Configuração de limpeza de DNS

Este artigo discute como configurar a limpeza do DNS (Sistema de Nomes de Domínio) e fornece um exemplo de configuração de limpeza em uma zona pré-existente.

A limpeza limpa (exclui) registros obsoletos no DNS. Como a exclusão está envolvida, muitas válvulas de segurança são incorporadas à limpeza, o que leva muito tempo para habilitar a limpeza.

No Windows Server, a limpeza deve ser definida em todos os três locais a seguir:

1. No registro de recursos individual a ser scavenged.
2. Em uma zona a ser scavenged.
3. Em um ou mais servidores que executam a limpeza.

Configurações de limpeza no registro de recursos

No DNS Microsoft Management Console (MMC), selecione Exibir>Avançado e marcar as propriedades de um registro de recurso para ver as configurações de limpeza. Por exemplo:

A limpeza em um registro de recurso pode ser definida em três métodos:

• O primeiro é verificar a caixa de seleção Excluir esse registro quando ele se torna obsoleto e selecionar Aplicar. Quando você seleciona Aplicar, o tempo atual é arredondado para a hora mais próxima e aplicado como o carimbo de data/hora no registro. O carimbo de data/hora dos registros estáticos é 0, indicando que eles não foram scavenged.
• A segunda maneira é quando um registro é criado por um computador cliente registrando usando DNS (DDNS dinâmico). Os clientes Windows atualizam dinamicamente o DNS a cada 24 horas. Todos os registros DDNS são definidos como scavenge. Quando um registro é criado pela primeira vez por um cliente que não tem nenhum registro existente, ele é considerado uma "Atualização" e um carimbo de data/hora é definido. Se o cliente tiver um registro de host existente e alterar o IP do registro do host, isso também será considerado uma "Atualização" e um carimbo de data/hora será definido. Se o cliente tiver um registro de host existente com o mesmo endereço IP, isso será considerado uma "Atualização" e se as alterações de carimbo de data/hora dependerão das configurações da zona.
• A terceira maneira de definir a limpeza em registros é usando o comando dnscmd /ageallrecords . Se você executar esse comando em uma zona, ele definirá a limpeza e um carimbo de data/hora para todos os registros na zona, incluindo registros estáticos que você não deseja que sejam scavenged.

Depois que um carimbo de data/hora for definido em um registro, ele será replicado para todos os servidores que hospedam a zona.

Configurações de limpeza na zona

Antes que um servidor verifique um registro para ver se ele será scavenged, a zona deve ter a limpeza habilitada. Para acessar as configurações de limpeza de uma zona, clique com o botão direito do mouse na zona, selecione Propriedades e selecione Envelhecimento na guia Geral .

Quando você define pela primeira vez a limpeza em uma zona, o carimbo de data/hora (visto na parte inferior) é definido como a hora atual do dia (arredondada para a hora mais próxima) mais o intervalo de atualização. Essa configuração também é redefinida sempre que a zona é carregada ou as atualizações dinâmicas são habilitadas na zona.

A zona pode ser scavenged depois que o carimbo de data/hora é a primeira válvula de segurança. Ele dá aos clientes tempo para atualizar seus carimbos de data/hora de registro. Como novos carimbos de data/hora de registro não são replicados quando a limpeza de zona é desabilitada, isso também dá tempo de replicação para manter as coisas em ordem.

Intervalos de atualização e sem atualização

As próximas válvulas de segurança são os intervalos Atualizar e Não atualizar. Depois que ambos os intervalos tiverem decorrido, um registro pode ser excluído.

O intervalo sem atualização é um período de tempo durante o qual um registro de recurso não pode ser atualizado. Uma "Atualização" é uma atualização dinâmica em que você não altera o registro de recursos do host; basta tocar no carimbo de data/hora. Se um cliente alterar o IP de um registro de host, isso será considerado uma "Atualização" e será isento do intervalo sem atualização. A finalidade de um intervalo sem atualização é reduzir o tráfego de replicação. Uma alteração em um registro significa que a alteração deve ser replicada.

Depois que o carimbo de data/hora do registro mais o intervalo sem atualização tiver decorrido, você poderá inserir um intervalo de atualização. O intervalo de atualização é a hora em que as atualizações para o carimbo de data/hora são permitidas. O cliente tem permissão para entrar e atualizar seu carimbo de data/hora. Esse carimbo de data/hora será replicado e o intervalo sem atualização será iniciado novamente. Se o cliente não atualizar seu registro durante o intervalo de atualização, ele se tornará qualificado para ser scavenged.

Se você clicar com o botão direito do mouse no servidor e selecionar Definir Envelhecimento/Limpeza para Todas as Zonas..., verá uma captura de tela semelhante à anterior. Essa opção define as configurações padrão que serão usadas quando esse servidor criar uma nova zona. A menos que você selecione a caixa de seleção Aplicar essas configurações à caixa de seleção de zonas integradas ao Active Directory existente , a configuração não afeta as zonas existentes.

Configurações de limpeza no servidor

Para definir a limpeza no servidor, clique com o botão direito do mouse no servidor no MMC e selecione Propriedades. Em seguida, selecione a caixa de seleção Habilitar a limpeza automática de registros obsoletos na guia Avançado da seguinte maneira:

O valor do período de limpeza é a frequência com que esse servidor é armazenado. Quando um servidor é armazenado, ele registra uma ID de Evento DNS 2501 para indicar quantos registros são coletados. Se nenhum registro for registrado, a ID do evento 2502 será registrada. Apenas um servidor é necessário para armazenar, pois os dados da zona são replicados para todos os servidores que hospedam a zona.

