Forum

DNS Aging ve Scaven...
 
Bildirimler
Hepsini Temizle

[Çözüldü] DNS Aging ve Scavenging ile Stale zoneların silinmesi

10 Yazılar
4 Üyeler
1 Reactions
1,669 Görüntüleme
(@okanozbey)
Gönderiler: 1308
Okan ÖZBEY
Konu başlatıcı
 

Merhaba, 

 DNS Aging ve Scavenging işlemi ile DNS içerisindeki kayıtlar silindiğini biliyorum ve bu işlemi gerçekleştireceğim fakat sormak istediğim bir kaç soru var tamamen işlemlerden emin olmak adına. 

  DNS Aging ve Scavenging işleminde butun dns kayıtları için bu işlemi aktif etmem halinde cozumpark.com domaininde xy.cozumpark.com A kaydı stale olduğundan silindi diyelim ve cozumpark.com içerisindeki diğer kayıtlarda stale olduğundan silindigini varsayalım. Peki bu Aging ve Scavenging bir alan adının içerisindeki butun kayıtlar stale ise dns üzerinden ilgili domaini kaldırıyormu kaldırmıyor mu ? 

Yani bu işlem sonrasında bir domain'de herhangi bir kayıt olmasa bile domain yine dns sunucu üzerinde kalıyormu ? Benim yapmak istediğim sadece stale olan a, mx , srv, txt kayıtları degil domainlerde stale ise silinmesidir.

Ayrıca sormak istediğim bir soru ise eğer auto scavenging başlatılmadı ise daha önce herhangi bir gün tanımlaması yapılmadı ise Scavenge Stale Resource Records işlemini gerçekleştirmem halinde kaç gün değerlerine göre bu kayıtları stale kabul etcek ve silecek öğrenebilirmiyim ?

 Şimdiden bilgilendirme için teşekkürler. 

www.okanozbey.com

 
Gönderildi : 03/10/2013 14:19

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 33367
Illustrious Member Yönetici
 

Merhaba,

Hayır kaldırmaz, sadece A kayıtlarını temizler. İstediğinizi elle yapmanız gerekli.

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 03/10/2013 15:06

(@okanozbey)
Gönderiler: 1308
Okan ÖZBEY
Konu başlatıcı
 

İlginiz için teşekkürler, peki stale domainler için bildiğiniz benzer bir işlem varmıdır ? Aşırı Yoğun kullanılan bir dns sunucu üzerinde bir çok domainin kullanılmadığını biliyorum fakat isim olarak bilmiyorum. Burada nasıl bir işlem uygulayabiliriz ?

www.okanozbey.com

 
Gönderildi : 03/10/2013 15:18

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 33367
Illustrious Member Yönetici
 

Hosting için DNS olarak genellikle Linux kullanıldığı için MS tarafında böyle built-in bir özellik yok.

Ancak bu bir ihtiyaç ise bu kayıtlar txt bazlı tutulduğu için PowerShell ile özel bir script yazdırılabilir ama ben görmedim duymadım 🙂

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 03/10/2013 19:49

(@yusufozturk)
Gönderiler: 147
Estimable Member
 

Bu tarz bir tool var mi bilmiyorum, daha once Hosting firmalarinda calisirken daha cok kontrol panel uzerinden yonetildigi icin ortamlar, kayitlarin otomatik silinmesi de panel uzerinden saglaniyordu.

Eger DNS sunucusunu Windows Server 2012 uzerine tasirsaniz. PowerShell ile bu islemi gerceklestirebilirsiniz. Eger domain altinda hic kayit kalmadiysa, domain de stale olmustur diyip, domain temizligi yapan bir script yazilabilir ve zamanlanmis gorevlere atilarak gunde bir calismasi saglanabilir mesela.

DNS server komutlari burada:

http://technet.microsoft.com/en-us/library/jj649850.aspx

Suan test edebilecegim bir ortam olmadigi icin scriptini yazamiyorum fakat zone icerigi getirip. icerigi bir degiskene atayarak, eger null ise sil olarak ilerlenmeli.

Yusuf. 

 

 
Gönderildi : 03/10/2013 19:52

(@okanozbey)
Gönderiler: 1308
Okan ÖZBEY
Konu başlatıcı
 

Teşekkür ederim arkadaşlar paylaştığınız bilgilerden dolayı. Bu işlemler için bir kaç arayış veya yazılımda bir kaç işlem gerçekleştireceğiz artık. 

 İyi çalışmalar... 

www.okanozbey.com

 
Gönderildi : 03/10/2013 20:30

(@seckincizer)
Gönderiler: 130
Estimable Member
 

Merhaba

Hakan Bey'in makalesi çok yardımcı oldu, kendisine çok teşekkür ederim.

https://www.cozumpark.com/active-directory-dns-uzerinde-guncel-veya-gecerli-olmayan-kayitlarin-temizlenmesi-dns-aging-and-scavenging/

Fakat  bir-iki konuda fikrinize danışma şansına sahip olmak isterim.

Test ortamımda , yapmak istediğim  şu:

Sadece 1 zone üzerinde bu "Süresi dolmuş Dns kayıtları" otomatik silinsin istiyorum.

Fakat, 1 zone için yaptığım bu ayar ,  tüm Dns Sunucu üzerindeki properties'tende aktif hale getirmeden maalesef çalışmıyor.

Şöyle ki;

Tüm Dns Sunucu üzerindeki  yaptığım ayar:

dns srv aging properties

 

Söz konusu zone üzerindeki  yaptığım ayar:

zone aging properties

Ve , deneme amaçlı kullandığım client makineyi domainden çektikten 3

saat sonra ilgili 2501 log'u;

2501 log

Burda;

1 Saat No-Refresh + 1 Saat Refresh + 1 Saat Scavenging=3 Saat

Sorun yok.Fakat ,ilk resimdeki;

"Enable automatic scavenging of stale records" check'ini kaldırıp ;

dns srv aging properties 2

Sadece ilgili zone üzerindeki alandakini aktif tuttuğumda ;

zone aging properties

Ve  kullanıcı makinesini domainden çıkartıp 3 saat beklediğimde, çalışmadı ,yani kaydı silmedi.

Üstelik kayıt üzerinde "Delete this record when it becomes stale" aktif olmasına rağmen.

client computer properties

Özetle, tüm Dns Server üzerinde;

"Enable automatic scavenging of stale records" u aktif etmeden,tek bir zone üzerinde çalıştırmayı başaramadım.Eventlar'da bir hata vermiyor.

Fakat ben bunu tek bir zone üzerinde yapmayı arzu ediyorum.

Bu mümkün mü  ?

 

2) Tüm sunucu üzerinde bu ayarı yapınca  _gc , _kerberos, _ldap kayıtları da stale durumunda delete olması için check edilmiş oldu.

Bu riskli bir durum olabilir mi ? Buradaki kayıtların stale özelliğinin devre dışı bırakılması gerektiğini düşünüyorum.?

Bu kayıtlar ,bir şekilde stale duruma gelir ise , Dns burası ile haberleşemez ve clientlar sorun yaşar diye düşünüyorum. ?

kerberos

 

3) DC'nin kendisi ,ADC'nin kendisi  ve Domain clientlar  için , gerekli bir durum yok ise, PTR kaydı girmemi önerir misiniz ?

 

 

 

Değerli görüşlerinizi rica eder , iyi çalışmalar dilerim.

 

Saygılarımla

 
Gönderildi : 22/04/2023 13:54

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 33367
Illustrious Member Yönetici
 

Merhaba,

1 - Sunucu bazında bu özelliği açman ilk şart, bunu açıyorsun ancak sonra zone bazında açmaz ise zaten sistem devreye girmez. Yani örnek iki zone var, sunucu özelliğini aç, istediğin zone üzerinde bu özelliği aç sorun çözülür.

2 - Eğer ortamda stale bir dc var ise bu kayıtlarında silinmesi zaten doğru bir şey, gerçi bu durumlarda bizim gibi uzmanlar dns temizliği yapıyor zaten, ancak pek çok kurumda bu özellik açık olmadığı için yıllar önce silinmiş dc kayıtlarının bile dns içerisinde saklandığını gördüğümüz oluyor. Özetle aslında bu bir sorun veya risk değil, dc ayakta ise zaten stale olmaz.

3 - PTR genelde kerberos için kullanılan bir durumdur, Kerberos protokolü makinelere isim bazlı erişir, yani ip iletişiminde de özellikle makine ismine ihtiyaç duyduğunda ip adresinden dönüp ismi almak ister, ne yazık ki ntlm hala çok yaygın kullanıldığı ve olası bir ptr kaydı olmasa bile kerberos, ntlm' e failback yaptığı için de bunun yokluğunu hissetmezsiniz.

Özetle imkanını var ise mutlaka PTR açın.

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 24/04/2023 12:16
Seckin Cizer reacted

(@seckincizer)
Gönderiler: 130
Estimable Member
 

Merhaba Hakan Bey

Verdiğiniz bilgiler için çok teşekkür ederim .

 

Saygılarımla

 
Gönderildi : 30/04/2023 10:25

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 33367
Illustrious Member Yönetici
 

Rica ederim.

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 04/05/2023 10:06

Paylaş: