¿Que estás tratando de hacer?
Estoy tratando de habilitar la eliminación de DNS en una zona DNS que tiene alrededor de cien registros DNS obsoletos.
¿Qué has intentado para que esto suceda?
Configuré DNS Scavenging según la publicación de TechNet Blog favorita de todos: No tengas miedo de DNS Scavenging. Sea paciente.
Primero deshabilité el barrido en todos nuestros controladores de dominio:
DNSCmd . /ZoneResetScavengeServers contoso.com 192.168.1.1 192.168.1.2
Luego habilité el barrido automático en la zona DNS:
Luego habilité la eliminación de DNS en uno de los controladores de dominio:
Luego encontré algunos registros que esperaba eliminar con sellos de tiempo de hace unos años y me aseguré de que la Delete this record when it becomes stalemarca de tiempo y esa marca de tiempo estuvieran realmente establecidas:
Finalmente volví a cargar la zona y esperé 14 días (la suma de los períodos Actualizar + No actualizar).
¿Qué resultados esperabas?
Esperaba ver un evento 2501 en los registros del servidor DNS notando la eliminación de un montón de registros DNS.
¿Lo que realmente pasó?
No pasó nada. Las propiedades de envejecimiento / barrido de la zona mostraron que la zona podría limpiarse después del 6/12/2014 10:00:00 AM la semana pasada. No se registraron 2501/2502 eventos. Todos los registros con marcas de tiempo "antiguas" todavía están presentes.
La fecha en la que la zona puede limpiarse después de aumentar otros siete días hasta el 6/18/2014 10:00:00 AM.
Según tengo entendido, hasta esa fecha se mantiene al menos 14 días en el pasado, nada será elegible para la recolección y mucho menos para la recolección.
Los únicos 2501 eventos registrados en los registros de eventos son los que activé haciendo clic derecho y seleccionando "Recuperar registros de recursos obsoletos". Señalan que el barrido intentará volver a ejecutarse en 168 horas, que fue esta mañana.
Tengo el barrido de DNS habilitado durante unos meses y he esperado pacientemente a que algo suceda. He recargado la zona varias veces (lo que restablece esta marca de tiempo).
¿Que me estoy perdiendo aqui?
DNSCmd . /ZoneResetScavengeServers contoso.com 192.168.1.1 192.168.1.2no necesariamente desactivó la búsqueda de todos sus DC. Se permitió compactación de 192.168.1.1 y 192.168.1.2. ¿Alguna de esas direcciones ejecuta DNS? Cuando dijo que habilitó el barrido en uno de los controladores de dominio, mostró una captura de pantalla de la configuración en DNS. Pero tenga en cuenta que esa configuración y este comando están configurando 2 cosas diferentes. Debe ejecutar este comando nuevamente con la dirección IP de ese DC. ¿Ya hiciste eso?Respuestas:
Esto es viejo, pero arrojaré algunas sugerencias.
No lo creo. La configuración suena correcta y los registros deben ser eliminados. Se necesitan tres elementos para buscar en la zona, en un servidor DNS y en registros de recursos con una marca de tiempo.
Cosas obvias primero: verifique la seguridad de los registros de recursos. Los controladores de dominio de sistema y de empresa suelen tener control total. Y no negar entradas.
Verificaría la versión de dns.exe para asegurarme de que esté actualizada. Tanto 2008 R1 como R2 han tenido errores con la forma en que los registros DNS se destruyen y eliminan.
Windows Server 2008 R1: 6.0.6002.23387
https://support.microsoft.com/en-us/kb/2962612
Windows Server 2008 R2: 6.1.7601.22893
https://support.microsoft.com/en-us/kb/3022780
Supongo que la zona está integrada por AD. Si es así, dnscmd.exe / zoneinfo zoneName informa un tipo de partición de directorio de AD-Domain (o AD-Forest) el 99.999% del tiempo. He visto zonas donde la partición se ha cambiado a otra cosa, luego se volvió a cambiar y algo salió mal durante ese proceso, o no hubo ninguno de los valores esperados desde el principio debido a cómo se aprovisionó el controlador de dominio, o no todos los controladores de dominio informó el mismo tipo de partición.
Verifique el atributo fsmoRoleOwner en ADSIEdit para la partición DC = DomainDNSZones, DC = dominio, DC = com. DomainDNSZones y ForestDNSZones tienen los propietarios de roles sexto / séptimo fsmo. Si alguna vez hubo algún daño en el pasado y un controlador de dominio anterior que poseía la partición ya no existe, el atributo fsmoRoleOwner contendría 0ADel: y la guía del controlador de dominio anterior. Más información sobre la corrección que está aquí:
http://blogs.technet.com/b/the_9z_by_chris_davis/archive/2011/12/20/forestdnszones-or-domaindnszones-fsmo-says-the-role-owner-attribute-could-not-be-read.aspx
Otra situación que puede interferir con el funcionamiento normal son las zonas duplicadas. Ace Fekay tiene una excelente reseña aquí:
http://blogs.msmvps.com/acefekay/2009/09/02/using-adsi-edit-to-resolve-conflicting-or-duplicate-ad-integrated-dns-zones/
fuente
Estoy con briantist en este caso. También puede ver aquí para obtener ayuda: http://support.microsoft.com/kb/2791165
Primero ... asegúrate de RECARGAR la zona DNS ... luego ... básicamente quieres asegurarte de que los DC que estás permitiendo buscar con el DNSCmd son aquellos en los que tienes DNS corriendo. Siga ese artículo de KB en este punto si todavía tiene el problema ya que la pregunta es antigua. Eso junto con tu blog de Technet debería llevarte en la dirección correcta. Si terminas resolviendo esto de otra manera, ¡sería útil si publicas la respuesta aquí!
fuente