Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Konfiguration DNS Aging und Scavenging

Anleitung Netzwerke DNS

Mitglied: MaPick

MaPick (Level 1) - Jetzt verbinden

28.01.2009, aktualisiert 15:47 Uhr, 29686 Aufrufe, 2 Kommentare

Wer automatisiert Ordung auf seinem DNS Server halten will, dem könnte diese Anleitung recht hilfreich sein
Wir haben dadurch unseren DNS Server um mehr als 3000 Records erleichtert.

Automatische Bereinigung der DNS Server

Ein unter Windows 2003 installierter DNS-Server erlaubt die dynamische Aktualisierung von DNS-Records. Im Laufe der Zeit häufen sich Einträge in den Forward- und Reverse-Loookup-Zonen, die veraltet sind und auf nicht mehr existierende Rechner zeigen. Zum Beispiel können das Einträge von mobilen Benutzern sein, die ihr Notebook in das Netzwerk integriert hatten; aber auch Rechner, die einfach aus dem Netzwerk entfernt wurden, hinterlassen ihre Spuren in den entsprechenden DNS-Zonen.

Wie kann man jetzt aber dafür sorgen, dass diese Einträge aus den Zonen wieder entfernt werden? Das ist eigentlich relativ simpel. Windows-DNS-Server ab Windows 2000 unterstützen das Aufräumen von veralteten Einträgen. Diese Funktion ist allerdings standardmäßig deaktiviert und muss manuell aktiviert werden. Hier sollte man auch ein paar kleine Dinge beachten.

Das Aufräumen und die Alterung müssen sowohl am Server, als auch in den entsprechenden Zonen aktiviert werden. Die Einstellungen für den Server erreicht man über das Kontextmenü und dort den Eintrag "Set Aging/Scavenging for all Zones… ". Dann sollte folgender Dialog erscheinen:

3241f1eda67ee80a5ab347c329de0769-screenshot.15. - Klicke auf das Bild, um es zu vergrößern
(Eigenschaften Serveralterung / Aufräumvorgang am Server)

Am Server ist das aber noch nicht alles, was eingestellt werden muss.
Dem Server muss noch beigebracht werden, dass er in einem bestimmten Intervall den Aufräumvorgang durchführen soll. Diese Einstellung wird auf der Registerkarte "Advanced" in den Eigenschaften des Servers vorgenommen.

7dc77ccb3bfbd044e4cafd5f7eb22968-screenshot.16. - Klicke auf das Bild, um es zu vergrößern
(Registerkarte "Advanced" des Servers)

Hier ist wichtig, dass bei "Enable automatic scavenging of stale records" ein Haken gesetzt ist.
Wenn diese Option nicht aktiviert ist, dann räumt der Server nie die veralteten Einträge auf.

Was bedeuten denn die angebenden Werte?

"No-refresh interval": Diese Zeitspanne gibt an, wie lange ein Eintrag vom Client nicht aktualisiert werden kann. Wenn ein Client seinen A-Record in der DNS-Zone einträgt, dann wird dieser Eintrag mit einem Zeitstempel versehen. Dieser Zeitstempel kann bis nach Ablauf dieser Frist nicht aktualisiert werden. Wenn aber ein Client z.B. eine andere IP-Adresse erhalten hat, dann kann er diese natürlich im DNS ändern. Diese Einstellung wirkt sich also nur auf den Aktualisierungsintervall des Zeitstempels aus. Den Zeitstempel der DNS-Records kann man in der Standardansicht nicht einsehen. Wenn man den Zeitstempel eines DNS Eintrages einsehen möchte, so muss man vorher in der DNS-Konsole unter "Ansicht" die "Erweiterte Ansicht" aktivieren. Danach kann man durch Doppelklick auf einen Eintrag den entsprechenden Zeitstempel einsehen.

7857745c3bceb27331caae3ab27961f4-screenshot.17. - Klicke auf das Bild, um es zu vergrößern
(Zeitstempel eines A-Records)

"Refresh interval": Innerhalb dieses Intervalls hat der Client die Möglichkeit, den Zeitstempel zu aktualisieren. Wenn dieses Intervall abgelaufen ist, dann wird der Eintrag als veraltet markiert und letztendlich durch den Aufräumvorgang aus der DNS-Zone entfernt.

"Scavenging period": Dieser Wert gibt an, wie oft der Server das Aufräumen veralteter Einträge vornimmt.
Der Server legt die Startzeit des ersten Aufräumvorgangs nach folgender Formel fest:
Aktuelle Serverzeit + Refresh interval = Startzeit für den Aufräumvorgang

Wenn diese Einstellungen auf dem Server vorgenommen wurden, müssen noch Einstellungen an der entsprechenden DNS Zone vorgenommen werden. Diese Einstellungen werden in den Eigenschaften der jeweiligen Zone auf der Registerkarte "Advanced" durchgeführt.

e4255c304900e679a3c74dcfdfea8b30-screenshot.18. - Klicke auf das Bild, um es zu vergrößern
(Registerkarte "General" in den Eigenschaften der Zone)

Auf dieser Registerkarte ist ein Button "Aging…" zu finden. Durch Klicken auf diesen Button gelangt man zu einen Dialogfenster, was dem des DNS-Servers sehr ähnelt.

