"La zone peut être nettoyée après" continue de s'incrémenter

Qu'essayez-vous de faire?

J'essaie d'activer le nettoyage DNS sur une zone DNS qui compte une centaine d'enregistrements DNS périmés.

Qu'avez-vous essayé pour y arriver?

J'ai configuré DNS Scavenging selon l'article de blog TechNet préféré de tous: N'ayez pas peur de DNS Scavenging. Soyez patient.

J'ai d'abord désactivé le nettoyage de tous nos contrôleurs de domaine:

DNSCmd . /ZoneResetScavengeServers contoso.com 192.168.1.1 192.168.1.2

J'ai ensuite activé le nettoyage automatique sur la zone DNS:

J'ai ensuite activé le nettoyage DNS sur l'un des contrôleurs de domaine:

J'ai ensuite trouvé quelques enregistrements que je m'attendais à supprimer avec des horodatages d'il y a quelques années et j'ai veillé à ce que le Delete this record when it becomes staleet cet horodatage soient réellement définis:

Enfin, j'ai rechargé la zone et attendu 14 jours (la somme des périodes Refresh + No-Refresh).

À quels résultats vous attendiez-vous?

Je m'attendais à voir un événement 2501 dans les journaux du serveur DNS notant la suppression d'un tas d'enregistrements DNS.

Que s'est-il réellement passé?

Rien ne s'est passé. Les propriétés de vieillissement / nettoyage de zone ont montré que la zone pouvait être nettoyée après le 6/12/2014 à 10h00 la semaine dernière. Aucun événement 2501/2502 n'a été enregistré. Tous les enregistrements avec des horodatages "anciens" sont toujours présents.

Date à laquelle la zone peut être nettoyée après incrémentation de sept jours supplémentaires à 18/06/2014 à 10h00.

Si je comprends bien, jusqu'à ce que cette date reste au moins 14 jours dans le passé, rien ne sera même jamais éligible au nettoyage, et encore moins au nettoyage.

Les seuls 2501 événements enregistrés dans les journaux d'événements sont ceux que j'ai déclenchés en cliquant avec le bouton droit de la souris et en sélectionnant «Récupérer les enregistrements de ressources obsolètes». Ils notent que le balayage tentera de recommencer dans 168 heures ce qui était ce matin.

J'ai activé le nettoyage DNS pendant quelques mois et j'ai attendu patiemment que quelque chose se produise. J'ai rechargé la zone plusieurs fois (ce qui réinitialise cet horodatage).

Qu'est-ce que j'oublie ici?

C'est vieux, mais je vais émettre quelques suggestions.

Si je comprends bien, jusqu'à ce que cette date reste au moins 14 jours dans le passé, rien ne sera même jamais éligible au nettoyage, et encore moins au nettoyage.

Je ne pense pas. La configuration semble correcte et les enregistrements doivent être récupérés. Trois éléments sont nécessaires: le nettoyage est défini pour la zone, sur un serveur DNS et sur les enregistrements de ressources avec un horodatage.

Choses évidentes d'abord - vérifiez la sécurité des enregistrements de ressources. Les contrôleurs de domaine système et d'entreprise disposent généralement d'un contrôle total. Et aucune entrée refusée.

Je voudrais vérifier la version de dns.exe pour m'assurer qu'elle est à jour. 2008 R1 et R2 ont tous deux eu des bugs avec la façon dont les enregistrements DNS sont désactivés et récupérés.

Windows Server 2008 R1: 6.0.6002.23387
https://support.microsoft.com/en-us/kb/2962612

Windows Server 2008 R2: 6.1.7601.22893
https://support.microsoft.com/en-us/kb/3022780

Je suppose que la zone est intégrée à AD. Si tel est le cas, dnscmd.exe / zoneinfo zoneName signale un type de partition d'annuaire de domaine AD (ou AD-forêt) 99,999% du temps. J'ai vu des zones où la partition a été changée en autre chose, puis changé en arrière et quelque chose s'est mal passé pendant ce processus, ou aucune des valeurs attendues depuis le début en raison de la façon dont le contrôleur de domaine a été provisionné, ou pas tous les contrôleurs de domaine a signalé le même type de partition.

Vérifiez l'attribut fsmoRoleOwner dans ADSIEdit pour la partition DC = DomainDNSZones, DC = domain, DC = com. Les DomainDNSZones et ForestDNSZones ont les sixième / septième propriétaires de rôles FSMO. S'il y avait jamais eu des dommages dans le passé et qu'un contrôleur de domaine précédent qui possédait la partition n'existait plus, l'attribut fsmoRoleOwner contiendrait 0ADel: et le guide du contrôleur de domaine précédent. Plus d'informations sur la correction ici:

http://blogs.technet.com/b/the_9z_by_chris_davis/archive/2011/12/20/forestdnszones-or-domaindnszones-fsmo-says-the-role-owner-attribute-could-not-be-read.aspx

Les zones en double peuvent également interférer avec le fonctionnement normal. Ace Fekay a une excellente rédaction ici:

http://blogs.msmvps.com/acefekay/2009/09/02/using-adsi-edit-to-resolve-conflicting-or-duplicate-ad-integrated-dns-zones/

Je suis avec briantist sur celui-ci. Vous pouvez également voir ici de l'aide: http://support.microsoft.com/kb/2791165

Tout d'abord ... assurez-vous de RÉTABLIR la zone DNS ... puis ... fondamentalement, vous voulez vous assurer que les contrôleurs de domaine que vous autorisez à nettoyer avec le DNSCmd sont ceux sur lesquels DNS s'exécute. Suivez cet article de la base de connaissances à ce stade si le problème persiste, car la question est ancienne. Cela avec votre blog Technet devrait vous mettre dans la bonne direction. Si vous avez fini par résoudre cette autre façon, il serait utile de publier la réponse ici!