Очистка кэша active directory
Как удалить кэш на DNS сервере
Я покажу три метода позволяющих вам удалить текущий DNS-кэш на вашем сервере, они будут отличаться от чистки на клиенте:
Первый метод очистки вашего сервера от кэшированных запросов, это через саму оснастку DNS. Для этого просто выберите имя вашего DNS-сервера и через контекстное меню произведите очистку.
Второй метод, это в командной строке введите команду:
То же самое еще выполним через PowerShell:
Как видите в итоге остались только корневые записи.
Очистка метаданных с помощью командной строки
Вы также можете очистить метаданные при помощи командной строки, для этого используется утилита ntdsutil, которая автоматически устанавливается на каждом контроллере домена, а также входит в состав пакета RSAT. Все последующие действия нужно выполнять, обладая правами Администратора домена.
Откроем командную строку и наберем в ней:
Все последующие действия будут производиться в контексте этой утилиты. Затем выполним для перехода в режим очистки метаданных:
Теперь соединимся с любым работающим контроллером домена:
В данном контексте наберите:
и вернитесь в режим очистки метаданных:
Теперь перейдем в режим выбора цели:
Первым делом получим список доменов:
В полученном выводе находим номер нужного нам домена, если домен один, то это будет ноль и указываем его в следующей команде:
Аналогичным образом выберем и укажем сайт:
После чего получим список контроллеров в сайте и выберем нужный из них:
Будьте внимательны, не удалите работающий контроллер домена!
Выбрав необходимый контроллер, вернемся в режим очистки метаданных:
И удалим метаданные контроллера командой:
В окне предупреждения еще раз внимательно изучим всю информацию и подтвердим удаление.
После удаления откройте оснастку Active Directory сайты и службы (dssite.msc) и убедитесь, что удаленный контроллер не содержит вложенных объектов NTDS, после чего его следует удалить.
Также обратите внимание, что роли хозяев операций при этом способе перенесены не будут и их потребуется захватить вручную. Это можно сделать как при помощи ntdsutil, так и с помощью PowerShell.
Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном курсе по администрированию MikroTik. Автор курса, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. В три раза больше информации, чем в вендорской программе MTCNA, более 20 часов практики и доступ навсегда.
В этой статье описывается процесс сбора мусора базы данных Active Directory и вычисление разрешенных интервалов.
Применяется к: Windows Server 2012 R2, Windows Server 2016, Windows Server 2019
Исходный номер КБ: 198793
Очистка метаданных сервера с помощью командной строки
В качестве альтернативы можно очистить метаданные с помощью ntdsutil.exe, программы командной строки, которая автоматически устанавливается на всех контроллерах домена и серверах, на которых установлены службы Active Directory облегченного доступа к каталогам (AD LDS). ntdsutil.exe также доступна на компьютерах с установленным RSAT. Чтобы очистить метаданные сервера с помощью Ntdsutil, выполните следующие действия.
Откройте командную строку от имени администратора: в меню Пуск щелкните правой кнопкой мыши пункт Командная строкаи выберите команду Запуск от имени администратора. если отображается диалоговое окно контроль учетных записей пользователей , укажите учетные данные администратора Enterprise, если это необходимо, а затем нажмите кнопку продолжить.
В командной строке введите следующую команду и нажмите клавишу Ввод:
ntdsutil: В командной строке введите следующую команду и нажмите клавишу ntdsutil: :
metadata cleanup: В командной строке введите следующую команду и нажмите клавишу metadata cleanup: :
remove selected server
В диалоговом окне Конфигурация удаления серверапросмотрите сведения и предупреждение, а затем нажмите кнопку Да , чтобы удалить объект сервера и метаданные.
metadata cleanup: ntdsutil: В приглашении Введите quit и нажмите клавишу metadata cleanup: .
Чтобы подтвердить удаление контроллера домена, выполните следующие действия.
Откройте оснастку "Пользователи и компьютеры Active Directory". В домене удаленного контроллера домена щелкните контроллеры домена. В области сведений не должен отображаться объект для удаляемого контроллера домена.
Откройте оснастку "Active Directory - сайты и службы". перейдите к контейнеру серверы и убедитесь, что объект сервера для контроллера домена, который вы удалили, не содержит объект NTDS Параметры. Если под объектом сервера не отображаются дочерние объекты, можно удалить объект сервера. Если отображается дочерний объект, не удаляйте серверный объект, так как этот объект используется другим приложением.