5e51041ceec9d9d011fba5aeae816c41-screenshot.19. - Klicke auf das Bild, um es zu vergrößern
(Einstellungen der Zone für die Alterung)

Zusätzlich zu den Einstellungen für " No-refresh interval " und "Refresh interval" kann man in diesem Dialogfenster auch den Zeitpunkt einsehen, wann die Zone für den Aufräumvorgang zur Verfügung steht.
Wenn diese Einstellungen vorgenommen wurden, dann kümmert sich der DNS-Server ab jetzt um Entfernung veralteter Einträge aus der DNS-Zone. Wenn der DNS-Server ein Aufräumintervall durchlaufen hat, kann man diesen Vorgang im Eventlog nachvollziehen. Ein Aufräumvorgang wird hier durch die Event-ID "2501" angezeigt.

Einige Einträge werden jedoch nicht aus der DNS-Zone entfernt:

- Der SOA-Eintrag
- NS-Einträge
- manuelle Einträge
- Einträge durch WINS-Lookup

Hier ein Beispiel:

- Die Zone ist konfiguriert auf einen 3 Tage Refresh und einen 3 Tage No-Refresh interval
- Server Scavenging period ist konfiguriert auf 3 Tage
- Letzte DNS Event id 2501 oder 2502 wurde am 1.1.2008 um 6:00 Uhr erzeugt
- Gehen wir von einem Record mit dem timestamp 1.1.2008 um 12:00 Uhr aus

209df6bc76fd1c51265a86e02e8c9ece-screenshot.20. - Klicke auf das Bild, um es zu vergrößern


!! Achtung !!

Eine Stolperfalle ist die Zonenalterung in Active-Directory-integrierten Zonen.
Alle DNS-Server, die diese Zone hosten, versuchen, die Einträge der Zone aufzuräumen.
Hier empfiehlt es sich, den Aufräumvorgang auf einen Server zu begrenzen, der für diesen Vorgang freie Ressourcen hat.
Die Festlegung eines dedizierten "Aufräumservers" geht leider nicht über die GUI, sondern nur mit dem Tool "dnscmd" welches in den Support Tools enthalten ist.

Mit der Hilfe dieses Tools lassen sich auch die oben genannten Einstellungen auf der Kommandozeile vornehmen. Hier einige Servereinstellungen:

• "No-refresh Interval" auf z.B. 5 Tage setzen:
dnscmd dnsservername.domain.intern /config /defaultnorefreshinterval 0×78
• "Refresh interval" auf z.B.5 Tage setzen:
dnscmd dnsservername.domain.intern /config /defaultrefreshinterval 0×78
• "Scavening interval" auf z.B. 5 Tage setzen:
dnscmd dnsservername.domain.intern /config /scavenginginterval 0×78

Das Intervall muss in Stunden angegeben werden. Bei 5 Tagen ergeben sich dadurch 120 Stunden, was in hexadezimaler Schreibweise 78 ergibt.


Hier noch eine kleine Sammlung von weiterführenden Links:

DNSCMD Syntax:
http://technet.microsoft.com/en-us/library/cc756116.aspx

Managing the aging and scavenging of server data:
http://technet.microsoft.com/en-us/library/cc776907.aspx

Understanding aging and scavenging:
http://technet.microsoft.com/en-us/library/cc759204.aspx
Mitglied: priez
28.01.2009 um 16:58 Uhr
Hi,

Danke für die Anleitung.

Hier noch ein Fall der im Zusammenhang mit "Aufräumen der Ressourceneinträge" mir passiert ist:
ein halbes Jahr nach der Installation einer Domäne habe ich auf dem DNS-Server (W2K3 SP1 standalone) "Veraltete Ressourceneinträge aufräumen" angeklickt und der DNS-Server hat die Einträge in _msdcs.domain.de entfernt. Das ist schlecht, denn damit gehen auch die Verweise für Kerberos etc. flöten. Bei uns hiess es, dass eine Anmeldung an die Domäne nicht möglich war. Lediglich direkt auf DC konnten sich die Domänenadmins anmelden.

Falls das jemand anderen auch passiert:

__Beginn HowTo__
Eingeloggt im DC mit Domänenadmin-Account.

DC/Active Directory nicht in DNS registriert. Es werden die nettools vom Windows Server 2003 Support Package benötigt. Danach kann mit folgenden Befehlen die Struktur und der genaue Fehler analysiert werden.

