我一直在清理我们的DNS / DHCP,我准备开启清理(从来没有启用)开始清理一些旧的logging,但在此之前,我想检查一些东西。
在DNS>正向查找区域下我有一个_msdcs.company.local区域正在更新,但我也有一个_msdcs文件夹下的company.local区域和该文件夹中的logging不更新。 我已经清除了公司。本地区域的设置,并从该文件夹下的所有东西的外观将被清除。
company.local区域下的_msdcs文件夹应该更新还是_msdcs.company.local区域足够好?
我没有足够的声望发布图像,但下面的图表可能会有所帮助
-_msdcs.domain.local +dc +domains +gc +pdc -domain.local -_msdcs +dc +domains +gc -_sites -_tcp -_udp -_DomainDnsZone -_ForestDnsZone
只是想确保我不清除将打破DNS的logging
_msdcs.company.local区域是用于查找的区域,因为它更具体 – company.local区域中的副本不被用于回答查询(您可以通过在那里进行更改并检查响应来validation)并可以安全地倾倒。
假设您的AD DNS基础结构是使用Windows Server 2008或Windows Server 2008 R2实施的,而不是Windows Server 2000或2003的支持,那么您所指的_msdcs.company.local子域是一个委派区域。 您应该实际上看不到子域中的任何内容,除了该区域已委派给的DC / DNS服务器的NSlogging外。 在每个DC / DNS服务器上,这个NS将是服务器本身,因为每个DC / DNS服务器对于它自己的AD集成DNS区域副本是权威的。 你能发布你的区域的屏幕截图吗?
_msdcs默认情况下不启用清理。 在继续之前,您可能需要考虑这一点。
在域区域上启用清理之前,需要确保在所有 DNS服务器上禁用清理。 在区域禁用清理时,时间戳不复制。 在重新启用区域清理后,您需要让所有机器有时间更新其logging并复制时间戳。 两三个星期后,您应该能够在服务器级别重新启用清理。
计算机configuration为在DNS中自动注册,每24小时一次。 在服务器级别重新启用之前,您可能需要导出logging列表(以便您可以按date时间进行正确sorting),并抽查不更新但应该是的logging。 出现这种情况的一种情况是,如果您需要安全更新,但某个计算机可能在某个时间点被重新映像。 在这种情况下,新的计算机帐户可能没有更新logging的权限。
本文介绍了设置清理的步骤和顺序: