我刚刚意识到,以前的管理员为其中一个 DC 上的所有区域(包括 _msdcs 区域)启用了 DNS 清理。这种情况已经持续了一段时间,一切都很好,但我无法想象这是最佳做法。
清除 _msdcs 区域是否有危险?
我是否应该确保该区域不被清除?
清除操作是否会破坏该区域中我目前还不知道的任何东西?
答案1
好的,简单回顾一下:
- _msdcs 本质上是所有这些 AD 关键SRV 记录被存管。
- 所有需要 SRV 记录的服务器都应通过动态 DNS 注册并刷新它们。您(希望)不会手动构建 SRV 记录。
- netlogon 服务执行 DDNS 刷新,根据这个默认刷新频率为 1 小时。但根据这个,它每 24 小时刷新一次 - 这也是我在自己的 SRV 记录的时间戳中观察到的。
- 还请注意,DDNS 更新具有对 DHCP 客户端服务的依赖,因此即使您的服务器是静态寻址的,也不要禁用 DHCP 客户端服务。
- 这默认清理间隔是7天。清除移除任何动态记录,其时间戳早于(今日日期 - 清除间隔);如果没有清理,这些记录将保留,直到被删除(手动或通过 DC 降级等其他过程)。清理不会不是触碰静态记录(您手动创建的记录),除非您明确允许清除记录。
因此,记住所有这些,只要您清理的频率不超过记录可以自行刷新的频率,您就应该可以进行清理。您可以通过快速浏览您要清理的任何区域中的时间戳来验证您的记录是否确实可以自行刷新。
恕我直言,清理总是一个好主意,是的,这包括 _msdcs 区域。如果 DC 停止刷新其 DNS 记录,清理将自动删除这些记录,这是一件好事 - 您不希望人们解析到损坏的 DC。
我认为这篇文章不要害怕 DNS 清理。只需耐心等待。成为 Windows DNS 清理的规范最佳实践。
答案2
我说,把它清除掉!
只要允许,其中的所有内容都会由 DC 自动填充 - 只要您不频繁地清除它,那么就不会有问题。