大约9个月前,我成为一家公司的Active Directory系统管理员.今天有人提交了一张票,指出我们的DNS有一个权威服务器的陈旧条目.我的调查发现,在2012年,一个分支机构已经关闭,该办公室的域控制器已经退役,没有运行dcpromo并删除了DNS角色.我还从办公室运行的同一子网中找到了大约十二个其他静态DNS条目,该公司不再使用该子网.
这不是我第一次遇到过时的静态DNS条目.其中大部分都属于我们的工程部门,他们将在他们的实验室中建立服务器,请求我们将其添加到DNS,然后终止服务器并且永远不会告诉IT它.其中大多数是从未加入我们的AD域的实验室服务器,因此我无法在AD中检查DNS与计算机帐户.
如何隔离和删除所有这些陈旧的静态条目?
我们在2008r2功能级别运行Active Directory.我们所有的DC都是2008r2.
解决方法
为了清理工作,每条记录必须有一个时间戳. dnscmd.exe / ageallrecords命令确定该时间戳.对于实际的实时系统,这仅仅意味着时间戳将在运行命令时更新,然后在下一个刷新间隔(7天或启动时)更新.对于所有陈旧的记录,这意味着建立了一个有效的时间戳,然后允许在下一个清除间隔中清除那些陈旧的记录.
因此,假设您要在DNS服务器和DNS区域上启用清理,您可以使用dnscmd.exe / ageallrecords在所有记录上设置当前时间戳.对于实际仍然存在的所有Windows系统,它们将每7天或在启动时更新其记录,因此不应在下一个清理间隔进行清理.对于不再存在的主机的所有陈旧记录,应在下一个清理间隔清除它们.
