mapick
Goto Top

Konfiguration DNS Aging und Scavenging

Wer automatisiert Ordung auf seinem DNS Server halten will, dem könnte diese Anleitung recht hilfreich sein face-smile
Wir haben dadurch unseren DNS Server um mehr als 3000 Records erleichtert.

Automatische Bereinigung der DNS Server

Ein unter Windows 2003 installierter DNS-Server erlaubt die dynamische Aktualisierung von DNS-Records. Im Laufe der Zeit häufen sich Einträge in den Forward- und Reverse-Loookup-Zonen, die veraltet sind und auf nicht mehr existierende Rechner zeigen. Zum Beispiel können das Einträge von mobilen Benutzern sein, die ihr Notebook in das Netzwerk integriert hatten; aber auch Rechner, die einfach aus dem Netzwerk entfernt wurden, hinterlassen ihre Spuren in den entsprechenden DNS-Zonen.

Wie kann man jetzt aber dafür sorgen, dass diese Einträge aus den Zonen wieder entfernt werden? Das ist eigentlich relativ simpel. Windows-DNS-Server ab Windows 2000 unterstützen das Aufräumen von veralteten Einträgen. Diese Funktion ist allerdings standardmäßig deaktiviert und muss manuell aktiviert werden. Hier sollte man auch ein paar kleine Dinge beachten.

Das Aufräumen und die Alterung müssen sowohl am Server, als auch in den entsprechenden Zonen aktiviert werden. Die Einstellungen für den Server erreicht man über das Kontextmenü und dort den Eintrag "Set Aging/Scavenging for all Zones… ". Dann sollte folgender Dialog erscheinen:

3241f1eda67ee80a5ab347c329de0769-screenshot.15.
(Eigenschaften Serveralterung / Aufräumvorgang am Server)

Am Server ist das aber noch nicht alles, was eingestellt werden muss.
Dem Server muss noch beigebracht werden, dass er in einem bestimmten Intervall den Aufräumvorgang durchführen soll. Diese Einstellung wird auf der Registerkarte "Advanced" in den Eigenschaften des Servers vorgenommen.

7dc77ccb3bfbd044e4cafd5f7eb22968-screenshot.16.

(Registerkarte "Advanced" des Servers)

Hier ist wichtig, dass bei "Enable automatic scavenging of stale records" ein Haken gesetzt ist.
Wenn diese Option nicht aktiviert ist, dann räumt der Server nie die veralteten Einträge auf.

Was bedeuten denn die angebenden Werte?

"No-refresh interval": Diese Zeitspanne gibt an, wie lange ein Eintrag vom Client nicht aktualisiert werden kann. Wenn ein Client seinen A-Record in der DNS-Zone einträgt, dann wird dieser Eintrag mit einem Zeitstempel versehen. Dieser Zeitstempel kann bis nach Ablauf dieser Frist nicht aktualisiert werden. Wenn aber ein Client z.B. eine andere IP-Adresse erhalten hat, dann kann er diese natürlich im DNS ändern. Diese Einstellung wirkt sich also nur auf den Aktualisierungsintervall des Zeitstempels aus. Den Zeitstempel der DNS-Records kann man in der Standardansicht nicht einsehen. Wenn man den Zeitstempel eines DNS Eintrages einsehen möchte, so muss man vorher in der DNS-Konsole unter "Ansicht" die "Erweiterte Ansicht" aktivieren. Danach kann man durch Doppelklick auf einen Eintrag den entsprechenden Zeitstempel einsehen.

7857745c3bceb27331caae3ab27961f4-screenshot.17.

(Zeitstempel eines A-Records)

"Refresh interval": Innerhalb dieses Intervalls hat der Client die Möglichkeit, den Zeitstempel zu aktualisieren. Wenn dieses Intervall abgelaufen ist, dann wird der Eintrag als veraltet markiert und letztendlich durch den Aufräumvorgang aus der DNS-Zone entfernt.

"Scavenging period": Dieser Wert gibt an, wie oft der Server das Aufräumen veralteter Einträge vornimmt.
Der Server legt die Startzeit des ersten Aufräumvorgangs nach folgender Formel fest:
Aktuelle Serverzeit + Refresh interval = Startzeit für den Aufräumvorgang

Wenn diese Einstellungen auf dem Server vorgenommen wurden, müssen noch Einstellungen an der entsprechenden DNS Zone vorgenommen werden. Diese Einstellungen werden in den Eigenschaften der jeweiligen Zone auf der Registerkarte "Advanced" durchgeführt.

e4255c304900e679a3c74dcfdfea8b30-screenshot.18.

(Registerkarte "General" in den Eigenschaften der Zone)

Auf dieser Registerkarte ist ein Button "Aging…" zu finden. Durch Klicken auf diesen Button gelangt man zu einen Dialogfenster, was dem des DNS-Servers sehr ähnelt.

5e51041ceec9d9d011fba5aeae816c41-screenshot.19.

