Como mantener actualizada la base de DNS de nuestro Active Directory. DNS libre de Registros Obsoletos (DNS Aging and Scavenging) {HowTo}

DNSLa caducidad y el borrado de los registros de recursos antiguos son características del Domain Name System (DNS) que están disponibles al instalar el servidor con zonas principales.

En caso de caducidad y el borrado están disponibles, podemos utilizar la consola DNS para realizar las alguna de las siguientes tareas relacionadas con el servicio de DNS y cualquier zona de directorios integrada que se cargue:

  • Activar o desactivar el uso del borrado en un servidor DNS
  • Activar o desactivar el uso del borrado (scavenging) de las zonas seleccionadas en el servidor DNS
  • Modificar el intervalo sin actualización, ya sea como servidor predeterminado o mediante la especificación de un valor primordial en las zonas seleccionadas
  • Modificar el intervalo de actualización, ya sea como servidor predeterminado o mediante la especificación de un valor primordial en las zonas seleccionadas
  • Especificar si compactación periódica ocurre automáticamente en el servidor DNS para cualquiera de las zonas elegibles y con qué frecuencia se repiten estas operaciones
  • Iniciar manualmente una sola operación de borrado de todas las zonas elegibles en el servidor DNS
  • Ver otras propiedades relacionadas, como la marca de tiempo para los registros de recursos individuales o el tiempo de inicio de borrado de una zona especificada

Habilitar el borrado (Scavenging) de los registros de recursos obsoletos

Por defecto, las características de caducidad y borrado (aging and scavenging) son deshabilitados en todos los servidores DNS y cualquiera de sus zonas.

Antes de utilizar estas características, debemos configurar los siguientes ajustes para el servidor de aplicación y sus zonas integradas al directorio:

  • Las propiedades del servidor de caducidad y el borrado (aging and scavenging) para determinar el uso de estas características a nivel de servidor. Esta configuración se utiliza para determinar el efecto de las propiedades de la zona a todas las zonas integradas en directorio que se cargan en el servidor.
  • Las propiedades de la Zona de caducidad y borrado (aging and scavenging) para determinar el uso de estas características en una base por zona. Cuando se establecen las propiedades específicas de una zona seleccionada, estos valores se aplican sólo a la zona de aplicación y sus registros. A menos que estas propiedades de la zona están bien configurados, heredan los valores predeterminados de los que se mantienen en el servidor de caducidad y el borrado de propiedades.

Warning! Debemos tener la precaución que cuando habilitamos la caducidad y borrado para su uso con las zonas primarias se modifica el formato de archivos de zona. Este cambio no afecta a la replicación de zonas a los servidores secundarios, pero los archivos de zona modificados no pueden ser cargados por otras versiones de los servidores DNS.

Modificando los intervalos sin actualización (no-refresh interval)

Cuando el intervalo de no actualización está activado para un registro de un recurso específico, los intentos de actualizar dinámicamente su marca de tiempo son suprimidas por el servidor DNS.

Este aspecto de la caducidad y el borrado evita que sean procesadas las actualizaciones innecesarias por el servidor de los registros de recursos antiguos. Estos primeros intentos de actualización, si no se manejan de esta manera, podrían aumentar el tráfico de replicación de Active Directory relacionado con el procesamiento de cambios de zona DNS.

Para garantizar que los registros no se actualizan antes de tiempo, debemos mantener el intervalo de no actualización para que sea similar intervalo de actualización de cada registro de los recursos. Por ejemplo, si aumentamos el intervalo de actualización de un valor superior, podemos aumentar el intervalo de no actualización (no-refresh interval). En la mayoría de los casos, el intervalo predeterminado de siete días es suficiente y no necesita ser cambiado.

Modificación de los intervalos de actualización

Cuando el intervalo de actualización esta activado para el registro de un recurso, los intentos de actualizar dinámicamente su Time-Stamp son aceptadas y procesadas por el servidor DNS. Cuando configuramos el intervalo, es importante que la cantidad de tiempo utilizado sea superior al plazo máximo de actualización posible para los registros que se encuentran en la zona.

Este período es igual a la cantidad máxima de tiempo que podría tomar el registro para actualizarse en condiciones normales de la red.

Por ejemplo, estos son algunos de los períodos de actualización por default de los diferentes servicios que se registran y actualizan dinámicamente en el DNS:

  • Net Logon: 24 Horas
  • Clustering: 24 Horas
  • Cliente DHCP: 24 Horas. El servicio cliente DHCP envía actualizaciones dinámicas para los registros DNS. Esto incluye tanto los equipos que obtienen un Protocolo de Internet dedicadas (IP) mediante el uso de Dynamic Host Configuration Protocol (DHCP) y los ordenadores que están configurados estáticamente para TCP / IP.
  • Server DHCP: Cuatro días (la mitad del intervalo de liberación (lease), que es de ocho días por defecto). Los intentos de actualización se hacen sólo por los servidores DHCP que están configurados para realizar actualizaciones dinámicas de DNS en nombre de sus clientes, por ejemplo. El período se basa en la frecuencia en que los clientes DHCP renuevan sus direcciones IP con el servidor. Normalmente, esto ocurre cuando haya transcurrido el tiempo de liberación (lease) en el 50 por ciento del scope. Si el tiempo de liberación por defecto del DNS de ocho días se utiliza, el período máximo de actualización de los registros que se actualizan por los servidores DHCP en los clientes es de cuatro días.

Por defecto, el intervalo de actualización es de siete días. En la mayoría de los casos, este valor es suficiente y no necesita ser cambiada, a menos que los registros en la zona se actualice con menos frecuencia que una vez cada siete días.

Inicio del Scavenging: Automático o de forma Manual

Tenemos también la opción de ejecutar el borrado de los registros de forma automática o de forma manual:

  • De forma automática. El borrado automático especifica que la caducidad y el borrado de los registros antiguos se va a llevar a cabo automáticamente por el servidor para todas las zonas seleccionados en un intervalo determinado. Cuando utilizamos el uso automático, el período predeterminado es de un día, y el valor mínimo permitido que se puede utilizar para el período de scavenging es de una hora.
  • De forma Manual. El borrado manual especifica que la caducidad y el borrado de los registros antiguos se va a realizar como una operación no recurrente para todas las zonas seleccionadas.

Modificando las marcas de tiempo (Time-Stamp)

Para los registros que no se agregan de forma dinámica a la zona DNS, se aplica un registro de marca de tiempo con el valor de cero, lo que evita que estos registros caduquen o se quiten durante el borrado.

Sin embargo, podemos restablecer las propiedades del registro de forma manual para permitir a cualquier registro asignado estáticamente califique para el proceso de caducidad y el borrado. Si hacemos esto, el registro será borrado sobre la base de la modificación del Time-Stamp, por lo que es posible que tengamos que volver a crear el registro si es que sigue siendo necesario.

En definitiva, Como habilitamos el Scavenging Automatico

En algunos casos, si ejecutamos el Best Practices Analyzer podemos recibir el siguiente mensaje de error.

www.radians.com.ar © 2011

Esto ocurre porque el Scavenging esta deshabilitado en nuestro servidor. Es decir, como explicamos antes, el parámetro EnableScavenging esta configurado en 0 en el servidor.

El impacto que tiene esto en nuestro server, es que el tamaño de la base de datos de los DNS puede ser excesivo y crecer mucho. Por eso, para resolverlo es recomendable activar el Scavenging de nuestros DNS.

Para hacerlo, debemos ejecutar la consola DNS: dnsmgmt.msc.

www.radians.com.ar © 2011

Una vez en la consola, seleccionamos las propiedades de nuestro server DNS, como podemos ver en la siguiente captura:

www.radians.com.ar © 2011

Seleccionamos la solapa Advanced, y ahí vemos que tenemos la opción Enable automatic scavenging of stale records.

www.radians.com.ar © 2011

Seleccionamos esa opción, por defecto toma el valor de 7 días, pero es totalmente configurable. Incluso podemos configurar el intervalo en horas. Recordemos que valores inferiores a 6 horas y superiores a 28 días no son recomendados.

www.radians.com.ar © 2011

En definitiva, debemos tener en cuenta que siempre tendremos algunos registros de recursos obsoletos que suelen ocurrir debido a las actualizaciones dinámicas, ya que este proceso agrega automáticamente los registros de recursos a las zonas correspondientes, cuando los equipos se inician en la red.

En algunos casos, los registros no se eliminan automáticamente cuando los equipos salen de la red.  Por ejemplo, si un equipo registra su propio registro host (A) en el inicio, y luego no está bien desconectado de la red, el registro host (A) no se puede borrar. Si nuestra red tiene usuarios móviles con sus computadoras, esta situación puede ocurrir con bastante frecuencia. Por eso para prevenir esta situación, es que debemos configurar la limpieza automática y la eliminación de registros obsoletos, habilitando la caducidad y el borrado en el servidor DNS. Que no es otra cosa que el Aging and Scavenging de nuestro servidor DNS.

Espero que les sirva para aclarar algunos conceptos de este feature tan importante para el correcto funcionamiento de nuestro Active Directory.

Saludos, Roberto Di Lello.

Roberto Di Lello

Acerca del autor: Roberto Di Lello

Hola, soy Roberto Di Lello trabajo como Consultor Senior en Infraestructura, especializado en Tecnologias Microsoft con mas de 25 años en la industria. He sido galardonado como MS-MVP en Active Directory-Enterprise Mobility por 10 años, y actualmente soy MVP Windows Insider, ademas de poseer otras certificaciones de Microsoft. He trabajado en distintos projectos que involucran Migraciones, Implementaciones, y soporte de Active Directory y Microsoft Exchange, y en los ultimos años me he desempeñado armando equipos de trabajo para diferentes paises y areas de sistemas, he planificado a distintas migraciones a datacenters (ambiente cloud y mixtos). He tenido la oportunidad de participar como miembro del staff de Microsoft en eventos internacionales como ser TechEd NorteAmerica y MS Ignite (NA) al ser Trainer Certificado por Microsoft (MCT).

