我一直在清理我们的 DNS/DHCP,并且准备打开清理功能(从未启用过)来开始清理一些旧记录,但在这之前,我想检查一些事情。
在 DNS > 正向查找区域下,我有一个正在更新的区域,但该区域下_msdcs.company.local还有一个文件夹,并且此文件夹中的记录未更新。我在 company.local 区域上设置了清除,从表面上看,该文件夹下的所有内容都将被清除。_msdcscompany.local
_msdcs区域下的文件夹是否company.local应该更新或者_msdcs.company.local区域是否足够好?
我没有足够的声誉来发布图片,但也许下面的图表会有所帮助
-_msdcs.domain.local +dc +domains +gc +pdc -domain.local -_msdcs +dc +domains +gc -_sites -_tcp -_udp -_DomainDnsZone -_ForestDnsZone
只是想确保我不会获取会破坏 DNS 的记录
答案1
该_msdcs.company.local区域是用于查找的区域,因为它更具体 -company.local区域中的副本未用于回答查询(您可以通过在那里进行更改并检查响应来验证)并且可以安全地转储。
答案2
假设您的 AD DNS 基础架构是使用 Windows Server 2008 或 Windows Server 2008 R2 实现的,而不是 Windows Server 2000 或 2003 的保留,那么您所指的 _msdcs.company.local 子域是一个委派区域。除了区域已委派到的 DC/DNS 服务器的 NS 记录之外,您实际上不应该在子域中看到任何内容。在每个 DC/DNS 服务器上,此 NS 将是服务器本身,因为每个 DC/DNS 服务器都对其自己的 AD 集成 DNS 区域副本具有权威性。您可以发布区域的屏幕截图吗?
答案3
_msdcs 上默认不启用清理。在继续操作之前,您可能需要考虑这一点。
在域区域上启用清理之前,您需要确保已禁用清理全部DNS 服务器。当区域上的清理功能被禁用时,时间戳不会被复制。在区域上重新启用清理功能后,您需要留出时间让所有计算机更新其记录并复制其时间戳。两到三周后,您应该能够在服务器级别重新启用清理功能。
配置为自动在 DNS 中注册的计算机每 24 小时注册一次。在服务器级别重新启用之前,您可能需要导出记录列表(以便您可以按日期时间正确排序)并抽查未更新但应该更新的记录。可能发生这种情况的一种情况是,如果您需要安全更新,但计算机可能在某个时候重新映像。在这种情况下,新的计算机帐户可能没有更新记录的权限。
本文介绍了设置清除的步骤和顺序: