大约 9 个月前,我成为一家公司的 Active Directory 系统管理员。今天有人提交了一张票,指出我们的 DNS 中有一个权威服务器的过时条目。我的调查发现,2012 年,一家分公司已关闭,该办公室的域控制器已退役,但未运行 dcpromo 并删除 DNS 角色。我还发现了大约十几个其他静态 DNS 条目,这些条目来自该办公室所在的同一子网,而该公司不再使用该子网。
这不是我第一次遇到过时多年的静态 DNS 条目。其中大部分属于我们的工程部门,他们会在实验室中建立一台服务器,要求我们将其添加到 DNS,然后关闭该服务器,并且从不告诉 IT 部门。其中大部分是从未加入我们的 AD 域的实验室服务器,因此我无法根据 AD 中的计算机帐户检查 DNS。
我怎样才能隔离并删除所有这些陈旧的静止的条目?
我们在 2008r2 功能级别运行 Active Directory。我们所有的 DC 都是 2008r2。
答案1
为了使清除工作正常进行,每条记录都必须有一个时间戳。该dnscmd.exe /ageallrecords命令将建立该时间戳。对于实际的实时系统,这仅仅意味着时间戳将在运行命令时更新,然后在下一个刷新间隔(7 天或启动时)更新。对于所有过时的记录,这意味着建立了一个有效的时间戳,然后允许在下一个清除间隔清除这些过时的记录。
因此,假设您要在 DNS 服务器和 DNS 区域上启用清理功能,则可以使用它dnscmd.exe /ageallrecords来设置所有记录的当前时间戳。对于实际上仍然存在的所有 Windows 系统,它们将每 7 天或在启动时更新一次记录,因此不应在下一个清理间隔进行清理。对于不再存在的主机的所有过时记录,应在下一个清理间隔进行清理。