DNS-Einträge aufräumen

DNS ist wohl eines der Themen, bei denen man fast nie auslernen kann. Kein anderer Netzwerkdienst unter Windows ist so vielen Erweiterungen unterworfen und so abhängig von der Unternehmensstruktur, wie DNS. Ein Fragment dieser Konfiguration ist auch das Aufräumen von DNS-Zonen von verwaisten Einträgen. Da es für diese Einrichtungen verschiedene Prüfpunkte und Sicherheiten in der DNS-Verwaltung gibt  und dabei auch die Implementierung anderer Dienste beachtet werden müssen, ist dies wohl einer der schwierigsten Tasks. Den grundsätzlichen Sinn von DNS verstanden zu haben, bedeutet demnach noch lange nicht, auch DNS in seiner vollen Macht verstanden zu haben…

Um was geht es hier eigentlich? Wenn ein DNS-Client eine IP-Adresse von einem DHCP erhält, resp. auch dann, wenn dieser über eine statische IP-Adresse verfügt, wird sich der Client in der passenden DNS-Zone registrieren. Dies geschieht jedoch nur unter den folgenden Bedingungen (einfachheitshalber spreche ich hier immer von einem „Client“ – wobei hierbei der „DNS-Client“ gemeint ist – also auch Server, die einen DNS-Server in den IP-Einstellungen angegeben haben):

  • Auf dem Client ist die dynamische Registration in den erweiterten TCP/IP-Eigenschaften unter der Registerkarte „DNS“ aktiviert (zweitunterste Checkbox auf dieser Seite)
  • Der Zeitunterschied (inkl. Berücksichtigung der Zeitzonen) ist nicht grösser als eine Viertel Stunde
  • Es ist eine DNS-Zone vorhanden, welche der Domäne des Clients entspricht
  • Die DNS-Zone lässt dynamische Updates zu

Falls diese Hürde genommen wurde, wird also dynamisch ein Eintrag für diesen Client erstellt. Dieser wird beim sauberen Herunterfahren des Clients auch wieder aus der Zone entfernt (inkl. des zugehörigen PTR-/Zeiger-Eintrags). Falls ein Client jedoch nun eben nicht sauber heruntergefahren wird, dann kann es zu verwaisten DNS-Einträgen in der Zone kommen. Diese werden standardmässig nicht aus der Konfiguration entfernt und können somit zu falschen Informationen führen. Seit Windows Server 2008 ist im DNS-SnapIn nun stets ersichtlich, welche Einträge statisch (manuell) und welche dynamisch hinzugefügt wurden. Bei allen dynamisch hinzugefügten Einträgen, ist in der neuen Spalte innerhalb einer Zone der Zeitstempel direkt auslesbar – dieser wird jeweils auf die nächste volle Stunde abgerundet.

Seit längerer Zeit gibt es für diese Fälle schon die Möglichkeit, das Aufräumen von Zonen in DNS zu aktivieren. Standardmässig ist diese Funktion jedoch nicht aktiv. Zudem gibt es so nette Einstellungsmöglichkeiten, wie den „Aktualisierungsintervall“ und den „Intervall für Nichtaktualisierung“. Was soll das alles sein?

Beginnen wir einmal ganz vorne: Ein Client registriert sich dynamisch in seiner zugehörigen DNS-Zone, welche der Domäne entspricht. Da es sich dabei um einen dynamischen Eintrag handelt, wird auch der Zeitstempel in einem Attribut abgelegt. Ab diesem Zeitpunkt beginnt der Intervall für die „Nichtaktualisierung“. Dies bedeutet, dass der Eintrag nicht von „feindlichen Mächten“ – resp. anderen Clients übernommen werden darf, resp. keine Updates an diesem vorgenommen werden.

Beispiel: Ein Client erhält seine IP-Adresse von einem DHCP-Server. Die Leasedauer ist auf 8 Tage eingestellt. Jeden Tag während des Boot-Prozesses kontaktiert dieser erneut den DNS und bestätigt diesem eigentlich nur, dass er immer noch denselben Namen, mit derselben IP hat. Das einzige, was sich verändert ist der Zeitstempel, da er sich ja wieder aktuell gemeldet hat. Wegen dieser Lapalie gleich wieder die Replikation auf alle anderen DNS-Server zu starten, macht da wenig Sinn. Deshalb soll der „Nichtaktualisierungsintervall“ einen Schutz vor unnötigen Replikationsvorgängen bieten.

Gleich im Anschluss startet der „Aktualisierungsintervall“. Während dieser Zeit wird es dem Client ermöglicht, seine Informationen des Eintrags anzupassen – auch wenn es nur der Zeitstempel ist. Tut er das nicht, so gilt der Eintrag nach Ablauf des Aktualisierungsintervalls als veraltet.

