清除 _msdcs 区域中陈旧资源记录的危险？

Question

我刚刚意识到以前的管理员为其中一个 DC 上的所有区域（包括 _msdcs 区域）打开了 DNS 清理。这种方式已经有一段时间了，一切都很好，但我无法想象这是最佳实践。

清除 _msdcs 区域有什么危险吗？
我应该这样做以使该区域不被清除吗？
清除是否会破坏该区域中我目前不知道的任何东西？

Answer 1

好的，那么，快速概述：

1. _msdcs 本质上是保存所有这些 AD 关键SRV 记录的地方。
2. 所有需要 SRV 记录的服务器都应该通过动态 DNS 注册和刷新它们。您（希望）不是手动构建 SRV 记录。
3. netlogon 服务执行 DDNS 刷新，根据此默认刷新频率为 1 小时。但是根据this，它每24小时刷新一次-这也是我在自己的SRV记录的时间戳中观察到的。
   • 另请注意，DDNS 更新依赖于 DHCP 客户端服务，因此即使您的服务器是静态寻址，也不要禁用 DHCP 客户端服务。
4. 在默认的清理间隔为7天。清理删除任何时间戳早于(todaysdate - scavengeinterval) 的动态记录；如果没有清理，这些记录将一直保留到被删除（手动或通过某些其他过程，如 DC 降级）。清除并没有触及静态记录（那些你手工创建的），除非你明确允许清除备案。

因此，记住所有这些，您应该可以进行清理，只要您清理的频率不超过记录可以自行刷新的频率。您可以通过浏览您正在考虑清除的任何区域中的时间戳来验证您的记录是否确实在自我刷新。

恕我直言，清理总是一个好主意，是的，这包括 _msdcs 区域。如果 DC 停止刷新其 DNS 记录，清理将自动删除这些记录，这是一件好事 - 您不希望人们解析损坏的 DC。

我认为不要害怕 DNS Scavenging 一文。耐心一点。成为 Windows DNS 清理的规范最佳实践。

Answer 2

清理它，我说！

那里的所有东西都由 DC 自动填充，只要它们被允许 - 只要你不经常荒谬地清理它，那么应该没有问题。