大约9个月前,我成为公司的Active Directory系统pipe理员。 今天有人提交了一张票,指出我们的DNS有一个权威的服务器陈旧的条目。 我的调查发现,在2012年,一个分支机构已经closures,该办事处的域控制器已经退役,没有运行dcpromo并删除了DNSangular色。 我还从办公室运行的同一子网中发现了大约十几个半静态DNS项,该子网不再由公司使用。
这不是我第一次遇到已过时的静态DNS条目。 其中大部分属于我们的工程单位,他们将在实验室中站起来服务器,要求我们将其添加到DNS,然后杀死服务器,从来不告诉IT。 其中大多数是从未join到我们的AD域的实验室服务器,所以我无法检查AD对AD计算机帐户的DNS。
我怎样才能隔离和删除所有这些陈旧的静态条目?
我们在2008r2function级别上运行Active Directory。 我们所有的区议会都是2008r2。
为了清理工作,每个logging必须有一个时间戳。 dnscmd.exe /ageallrecords命令build立该时间戳。 对于实际的实时系统,这仅仅意味着时间戳将在运行命令时更新,然后在下一个刷新间隔(7天或启动时)更新。 对于所有陈旧的logging,这意味着build立了一个有效的时间戳,然后允许那些陈旧的logging在下一个扫描时间间隔被清除。
因此,假设您要在DNS服务器和DNS区域启用清理,则可以使用dnscmd.exe /ageallrecords设置所有logging上的当前时间戳。 对于实际上仍然存在的所有Windows系统,他们将每7天或在启动时更新logging,因此不应在下次清理间隔时清理。 对于不存在的主机的所有陈旧logging,应在下一个清除间隔时清除它们。