配置 DNS 清理以清理 AD 中过时的 DNS 记录

可以使用两个特殊的 Windows Server DNS 功能来自动清理 Active Directory 中的旧 DNS 记录：

• DNS 老化 - 允许确定动态注册的 DNS 记录的年龄（最后时间戳与当前时间之间的差异）

• DNS清理 - 自动删除一段时间未更新（使用）的陈旧动态 DNS

Windows Server DNS 有两种类型的记录 - 动态和静态。动态记录有一个时间戳参数（DNS 记录上次更新的时间）。活动 Windows 客户端在启动时或每 24 小时更新其 DNS 记录中的时间戳。该参数允许 DNS 服务器识别长时间未更新因而未使用的记录。

打开AD域控制器上的DNS服务器管理控制台（

dnsmgmt.msc

）并选中查看菜单中的高级选项。

区域DNS记录中有静态记录和动态记录（时间戳中包含时间）。

静态 DNS 记录不会自动删除。此类 DNS 记录由管理员创建，或者如果在其设置中禁用了删除该记录，使其变得过时选项。

仔细查看 DNS 区域中的动态条目。在任何不应自动删除的 DNS 记录的属性中禁用此选项。此类 DNS 记录的类型将更改为静态。

确保为所有服务器、网络设备、打印机、扫描仪和其他网络服务配置静态记录。

清理过程仅自动删除动态 DNS 记录。

默认情况下，Windows Server 中禁用自动清除过时 DNS 记录。

打开您的 DNS 区域属性，然后单击常规选项卡上的老化按钮。

1. 选中清除陈旧资源记录选项。

2. No-Refresh Interval参数设置不更新DNS记录时间戳的时间间隔（减少DNS服务器负载和AD复制）。但是，如果计算机的主机名已更改，则 DNS 记录将成功更新。

3. 刷新间隔 - 这是可以更新 DNS 记录时间戳的时间。

无刷新间隔的值应设置为 DHCP 服务器上设置的 IP 地址租用时间的一半。例如，如果DHCP服务器上的IP地址租用时间为12天，则此处输入6。在这种情况下，动态 DNS 记录将被视为已过时，并且将在 12 天不活动后被清理作业清除。

通过单击 DNS 服务器并选择为所有区域设置老化/清理，老化设置可以应用于域控制器上的所有主 DNS 区域。

目前，您仅为该区域配置了 DNS 记录期限选项。除非您在 DNS 服务器设置中启用了自动清理功能，否则 DNS 记录不会被删除。

在首次开始清理 DNS 区域之前，我们建议您将 DNS 区域中的所有资源记录导出到 CSV 文件。这将允许您在必要时手动重新创建关键 DNS 记录：

Get-DnsServerResourceRecord -ZoneName 'contoso.com' | Select-Object hostname, timestamp, recordtype, @{Name='RecordData';Expression={$_.RecordData.ipv4address}}| Export-CSV -Csv "C:\temp\BackupDNSZoneContoso.csv" -NoTypeInformation 

转到 DNS 服务器属性中的高级选项卡。

启用启用状态记录的自动清理选项，并指定在 DNS 记录被老化机制标记为过时后多少天应将其删除（默认值为 7 天）。此后，Scavenging 机制将每天自动删除一次旧的 DNS 记录。

右键单击 DNS 服务器并选择清理陈旧资源记录立即执行清理。或者运行命令：

Start-DnsServerScavenging -Verbose

可以使用 PowerShell 获取当前 DNS 服务器清理设置和上次清理时间：

Get-DnsServerScavenging

NoRefreshInterval : 7.00:00:00
RefreshInterval : 7.00:00:00
ScavengingInterval : 7.00:00:00
ScavengingState : False
LastScavengeTime : 4/2/2024 6:02:37 AM

大多数 AD 安装使用内置 DNS 区域，这些区域会在域控制器之间自动复制（此类区域没有经典的 PRIMARY DNS 服务器）。因此，您只需在其中一台域控制器（RODC 除外）上配置清理。如果删除或停用此类 DC，则必须在另一个域控制器上重复相同的配置。