Очистка метаданных с помощью средств графического интерфейса
Данный способ доступен начиная с Windows Server 2008 и предполагает использование оснасток MMC либо на самом сервере, либо на компьютере администратора с установленным пакетом RSAT. Для того, чтобы очистить метаданные запустите оснастку Active Directory -- пользователи и компьютеры (dsa.msc) и подключитесь к любому работающему контроллеру домена, при запуске оснастки на самом контроллере это будет сделано автоматически.
Затем раскройте нужный домен и перейдите в контейнер Domain Controllers, выберите контроллер, метаданные которого нужно очистить и выполните для него команду Удалить (через меню правой кнопки мыши).
Подтверждаем удаление, в следующем окне с предупреждением установите флаг Все равно удалить этот контроллер домена. Он постоянно отключен, и его невозможно удалить с помощью мастера удаления и нажмите кнопку Удалить. Будьте внимательны, чтобы по ошибке не удалить действующий контроллер.
Если удаляемый контроллер содержал роли хозяев операций, то они будут переданы оставшимся контроллерам произвольным образом, о чем вы получите еще одно предупреждение. Таким образом вам не потребуется захватывать роли вручную.
После удаления контроллера откроем оснастку Active Directory сайты и службы (dssite.msc), перейдите в контейнер Servers и убедитесь, что контроллер домена, который вы удалили не содержит вложенных объектов NTDS, после чего сам объект контроллера следует удалить.
На этом очистка метаданных для удаленного контроллера домена завершена.
Clean up server metadata using GUI tools
When you use Remote Server Administration Tools (RSAT) or the Active Directory Users and Computers console (Dsa.msc) that is included with Windows Server to delete a domain controller computer account from the Domain Controllers organizational unit (OU), the cleanup of server metadata is performed automatically. Before Windows Server 2008, you had to perform a separate metadata cleanup procedure.
You can also use the Active Directory Sites and Services console (Dssite.msc) to delete a domain controller's computer account, which also completes metadata cleanup automatically. However, Active Directory Sites and Services removes the metadata automatically only when you first delete the NTDS Settings object below the computer account in Dssite.msc.
As long as you are using the Windows Server 2008 or newer RSAT versions of Dsa.msc or Dssite.msc, you can clean up metadata automatically for domain controllers running earlier versions of Windows operating systems.
Membership in Domain Admins, or equivalent, is the minimum required to complete these procedures.
Очистка метаданных сервера с помощью Active Directory пользователей и компьютеров
- Откройте оснастку Пользователи и компьютеры Active Directory.
- Если вы определили партнеров репликации при подготовке к этой процедуре и если вы не подключены к партнеру репликации удаленного контроллера домена, чьи метаданные удаляются, щелкните правой кнопкой мыши узел Active Directory пользователи и компьютеры и выберите пункт изменить контроллер домена. Щелкните имя контроллера домена, из которого необходимо удалить метаданные, а затем нажмите кнопку ОК.
- Разверните домен контроллера домена, который был принудительно удален, и выберите пункт контроллеры домена.
- В области сведений щелкните правой кнопкой мыши объект компьютера контроллера домена, метаданные которого необходимо очистить, и выберите команду Удалить.
- В диалоговом окне домен Active Directory службы убедитесь, что отображается имя контроллера домена, который вы хотите удалить, и нажмите кнопку Да , чтобы подтвердить удаление объекта компьютера.
- В диалоговом окне Удаление контроллера домена выберите этот контроллер домена постоянно в автономном режиме, и его нельзя будет понизить с помощью мастер установки доменных служб Active Directory (Dcpromo), а затем нажать кнопку Удалить.
- Если контроллер домена является сервером глобального каталога, в диалоговом окне Удаление контроллера домена нажмите кнопку Да , чтобы продолжить удаление.
- Если контроллер домена в настоящее время содержит одну или несколько ролей хозяина операций, нажмите кнопку ОК , чтобы переместить роль или роли на отображаемый контроллер домена. Этот контроллер домена нельзя изменить. Если вы хотите переместить роль на другой контроллер домена, необходимо переместить роль после завершения процедуры очистки метаданных сервера.