You May Also Like

8 Comments

  1. Hola que tal Roberto,

    Me tome el atrevimiento de mandarte un correo porque llevo días con un problema en la configuración del acceso de VPN a un servidor.

    La verdad no sé qué fue lo que le paso pero algo se movió y desde entonces ya no puedo accesar por VPN, al parecer yo veo toda la configuración bien pero de alguna manera cuando intento conectarme me sale el siguiente error de inmediato:

    Tengo todos los accesos habilitados para que se conecte ese usuario, pero simplemente no se logra ya conectar, mi servidor tiene internet, todo lo demás funciona correctamente.

    Por favor necesito de tu sabiduría y ojala te tomes unos minutos en ayudarme.

    Muchas Gracias. Eduardo Rodrigo Estrada Flores

  2. Hola Eduardo, disculpa mi demora pero estuve muy complicado con los tiempos y con el evento CodeCamp BA 2011. No hay problema que me contactes, sentite libre de hacerlo cuando quieras o necesites.

    Respecto a tu error, es medio difícil saber así con los datos que me pasaste. Pero que pasa si cuando te pregunta el user, ingresas también el dominio? Le has otorgado los permisos al usuario para conectarse VPN?

    Muchas gracias por participar del blog y ayudar a que siga creciendo! Te cuento que hay mucho material en el.
    Te invito a que veas los labs, videos, tutoriales, notas. Si querés buscar un tema o necesitas ayuda, tenés la solapa AYUDA donde explico un poco como hacerlo, sino también tenés el buscador de google.

    Espero te sean de utilidad. Saludos!

  3. Estimadisimo, seria leve para su curricula:
    La verdad estoy en duda de tutearlo o no, pero considerando que leo su sitio muy a menudo y es considerado un conocido voy a tomarme el atrevimiento de tutearlo.

    Te contacto debido que estamos con un inconveniente con un Domain Controller.
    Sucede que tenemos un DC W2008 x32 y deseamos migrarlo a W2008R2 X64.
    Estuvimos leyendo y debemos hacer los ADPREP32.exe en el DC de x32.
    Sucede que cuando ejecutamos ADPREP32.EXE /FORESTPREP con usuario ADMINISTRATOR LOCAL del DC no queda colgado el proceso en el arranque.
    Sintomas: Apenas ejecutamos ese comando el cursor queda debajo, y el proceso adprep32.exe no prospera.
    Pudimos ver en el log 2 archivos:
    * ADPrep.log
    * NULL
    ADPREP.LOG esti¡ totalmente vacio.
    NULL contiene lo siguiente:
    processed file: C:\Windows\system32\schupgrade.cat
    Successfully processed 1 files; Failed processing 0 files

    Esto es todo.
    Sinceramente te estaremos muy agradecidos por cualquier ayuda que puedas acercarnos, o si deseas que hagamos algunas pruebas.
    Desde ya ha sido un gusto escribirte.
    Saluda muy atte.
    Team consejo.
    Germi¡n Ariel Paradisi.
    Valentin Neri Almiron.

  4. Hola German, disculpa mi demora pero estuve muy complicado con los tiempos y con el evento CodeCamp BA 2011.

    No hay problema con que me tutees. Esta bien la línea de comando que indicaste, lo que si fíjate que en algún momento te pide que confirmes la decisión de extender el schema. Cualquier cosa avísame y lo vemos.
    Muchas gracias por participar del blog y ayudar a que siga creciendo! Te cuento que hay mucho material en el.
    Te invito a que veas los labs, videos, tutoriales, notas. Si querés buscar un tema o necesitas ayuda, tenés la solapa AYUDA donde explico un poco como hacerlo, sino también tenés el buscador de google.

    Espero te sean de utilidad. Saludos!

  5. Estimado Roberto Di Lello:
    Te he contactado recien por un problema con ADPREP32 y pude encontrar la solucion en la lista de MUG.

    Resulta que despues de invocar el comando adprep32.exe /forestprep hay que hacer “C” + Enter.

    Desde ya muchas gracias por permitir mandar comentarios. Saluda muy atte.

  6. uuu German, disculpa que no te pude contestar antes… vi que encontraste la solución antes… buenísimo. Cualquier cosa seguimos en contacto.

    Gracias, y mil disculpas….

  7. Hola Roberto,

    Muchas gracias por atender mi correo, te comento que la computadora no tiene dominio, es solo para darles acceso a usuarios externos a algunas aplicaciones por medio de la VPN, también de lo que comentas de permisos para acceder a la VPN los tiene habilitados, la verdad le he dado muchas vueltas a esto y no sé qué es lo que pase porque no autentifica a los usuarios.

    Saludos. Eduardo Rodrigo Estrada Flores

Comments are closed.