Embora você possa definir todos os servidores que hospedam a zona como scavenge, recomendamos apenas ter um conjunto. Se o servidor não conseguir localizar, ele não terá um impacto sério. Você terá um lugar para procurar a suspeita e um conjunto de logs para marcar. Se você tiver muitos servidores definidos como scavenge, você terá muitos logs para marcar se a limpeza falhar.

Para controlar qual servidor está procurando por uma zona, você pode usar o comando dnscmd para especificar exatamente quais servidores podem ser armazenados. Por exemplo, o dnscmd /zoneresetscavengeservers contoso.com 192.168.1.1 192.168.1.2 comando permite que apenas servidores DNS com endereços IP de 192.168.1.1 e 192.168.1.2 sejam usados na contoso.com zona.

Processo de limpeza e verificações finais

Você também pode iniciar manualmente uma tentativa de limpeza clicando com o botão direito do mouse no servidor e selecionando Registros de Recursos Obsoletos do Scavenge. Observe que as tentativas manuais não ignorarão as válvulas de segurança.

Verifique o seguinte antes de excluir os registros obsoletos:

• A limpeza está habilitada na zona?
• A atualização dinâmica está habilitada na zona?
• O servidor de limpeza está listado como um dos servidores de limpeza da zona?
• O carimbo de data/hora "zona pode ser scavenged after" na zona excedida?
  Isso permite que os clientes e a replicação do AD sejam preparados antes de você começar.
• Foi mais longo do que o intervalo de atualização desde que essa zona foi replicada pela última vez no Active Directory?
  Se a limpeza estiver habilitada em um servidor com problemas de replicação, isso poderá ajudar a evitar tombamentos desnecessários de registros que ainda podem ser válidos em outros servidores.

Se todas as verificações acima forem passadas, a zona estará pronta para limpeza. Neste ponto, o servidor de limpeza verifica o carimbo de data/hora em cada registro de recurso. Se a data e a hora atuais forem maiores que o carimbo de data/hora mais intervalos sem atualização e Atualização, o registro será excluído.

Exemplo: configuração de limpeza em uma zona pré-existente

Aqui está um exemplo de configuração de limpeza em uma zona pré-existente. Este procedimento foi projetado para obter segurança máxima. Se usar configurações padrão, esse processo poderá levar de quatro a cinco semanas (duas semanas para a sanidade marcar fase e de duas a três semanas para a fase de habilitação).

Fase de instalação

1. Desative a limpeza em todos os servidores. Você pode usar o dnscmd /zoneresetscavengeservers comando para limitar a limpeza a um único servidor e, em seguida, garantir que esse servidor esteja desabilitado.
2. Ative a limpeza nas zonas que você deseja localizar. Defina os intervalos atualizar e não atualizar conforme desejado. Para armazenar com mais eficiência, recomendamos baixar o intervalo sem atualização e deixar o intervalo de atualização no padrão.
3. Adicione a data de hoje mais os intervalos Atualizar e No-Refresh. Volte em algumas semanas quando essa hora tiver decorrido.

Fase marcar sanidade

Procure registros mais antigos que o intervalo atualizar mais No-Refresh em seus registros DNS. Se você vir algum, há um problema com o processo de registro dinâmico, que deve ser corrigido antes de prosseguir. Uma marcar completa neste ponto é a etapa mais importante da configuração.

O que marcar se você encontrar registros antigos:

• ipconfig /registerdns O comando funciona?
• Quem é o proprietário do registro (consulte a guia Segurança nas propriedades do registro)?
• O registro é criado estaticamente por um administrador e, em seguida, habilitado para limpeza? Nesse caso, você precisa excluir o registro para limpar a propriedade e executar o ipconfig /registerdns comando para atualizá-lo.
• A replicação do Active Directory do servidor está funcionando corretamente?

Não prossiga a menos que você possa explicar os registros desatualizados. Na próxima fase, eles serão excluídos.

Fase Habilitar

Você pode usar o dnscmd /zoneresetscavengeservers comando para habilitar a limpeza em um único servidor.

Depois que a limpeza estiver habilitada, crie um novo registro de teste e habilite-o para limpeza. Em seguida, mapeie o ponto no tempo em que esse registro desaparece. Estas são as etapas:

1. Comece com o carimbo de data/hora no registro.
2. Adicione o intervalo Atualizar.
3. Adicione o intervalo sem atualização.
4. O resultado será a hora de "qualificado para catar". No entanto, o registro não desaparecerá neste momento.
5. Verifique os logs de eventos DNS para ver as IDs de Evento 2501 e 2502 para localizar quando o servidor DNS executará a limpeza.
6. Com base no seu tempo de "qualificado para limpar", localize a ID de Evento mais recente 2501 ou o evento ID de Evento 2502 e adicione o período de limpeza do servidor (da guia Avançado das propriedades do servidor) a ele.
7. Esse é o ponto no tempo em que o registro de teste desaparece.

Por exemplo:

• Uma zona é definida como um intervalo de atualização de 3 dias e um intervalo sem atualização de 3 dias.
• O período de limpeza do servidor é definido como três dias.
• A última ID de Evento DNS 2501 ou 2502 ocorreu às 6h de 1/1/2008.
• Você tem um registro com um carimbo de data/hora de 1/1/2008 às 12:00 (meio-dia).

Dadas essas suposições, você pode prever que o registro será excluído por volta das 6h de 10/10/2008. Aqui está um diagrama do exemplo.

Depois que a limpeza estiver habilitada, você pode marcar periodicamente procurar os eventos ID do evento 2501 e 2502 para ver como as coisas estão indo. Você também pode voltar na data e hora previstas e ver se o registro de teste desapareceu.