Was passiert jedoch, wenn man Müll, den man weggeworfen hat einfach nur an den Strassenrand stellt, jedoch der Wohnort keine Müllabfuhr organisiert hat? Richtig! Er fault vor sich hin und ist immer noch da – v.a. deshalb, weil DNS-Abfälle leider nicht organisch abbaubar sind… Nochmals: Wenn der Client sauber heruntergefahren wird, gibt dieser die IP-Adresse wieder frei und löscht auch die dazugehörigen DNS-Einträge automatisch – d.h. der Abfall wird vom Verursacher verworfen.

Damit jedoch auch der Müll aufgeräumt wird, muss die „Müllabfuhr“ konfiguriert werden. Für dies benötigt es zwei Schritte:

  1. Konfiguration des Aufräumvorgangs auf Server-Ebene (Hauptschalter für die Aktivierung)
  2. Konfiguration des Intervalls, in welchem die Müllabfuhr vorbeikommen soll

Beide Einstellungen hängen direkt zusammen und können in den DNS-Servereigenschaften auf der Registerkarte „Erweitert“ im unteren Bereich festgelegt werden!

Hinweis: Statische Einträge sind von der Alterung nicht betroffen und werden niemals gelöscht!

Jetzt gibt es jedoch noch Spezialfälle: Falls der Aufräumvorgang (d.h. der Nichtaktualisierungsintervall + der Aktualisierungsintervall) kleiner als 24 Stunden eingestellt wird, könnte es für die dynamisch registrierten Server eng werden. Man bedenke, dass auch Hosts mit fixen, statischen IP-Adressen einen Eintrag in DNS dynamisch erstellen! Ein Host unter Windows kontaktiert den DNS-Server im laufenden Betrieb lediglich alle 24 Stunden einmal, um eine Reregistration vorzunehmen. Wenn der Eintrag jedoch schon nach z.B. 8 Stunden aufgeräumt wird, dann ist der Host über bis zu 16 Stunden nicht auflösbar. Das wäre ziemlich doof, wenn das die Ressourcenserver betreffen würde, auf welche über deren Namen zugegriffen wird. V.a. wenn sich diese in einem anderen Subnetz befinden, welches auch keine Möglichkeiten von LLMNR (Link Local Multicast Name Resolution) oder Broadcasts in Anspruch nehmen kann…

Deshalb sollte in diesem Falle dafür gesorgt werden, dass die betreffenden Hosts sich häufiger als nur alle 24 Stunden beim DNS melden, um diese Reregistration vorzunehmen. Dies kann über eine Gruppenrichtlinieneinstellung erreicht werden, welche sich unter dem folgenden Pfad befindet:

Computerkonfiguration / Richtlinien / Administrative Vorlagen / Netzwerk / DNS-Client

Die Einstellung heisst „Registrierungsaktualisierungsintervall“ und wird nach der Aktivierung in Sekunden angegeben. Sobald diese Einstellung aktiviert wird, wird ein Standardwert von 1‘800 Sekunden angezeigt. Dieser Standardwert ist jedoch keineswegs die Standardeinstellung, welche wie gesagt bei 24 Stunden – also 86‘400 Sekunden liegt. 1‘800 Sekunden sind einfach der minimale Wert, welcher diese Einstellung annehmen kann – also eine halbe Stunde. Je nach Situation muss hier also der passende Wert gewählt werden, der z.B. bei einer Stunde – also 3‘600 Sekunden liegen könnte.

Diese Gruppenrichtlinieneinstellung wird dann auch nicht einfach sang- und klanglos von den betroffenen Hosts übernommen, sondern muss mit einem Neustart oder einem „gpupdate /force“ bestätigt werden. Erst dann kann man sich sicher sein, dass es zu keinem Hoststerben in der DNS-Zone kommen wird.

Anmerkung: Es gibt noch so einen schönen Parameter für den Befehl „dnscmd.exe“, der „/ageallrecords“ heisst. Dieser Parameter ist mit enormer Vorsicht zu geniessen, da er jegliche Einträge der gewählten Zone veralten lässt – und hier ausnahmsweise auch diejenigen, die statisch, manuell konfiguriert wurden. Gut Ding will Weile haben und je nach der Einstellung in den Optionen, muss man DNS ein paar Stunden bis Tage Zeit geben, um alles so zu tun, wie man es gerne hätte…

VN:R_U [1.9.22_1171]
Rating: 10.0/10 (1 vote cast)
VN:F [1.9.22_1171]
Rating: +9 (from 13 votes)
DNS-Einträge aufräumen, 10.0 out of 10 based on 1 rating

Schreib einen Kommentar