriedades de envelhecimento / eliminação de zonas mostraram que a zona poderia ser eliminada após 12/06/2014 10:00:00 na semana passada. Nenhum evento 2501/2502 foi registrado. Todos os registros com carimbos de data e hora "antigos" ainda estão presentes.
A data em que a zona pode ser eliminada depois de incrementada por mais sete dias para 18/06/2014 às 10:00:00.
Pelo que entendi, até que essa data permaneça pelo menos 14 dias no passado, nada será elegível para eliminação e muito menos realmente será eliminado.
Os únicos 2501 eventos registrados nos logs de eventos são aqueles que foram acionados clicando com o botão direito e selecionando "Scavenge Stale Resource Records". Eles observam que a limpeza tentará executar novamente em 168 horas, que foi nesta manhã.
Tenho a eliminação de DNS ativada por alguns meses e esperei pacientemente que algo acontecesse. Recarreguei a zona várias vezes (que redefine esse carimbo de data / hora).
O que estou perdendo aqui?
DNSCmd . /ZoneResetScavengeServers contoso.com 192.168.1.1 192.168.1.2não desativou necessariamente a eliminação de todos os seus CDs. Ele permitiu lutando por 192.168.1.1 e 192.168.1.2. Algum desses endereços está executando o DNS? Quando você disse que ativou a eliminação em um dos controladores de domínio, mostrou uma captura de tela da configuração no DNS. Mas esteja ciente de que essa configuração e este comando estão configurando duas coisas diferentes. Você precisa executar este comando novamente com o endereço IP desse controlador de domínio. Você já fez isso?Respostas:
Isso é antigo, mas vou jogar algumas sugestões.
Acho que não. A configuração parece correta e os registros devem ser eliminados. Três coisas necessárias são a limpeza: a zona, em um servidor DNS e nos registros de recursos com carimbo de data / hora.
Coisas óbvias primeiro - verifique a segurança dos registros de recursos. Os controladores de domínio do sistema e da empresa geralmente têm controle total. E não negar entradas.
Gostaria de verificar a versão do dns.exe para garantir que ela esteja atualizada. O R1 e o R2 de 2008 tiveram problemas com a maneira como os registros DNS são marcados para exclusão e eliminados.
Windows Server 2008 R1: 6.0.6002.23387
https://support.microsoft.com/en-us/kb/2962612
Windows Server 2008 R2: 6.1.7601.22893
https://support.microsoft.com/en-us/kb/3022780
Estou assumindo que a zona é integrada ao AD. Nesse caso, o dnscmd.exe / zoneinfo zoneName relata um tipo de partição de diretório do Domínio AD (ou Floresta AD) 99.999% do tempo. Vi zonas em que a partição foi alterada para outra coisa, depois alterada e algo deu errado durante esse processo, ou não havia nenhum dos valores esperados desde o início devido a como o controlador de domínio foi provisionado ou nem todos os controladores de domínio relatou o mesmo tipo de partição.
Verifique o atributo fsmoRoleOwner no ADSIEdit para a partição DC = DomainDNSZones, DC = domain, DC = com. DomainDNSZones e ForestDNSZones têm os sexto / sétimo proprietários de função fsmo. Se houvesse algum dano no passado e um controlador de domínio anterior que possuísse a partição não existisse mais, o atributo fsmoRoleOwner conteria 0ADel: e o guia do controlador de domínio anterior. Mais informações sobre como corrigir isso estão aqui:
http://blogs.technet.com/b/the_9z_by_chris_davis/archive/2011/12/20/forestdnszones-or-domaindnszones-fsmo-says-the-role-owner-attribute-could-not-be-read.aspx
Outra situação que pode interferir na operação normal são zonas duplicadas. Ace Fekay tem um excelente artigo aqui:
http://blogs.msmvps.com/acefekay/2009/09/02/using-adsi-edit-to-resolve-conflicting-or-duplicate-ad-integrated-dns-zones/
fonte
Eu estou com briantist neste. Você pode ver aqui também para obter ajuda: http://support.microsoft.com/kb/2791165
Primeiro ... certifique-se de RELOAD a zona DNS ... então ... basicamente, você quer ter certeza de que os DCs que você está permitindo vasculhar com o DNSCmd são aqueles em que o DNS está sendo executado. Siga esse artigo da KB neste momento se você ainda estiver com o problema, pois a pergunta é antiga. Isso, juntamente com o seu blog da Technet, deve levá-lo na direção certa. Se você acabou resolvendo isso de outra maneira, seria útil se você postar a resposta aqui!
fonte