          • netdiag
          • dcdiag
          • dcdiag /testdns

Sollte _ldap_ oder _dc_ oder _pd_ nicht im DNS unter _msdcs.deinedomain.de registriert sein, kann mit folgenden Schritten der Domänencontroller wieder im DNS eingetragen werden um einen Zugriff auf die Active-Directory (Kerberos) zu gewähren.

          • 1. ipconfig /registerdns
          • 2. netdiag /fix
          • 3. net stop netlogon
          • 4. net start netlogon

Danach sollten die Clients neustarten um ihre Anmeldeinformationen zu erneuern.

Quellen:
http://www.administrator.de/Probleme_mit_DNS_bei_NetDiag.html
http://www.faq-o-matic.net/2006/08/14/domaenencontroller-mit-dcdiag-pru ...
__Ende Howto__

Ich weiss bis heute nicht, warum die AD-Einträge veraltet waren. In der Zwischenzeit haben wir das Problem aber nicht mehr.

mfg

René
Bitte warten ..
Mitglied: priez
10.02.2009 um 23:25 Uhr
P.S. Warum den Titel in Englisch? Für Google?
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless
DAP-2660 MultiSSID und VLAN Konfiguration
Anleitung von itse.comLAN, WAN, Wireless

Um den DAP-2660 (AP) zu konfigurieren muss sichergestellt sein, dass Sie sich im gleichen Netz befinden wie der AP. ...

RedHat, CentOS, Fedora
Fedora, RedHat, Centos: DNS-Search Domain setzen
Tipp von FrankRedHat, CentOS, Fedora13 Kommentare

Hallo Fedorea/RedHat/CentOS User, unter den "normalen" Netzwerkeinstellungen von Gnome (Einstellungen -> Netzwerk) findet man leider keine Möglichkeit mehr, um ...

Server
Quad9: Datenschutzfreundliche Alternative zum Google-DNS - 9.9.9.9
Information von DeepsysServer8 Kommentare

Hi, Hinter der IP 9.9.9.9 steht ein neuer öffentlicher DNS, unter anderem von IBM gefördert und betreut, der keine ...

Windows Tools
Microsoft APP-V 5.1 Installation und Konfiguration Step by Step
Erfahrungsbericht von MvinogradacWindows Tools3 Kommentare

Hallo Zusammen, ich habe in 4 Teilen erklärt, wie man die komplette APP-V Infrastruktur installiert und konfiguriert. Diese wollte ...

Neue Wissensbeiträge
Windows 10

Autsch: Microsoft bündelt Windows 10 mit unsicherer Passwort-Manager-App

Tipp von kgborn vor 19 StundenWindows 102 Kommentare

Unter Microsofts Windows 10 haben Endbenutzer keine Kontrolle mehr, was Microsoft an Apps auf dem Betriebssystem installiert (die Windows ...

Sicherheits-Tools

Achtung: Sicherheitslücke im FortiClient VPN-Client

Tipp von kgborn vor 21 StundenSicherheits-Tools

Ich weiß nicht, wie häufig die NextGeneration Endpoint Protection-Lösung von Fortinet in deutschen Unternehmen eingesetzt wird. An dieser Stelle ...

Internet

USA: Die FCC schaff die Netzneutralität ab

Information von Frank vor 1 TagInternet3 Kommentare

Jetzt beschädigt US-Präsident Donald Trump auch noch das Internet. Der neu eingesetzte FCC-Chef Ajit Pai ist bekannter Gegner einer ...

DSL, VDSL

ALL-BM200VDSL2V - Neues VDSL-Modem mit Vectoring von Allnet

Information von Lochkartenstanzer vor 1 TagDSL, VDSL2 Kommentare

Moin, Falls jemand eine Alternative zu dem draytek sucht: Gruß lks

Heiß diskutierte Inhalte
TK-Netze & Geräte
VPN-fähige IP-Telefone
Frage von the-buccaneerTK-Netze & Geräte16 Kommentare

Hi! Weiss noch jemand ein VPN-fähiges IP-Telefon mit dem man z.B. einen Heimarbeitsplatz gesichert anbinden könnte? Habe nur einen ...

Windows Server
GPO nur für bestimmte Computer
Frage von Leo-leWindows Server13 Kommentare

Hallo Forum, gern würde ich ein Robocopy script per Bat an eine GPO hängen. Wichtig wäre aber dort der ...

Windows Server
KMS Facts for Client configuration
Frage von winlinWindows Server13 Kommentare

Hey Leute, wir haben in unserem Netz nun einen neuen KMS Server. Haben Bestands-VMs die noch nicht aktiviert sind. ...

Windows Tools
Software-Tool zum Entfernen von bösartigem Windows
Frage von emeriksWindows Tools11 Kommentare

Hi, siehe Betreff hat das jemals irgendjemand schonmal sinnvoll eingesetzt? (MRT) E.