Perigo de eliminar registros de recursos obsoletos na zona _msdcs?

Navegue suas respostas
7

Acabei de perceber que um administrador anterior ativou a eliminação de DNS para todas as zonas em um dos DCs, incluindo a zona _msdcs. Tem sido assim há um tempo e as coisas estão bem, mas não posso imaginar que esta seja a melhor prática.

Existe algum perigo para eliminar a zona _msdcs?
Devo fazer com que essa zona não seja eliminada?
Poderia a eliminação ter quebrado alguma coisa naquela zona da qual eu não tenha conhecimento neste momento?

    
por MDMarra 12.09.2011 / 22:13

2 respostas

12

OK, então, um breve resumo:

  1. _msdcs é essencialmente onde todos os registros SRV críticos do AD são mantidos.
  2. Todos os seus servidores que precisam de registros SRV devem estar registrando e atualizando-os via DNS dinâmico. Você (esperançosamente) não está construindo seus registros SRV manualmente.
  3. O serviço netlogon executa a atualização DDNS, com um de acordo com essa frequência de atualização padrão de 1 hora. Mas de acordo com isso , ele é atualizado a cada 24 horas - é o que eu observo nos timestamps dos meus próprios registros SRV também.
    • Além disso, esteja ciente de que as atualizações de DDNS têm uma dependência do serviço de cliente DHCP , portanto, não desabilite o cliente DHCP serviço, mesmo que seus servidores sejam endereçados estaticamente.
  4. O intervalo de eliminação padrão é de 7 dias. Eliminação remove qualquer registro dinâmico cujo timestamp seja mais antigo que (todaysdate - scavengeinterval) ; esses registros permaneceriam até serem excluídos (manualmente ou por algum outro processo como um rebaixamento DC) se não houvesse eliminação. A eliminação não não toca nos registros estáticos (aqueles criados manualmente), a menos que você permita explicitamente a eliminação do registro.
Portanto, mantendo tudo isso em mente, você deve estar bem com a eliminação, contanto que não esteja limpando com mais frequência do que seus registros podem se atualizar. Você pode verificar se os seus registros realmente estão se atualizando, dando uma breve olhada nos carimbos de data e hora em qualquer zona que você esteja considerando eliminar.

IMHO, a limpeza é sempre uma boa ideia, e sim isso inclui a zona _msdcs. Se um DC parar de atualizar seus registros DNS, a eliminação removerá automaticamente esses registros e isso é bom - você não gostaria que as pessoas resolvessem DCs com problemas.

Eu considero o artigo Não tenha medo do DNS Scavenging. Apenas seja paciente. é a melhor prática canônica para eliminação de DNS do Windows.

    
por 12.09.2011 / 23:25
5

Limpe isso, eu digo!

Tudo é automaticamente preenchido pelos DCs, desde que seja permitido - contanto que você não o esteja limpando ridiculamente com frequência, então não deve haver nenhum problema.

    
por 12.09.2011 / 23:01

Tags

Como limpar uma lista de inodes órfãos não processados? O uso de um terminal POS significa que eu preciso de conformidade com o PCI DSS?