Clean up server metadata using the command line
As an alternative, you can clean up metadata by using ntdsutil.exe, a command-line tool that is installed automatically on all domain controllers and servers that have Active Directory Lightweight Directory Services (AD LDS) installed. ntdsutil.exe is also available on computers that have RSAT installed. To clean up server metadata by using ntdsutil do the following:
Open a command prompt as an administrator: On the Start menu, right-click Command Prompt, and then click Run as administrator. If the User Account Control dialog box appears, provide credentials of an Enterprise Administrator if required, and then click Continue.
At the command prompt, type the following command, and then press Enter:
At the ntdsutil: prompt, type the following command, and then press Enter:
At the metadata cleanup: prompt, type the following command, and then press Enter:
remove selected server
In Server Remove Configuration Dialog, review the information and warning, and then click Yes to remove the server object and metadata.
At this point, Ntdsutil confirms that the domain controller was removed successfully. If you receive an error message that indicates that the object cannot be found, the domain controller might have been removed earlier.
At the metadata cleanup: and ntdsutil: prompts, type quit , and then press Enter.
To confirm removal of the domain controller:
Open Active Directory Users and Computers. In the domain of the removed domain controller, click Domain Controllers. In the details pane, an object for the domain controller that you removed should not appear.
Open Active Directory Sites and Services. Navigate to the Servers container and confirm that the server object for the domain controller that you removed does not contain an NTDS Settings object. If no child objects appear below the server object, you can delete the server object. If a child object appears, do not delete the server object because another application is using the object.
Очистка метаданных — это обязательная процедура после принудительного удаления служб домен Active Directory (AD DS). Очистка метаданных выполняется на контроллере домена в домене контроллера домена, который был принудительно удален. Очистка метаданных удаляет данные из AD DS, которые идентифицируют контроллер домена в системе репликации. Очистка метаданных также удаляет подключения репликации файлов (FRS) и распределенная файловая система (DFS) и пытается передавать или захватить роли хозяина операций (также называемых гибкими одиночными главными операциями или FSMO), которые содержит устаревший контроллер домена.
Существует два варианта очистки метаданных сервера.
- Очистка метаданных сервера с помощью средств графического пользовательского интерфейса.
- Очистка метаданных сервера с помощью командной строки.
если при использовании любого из этих методов для очистки метаданных возникает ошибка "отказано в доступе", убедитесь, что объект компьютера и объект Параметры NTDS для контроллера домена не защищены от случайного удаления. чтобы проверить это, щелкните правой кнопкой мыши объект компьютера или объект NTDS Параметры, выберите пункт свойства, щелкните объекти снимите флажок защитить объект от случайного удаления . В Active Directory "пользователи и компьютеры" откроется вкладка " объект " объекта, если щелкнуть " вид ", а затем " Дополнительные функции".
Очистка метаданных контроллера домена в Active Directory
Довольно часто встречаются ситуации, когда контроллер домена оказывается удален без понижения роли, это может быть связано как с ошибками при понижении, так и с физическим выходом из строя, после чего в структуре Active Directiry остается информация (метаданные) несуществующего контроллера, что может приводить к различным ошибкам. Поэтому, если у вас произошла такая ситуация, следует обязательно выполнить очистку связанных с удаленным контроллером метаданных в базе Active Directory.
Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном курсе по администрированию MikroTik. Автор курса, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. В три раза больше информации, чем в вендорской программе MTCNA, более 20 часов практики и доступ навсегда.
Для выполнения данной задачи могут быть использованы различные инструменты: оснастки MMC графической оболочки и утилиты командной строки, в данной статье мы рассмотрим оба способа.
Как посмотреть кэшированные просмотры на DNS сервере
Откройте оснастку DNS и перейдите в меню "Вид - Расширенный"
После этого у вас появится скрытый раздел "Кэшированные просмотры"
Если у вас очень много пользователей, то вы тут обнаружите огромное количество зон верхнего уровня, а уже в них вы найдете привычные вам домены третьего уровня.
Тут будут обычные записи, например вот A-запись для моего домена.
То же самое можно посмотреть и через PowerShell. Открываем оболочку и попробуйте выполнить такой командлет:
Что такое кэш DNS?
Ранее я вам рассказывал, что такое DNS сервер, как его устанавливать в Windows Server. В своей практике вы легко можете столкнуться с тем, вы обратились к какому-то сайту, его DNS имя и IP-адрес попали в кэш сервера. Потом у данного сайта поменялся IP-адрес, но при обращении к нему ваши пользователи все равно попадают на старый IP. Вам необходимо его удалить, лично я столкнулся с данной задачей когда искал проблему с ошибкой:
Именно DNS кэш этому виной. DNS кэш - это некая область в которую попадают записи относящиеся к запрашиваемому домену и зоне, например NS-записи, A-записи и так далее. Данный кэш, не нужно путать с локальным, тут логика у сервера такая, когда клиент запрашивает сопоставление DNS-имени и IP-адреса, он в первую очередь смотрит не является ли он сам этим адресом, если нет, то он обращается уже по рекурсии к вышестоящему DNS-серверу. Когда вся информация получена, то сервер для ускорения последующего разрешения имен просто кладет к себе в кэшированные просмотры эту информацию, что ускоряет скорость ответа для клиента который потом запросит данную информацию, так как не придется делать рекурсивный запрос и так же снимет часть нагрузки с DNS сервера, короче одни плюсы.
Clean up server metadata using Active Directory Users and Computers
- Open Active Directory Users and Computers.
- If you have identified replication partners in preparation for this procedure and if you are not connected to a replication partner of the removed domain controller whose metadata you are cleaning up, right-click Active Directory Users and Computers node, and then click Change Domain Controller. Click the name of the domain controller from which you want to remove the metadata, and then click OK.
- Expand the domain of the domain controller that was forcibly removed, and then click Domain Controllers.
- In the details pane, right-click the computer object of the domain controller whose metadata you want to clean up, and then click Delete.
- In the Active Directory Domain Services dialog box, confirm the name of the domain controller you wish to delete is shown, and click Yes to confirm the computer object deletion.
- In the Deleting Domain Controller dialog box, select This Domain Controller is permanently offline and can no longer be demoted using the Active Directory Domain Services Installation Wizard (DCPROMO), and then click Delete.
- If the domain controller is a global catalog server, in the Delete Domain Controller dialog box, click Yes to continue with the deletion.
- If the domain controller currently holds one or more operations master roles, click OK to move the role or roles to the domain controller that is shown. You cannot change this domain controller. If you want to move the role to a different domain controller, you must move the role after you complete the server metadata cleanup procedure.
Настройка времени хранения DNS кэша на сервере
Каждая запись DNS имеет значение времени жизни (TTL), связанное с ней, и именно это значение обычно определяет, как долго запись будет сохраняться в кэше, но это можно изменить с помощью значения реестра MaxCacheTtl. Существуют настройки MaxCacheTtl как для серверного, так и для клиентского кеша, которые хранятся в разных местах реестра:
- Для сервера - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters
- Для клиента - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNSCache\Parameters
Metadata cleanup is a required procedure after a forced removal of Active Directory Domain Services (AD DS). You perform metadata cleanup on a domain controller in the domain of the domain controller that you forcibly removed. Metadata cleanup removes data from AD DS that identifies a domain controller to the replication system. Metadata cleanup also removes File Replication Service (FRS) and Distributed File System (DFS) Replication connections and attempts to transfer or seize any operations master (also known as flexible single master operations or FSMO) roles that the retired domain controller holds.
There are two options to clean up server metadata:
- Clean up server metadata by using GUI tools.
- Clean up server metadata using the command line.
If you receive an "Access is denied" error when you use any of these methods to perform metadata cleanup, make sure that the computer object and the NTDS Settings object for the domain controller are not protected against accidental deletion. To verify this right-click the computer object or the NTDS Settings object, click Properties, click Object, and clear the Protect object from accidental deletion check box. In Active Directory Users and Computers, the Object tab of an object appears if you click View and then click Advanced Features.
По умолчанию срока службы Надгробия
Сводка
База данных Active Directory включает процесс сбора мусора, который выполняется независимо от каждого контроллера домена на предприятии.
Журнал
Срок службы надгробия по умолчанию (TSL) в Windows Server 2003 был 60 дней и оказался слишком коротким. Например, предустановленный контроллер домена может оказаться в пути более 60 дней. Администратор не может устранить сбой репликации или привести в эксплуатацию контроллер автономного домена до превышения TSL. Windows Server 2003 Пакет обновления 1 (SP1) увеличил TSL с 60 до 180 дней в следующих сценариях:
- Контроллер Windows NT домена 4.0 обновляется до Windows Server 2003 с помощью средства установки Windows Server 2003 SP1 для создания нового леса.
- Компьютер Windows Server 2003 SP1 создает новый лес.
Windows Server 2003 SP1 не изменит значение TSL, если верно ни один из следующих условий:
- Домен Windows 2000 обновляется до Windows Server 2003 с помощью средств установки для Windows Server 2003 с sp1.
- Windows 2003 SP1 устанавливается на контроллер домена, который работает в исходной версии Windows Server 2003.
Увеличение TSL для домена до 180 дней имеет следующие преимущества:
- Резервные копии, используемые в сценариях восстановления данных, имеют более длительный срок службы.
- Резервные копии системного состояния, используемые для установки из рекламных роликов мультимедиа, имеют более длительный срок службы.
- Контроллеры домена могут работать в автономном режиме дольше. Предустановленные компьютеры реже подходят к сроку действия TSL.
- Контроллер домена может успешно вернуться в домен после длительного автономного режима.
- Сведения об удаленных объектах дольше сохраняются в контроллере домена.
Параметр по умолчанию в лесу будет зависеть от осмии при "рождении" леса и методов обновления оттуда, как выше.
Если вы не уверены в значении TSL, используемого в лесу, рекомендуется явно задать его, а также msDS-deletedObjectLifetime по мере необходимости.
Справка. Корзина AD: понимание, реализация, лучшие практики и устранение неполадок
Clean up server metadata using Active Directory Sites and Services
- Open Active Directory Sites and Services.
- If you have identified replication partners in preparation for this procedure and if you are not connected to a replication partner of the removed domain controller whose metadata you are cleaning up, right-click Active Directory Sites and Services, and then click Change Domain Controller. Click the name of the domain controller from which you want to remove the metadata, and then click OK.
- Expand the site of the domain controller that was forcibly removed, expand Servers, expand the name of the domain controller, right-click the NTDS Settings object, and then click Delete.
- In the Active Directory Sites and Services dialog box, click Yes to confirm the NTDS Settings deletion.
- In the Deleting Domain Controller dialog box, select This Domain Controller is permanently offline and can no longer be demoted using the Active Directory Domain Services Installation Wizard (DCPROMO), and then click Delete.
- If the domain controller is a global catalog server, in the Delete Domain Controller dialog box, click Yes to continue with the deletion.
- If the domain controller currently holds one or more operations master roles, click OK to move the role or roles to the domain controller that is shown.
- Right-click the domain controller that was forcibly removed, and then click Delete.
- In the Active Directory Domain Services dialog box, click Yes to confirm the domain controller deletion.
Очистка метаданных сервера с помощью средств графического пользовательского интерфейса
при использовании средства удаленного администрирования сервера (RSAT) или консоли Active Directory пользователи и компьютеры (Dsa. msc), включенной в Windows Server для удаления учетной записи компьютера контроллера домена из подразделения контроллеров домена (OU), очистка метаданных сервера выполняется автоматически. до Windows Server 2008 необходимо было выполнить отдельную процедуру очистки метаданных.
Можно также использовать консоль сайтов и служб Active Directory (Dssite. msc) для удаления учетной записи компьютера контроллера домена, которая также автоматически завершает очистку метаданных. однако Active Directory сайты и службы удаляют метаданные автоматически только при первом удалении объекта Параметры NTDS под учетной записью компьютера в Dssite. msc.
если вы используете версии Windows Server 2008 или более поздних версий RSAT (Dsa. msc) или Dssite. msc, метаданные можно автоматически очищать для контроллеров домена под управлением более ранних версий Windows операционных систем.
Членство в группах "Администраторы домена" или "эквивалентное" является минимальным требованием для выполнения этих процедур.
Очистка метаданных сервера с помощью Active Directory сайтов и служб
- Откройте оснастку "Active Directory - сайты и службы".
- Если вы определили партнеров репликации в процессе подготовки к этой процедуре и если вы не подключены к партнеру репликации удаленного контроллера домена, чьи метаданные удаляются, щелкните правой кнопкой мыши Active Directory сайты и службы, а затем выберите пункт изменить контроллер домена. Щелкните имя контроллера домена, из которого необходимо удалить метаданные, а затем нажмите кнопку ОК.