(Einstellungen der Zone für die Alterung)

Zusätzlich zu den Einstellungen für " No-refresh interval " und "Refresh interval" kann man in diesem Dialogfenster auch den Zeitpunkt einsehen, wann die Zone für den Aufräumvorgang zur Verfügung steht.
Wenn diese Einstellungen vorgenommen wurden, dann kümmert sich der DNS-Server ab jetzt um Entfernung veralteter Einträge aus der DNS-Zone. Wenn der DNS-Server ein Aufräumintervall durchlaufen hat, kann man diesen Vorgang im Eventlog nachvollziehen. Ein Aufräumvorgang wird hier durch die Event-ID "2501" angezeigt.

Einige Einträge werden jedoch nicht aus der DNS-Zone entfernt:

- Der SOA-Eintrag
- NS-Einträge
- manuelle Einträge
- Einträge durch WINS-Lookup

Hier ein Beispiel:

- Die Zone ist konfiguriert auf einen 3 Tage Refresh und einen 3 Tage No-Refresh interval
- Server Scavenging period ist konfiguriert auf 3 Tage
- Letzte DNS Event id 2501 oder 2502 wurde am 1.1.2008 um 6:00 Uhr erzeugt
- Gehen wir von einem Record mit dem timestamp 1.1.2008 um 12:00 Uhr aus

209df6bc76fd1c51265a86e02e8c9ece-screenshot.20.


!! Achtung !!

Eine Stolperfalle ist die Zonenalterung in Active-Directory-integrierten Zonen.
Alle DNS-Server, die diese Zone hosten, versuchen, die Einträge der Zone aufzuräumen.
Hier empfiehlt es sich, den Aufräumvorgang auf einen Server zu begrenzen, der für diesen Vorgang freie Ressourcen hat.
Die Festlegung eines dedizierten "Aufräumservers" geht leider nicht über die GUI, sondern nur mit dem Tool "dnscmd" welches in den Support Tools enthalten ist.

Mit der Hilfe dieses Tools lassen sich auch die oben genannten Einstellungen auf der Kommandozeile vornehmen. Hier einige Servereinstellungen:

• "No-refresh Interval" auf z.B. 5 Tage setzen:
dnscmd dnsservername.domain.intern /config /defaultnorefreshinterval 0×78
• "Refresh interval" auf z.B.5 Tage setzen:
dnscmd dnsservername.domain.intern /config /defaultrefreshinterval 0×78
• "Scavening interval" auf z.B. 5 Tage setzen:
dnscmd dnsservername.domain.intern /config /scavenginginterval 0×78

Das Intervall muss in Stunden angegeben werden. Bei 5 Tagen ergeben sich dadurch 120 Stunden, was in hexadezimaler Schreibweise 78 ergibt.


Hier noch eine kleine Sammlung von weiterführenden Links:

DNSCMD Syntax:
http://technet.microsoft.com/en-us/library/cc756116.aspx

Managing the aging and scavenging of server data:
http://technet.microsoft.com/en-us/library/cc776907.aspx

Understanding aging and scavenging:
http://technet.microsoft.com/en-us/library/cc759204.aspx

Content-ID: 107401

Url: https://administrator.de/contentid/107401

Printed on: December 3, 2024 at 05:12 o'clock

priez
priez Jan 28, 2009 at 15:58:40 (UTC)
Goto Top
Hi,

Danke für die Anleitung.

Hier noch ein Fall der im Zusammenhang mit "Aufräumen der Ressourceneinträge" mir passiert ist:
ein halbes Jahr nach der Installation einer Domäne habe ich auf dem DNS-Server (W2K3 SP1 standalone) "Veraltete Ressourceneinträge aufräumen" angeklickt und der DNS-Server hat die Einträge in _msdcs.domain.de entfernt. Das ist schlecht, denn damit gehen auch die Verweise für Kerberos etc. flöten. Bei uns hiess es, dass eine Anmeldung an die Domäne nicht möglich war. Lediglich direkt auf DC konnten sich die Domänenadmins anmelden.

Falls das jemand anderen auch passiert:

__Beginn HowTo__
Eingeloggt im DC mit Domänenadmin-Account.

DC/Active Directory nicht in DNS registriert. Es werden die nettools vom Windows Server 2003 Support Package benötigt. Danach kann mit folgenden Befehlen die Struktur und der genaue Fehler analysiert werden.

          • netdiag
          • dcdiag
          • dcdiag /testdns

Sollte _ldap_ oder _dc_ oder _pd_ nicht im DNS unter _msdcs.deinedomain.de registriert sein, kann mit folgenden Schritten der Domänencontroller wieder im DNS eingetragen werden um einen Zugriff auf die Active-Directory (Kerberos) zu gewähren.

          • 1. ipconfig /registerdns
          • 2. netdiag /fix
          • 3. net stop netlogon
          • 4. net start netlogon

Danach sollten die Clients neustarten um ihre Anmeldeinformationen zu erneuern.

Quellen:
Probleme mit DNS bei NetDiag
http://www.faq-o-matic.net/2006/08/14/domaenencontroller-mit-dcdiag-pru ...
__Ende Howto__

Ich weiss bis heute nicht, warum die AD-Einträge veraltet waren. In der Zwischenzeit haben wir das Problem aber nicht mehr.

mfg

René
priez
priez Feb 10, 2009 at 22:25:59 (UTC)
Goto Top
P.S. Warum den Titel in Englisch? Für Google?