- разверните узел контроллера домена, который был принудительно удален, разверните узел серверы, разверните имя контроллера домена, щелкните правой кнопкой мыши объект NTDS Параметры и выберите команду удалить.
- в диалоговом окне Active Directory сайты и службы нажмите кнопку да , чтобы подтвердить удаление NTDS Параметры.
- В диалоговом окне Удаление контроллера домена выберите этот контроллер домена постоянно в автономном режиме, и его нельзя будет понизить с помощью мастер установки доменных служб Active Directory (Dcpromo), а затем нажать кнопку Удалить.
- Если контроллер домена является сервером глобального каталога, в диалоговом окне Удаление контроллера домена нажмите кнопку Да , чтобы продолжить удаление.
- Если контроллер домена в настоящее время содержит одну или несколько ролей хозяина операций, нажмите кнопку ОК , чтобы переместить роль или роли на отображаемый контроллер домена.
- Щелкните правой кнопкой мыши контроллер домена, который был принудительно удален, и выберите команду Удалить.
- В диалоговом окне домен Active Directory службы нажмите кнопку Да , чтобы подтвердить удаление контроллера домена.
Дополнительная информация
Сбор мусора — это процесс ведения домашнего хозяйства, предназначенный для свободного пространства в базе данных Active Directory. Этот процесс выполняется на каждом контроллере домена в предприятии с интервалом жизни по умолчанию в 12 часов. Этот интервал можно изменить, изменяя атрибут garbageCollPeriod в корпоративном объекте конфигурации DS (NTDS).
Чтобы задать атрибут garbageCollPeriod, используйте средство редактирования Active Directory. Поддерживаемые средства включают скрипты Adsiedit.msc, Ldp.exe и Active Directory Service Interfaces (ADSI).
При удалении объекта он не удаляется из базы данных Active Directory. Вместо этого объект помечен для удаления более поздней даты. Затем этот знак реплицируется на другие контроллеры домена. Таким образом, процесс сбора мусора начинается с удаления остатков ранее удаленных объектов из базы данных. Эти объекты называются надгробиями. Далее процесс сбора мусора удаляет ненужные файлы журналов. Наконец, процесс запускает поток дефрагментации, чтобы получить дополнительное свободное пространство.
Кроме того, существует два метода дефрагмента базы данных Active Directory. Одним из методов является операция дефрагментации в Интернете, которая выполняется в рамках процесса сбора мусора. Преимущество этого метода заключается в том, что сервер не должен быть отключен для запуска операции. Однако этот метод не уменьшает размер файла базы данных Active Directory (Ntds.dit). Другой метод принимает сервер в автономном режиме и дефрагменты базы данных с помощью Ntdsutil.exe утилиты. Этот подход требует, чтобы база данных начала работать в режиме ремонта. Преимущество этого метода заключается в том, что база данных повторно используется и неиспользовано удаляется пространство. Таким образом, и размер файла Ntds.dit уменьшается. Чтобы использовать этот метод, контроллер домена должен быть отключен.
Ограничения для garbageCollPeriod:
Минимальное значение — 1, а максимальное значение — 168 в течение одной недели. Значение по умолчанию — 12 часов.
Минимальный срок службы надгробием:
Минимальный срок службы надгробий — 2 дня для целей расчета выполнения KCC.
Уровень базы данных AD обеспечивает дополнительную метрику. TSL дней не должно быть меньше, чем в три раза интервал сбора мусора. По умолчанию 12 часов TSL составляет не менее 2 дней. Если интервал GC составляет 20 часов, то минимальный срок TSL — 3 дня (должен быть больше 60 часов). Если интервал GC составляет 25 часов, вы получаете более трех дней (с 75 часами), а минимальный срок TSL — 4 дня.
Загвоздка с помощью проверки уровня DB и выполнения KCC в том, что если TSL ниже допустимого минимума, он не вернется к минимальному значению 2 или более дней, а по умолчанию 60 или 180 дней.
Если TSL исправлен по умолчанию из-за несоответствия, значение интервала сбора мусора также устанавливается по умолчанию в 12 часов.
Читайте также: