Возможны ли политики DNS / разделение DNS в Windows 2016 в интегрированных зонах AD со старыми контроллерами домена?

Windows Server 2016 поддерживает политики DNS, которые обеспечивают поддержку раздельного DNS среди других сценариев:

Вы можете настроить политики DNS, чтобы указать, как DNS-сервер отвечает на DNS-запросы. Ответы DNS могут основываться на IP-адресе клиента (местонахождении), времени суток и некоторых других параметрах. Политики DNS включают DNS с учетом местоположения, управление трафиком, балансировку нагрузки, разделенный мозг и другие сценарии.

Я прочитал страницу "Обзор политик DNS", но не могу найти документацию о том, как это работает в интегрированной зоне AD, когда еще не все контроллеры домена являются Server 2016.

Я не могу себе представить, что это будет работать так хорошо, так как серверы нижнего уровня не знают, как интерпретировать политики и действовать соответствующим образом, но, поскольку информация реплицируется в AD, я могу предвидеть ситуацию, когда старые контроллеры домена игнорируют новые атрибуты и отвечают некоторым способом "по умолчанию" (политика не применяется), в то время как новые контроллеры домена будут отвечать в соответствии с политикой.

Я думаю, что было бы хорошо в определенных ситуациях, когда вы можете (или уже делаете), чтобы клиенты указывали на подмножество контроллеров домена, поскольку это может обеспечить возможность использовать более новые функции без обновления всех контроллеров домена сразу.

Но я не могу найти никакой информации о том, что я описал, как это на самом деле работает, или вы вообще не можете использовать новые функции в смешанной среде, или что-то среднее.

Предупреждение

Я недавно обнаружил, что -WhatIf , -Verbose , а также -ErrorAction параметры нарушены в командлетах политики DNS; голосовать здесь, чтобы исправить это. И будь осторожен!

Источник

1 ответ

Решение

Это привлекло мое любопытство - а также +1 за глубокий вопрос - поэтому я создал небольшую лабораторию, чтобы проверить это:

  • Win2012-DC: Windows Server 2012 R2, выдвинут на контроллер домена для нового test.local лес / домен.
  • Win2016-DC: Windows Server 2016, продвинутый как второй контроллер домена для вышеупомянутого test.local домен.

Все полностью исправлено и обновлено на сегодняшний день (2016-10-29). Функциональный уровень для леса и домена - 2012 R2. Оба сервера также были настроены в качестве DNS-серверов для этого тестового домена.

Таким образом, результаты выглядят так, как вы позже предвидели:

Старые контроллеры домена игнорируют новые атрибуты и отвечают некоторым способом "по умолчанию" (политика не применяется), в то время как новые контроллеры домена отвечают в соответствии с политикой.

Я пробежал по большинству сценариев, описанных в разделе https://technet.microsoft.com/en-us/windows-server-docs/networking/dns/deploy/dns-policies-overview. Для краткости ниже приведены подробности двух конкретных сценариев:

Блокировать запросы для домена

Это выполняется без проблем на DC 2016 - но DC 2012, очевидно, даже не распознает команду:

Add-DnsServerQueryResolutionPolicy -Name "BlackholePolicy" -Action IGNORE -FQDN "EQ,*.treyresearch.com"

При выдаче DNS-запроса для www.treyresearch.com по сравнению с ДК 2016 ответ не получен и время ожидания запроса. Когда тот же запрос выполняется для DC 2012 года, он не знает о политике и предоставляет ожидаемый ответ, состоящий из восходящей записи A.

Балансировка нагрузки приложений с учетом географического положения

Команды PowerShell, включенные в статью для справки:

Add-DnsServerZoneScope -ZoneName "contosogiftservices.com" -Name "DublinZoneScope"
Add-DnsServerZoneScope -ZoneName "contosogiftservices.com" -Name "AmsterdamZoneScope"
Add-DnsServerResourceRecord -ZoneName "contosogiftservices.com" -A -Name "www" -IPv4Address "151.1.0.1" -ZoneScope "DublinZoneScope”
Add-DnsServerResourceRecord -ZoneName "contosogiftservices.com" -A -Name "www" -IPv4Address "141.1.0.1" -ZoneScope "AmsterdamZoneScope"
Add-DnsServerQueryResolutionPolicy -Name "AmericaLBPolicy" -Action ALLOW -ClientSubnet "eq,AmericaSubnet" -ZoneScope "SeattleZoneScope,2;ChicagoZoneScope,1; TexasZoneScope,1" -ZoneName "contosogiftservices.com" –ProcessingOrder 1
Add-DnsServerQueryResolutionPolicy -Name "EuropeLBPolicy" -Action ALLOW -ClientSubnet "eq,EuropeSubnet" -ZoneScope "DublinZoneScope,1;AmsterdamZoneScope,1" -ZoneName "contosogiftservices.com" -ProcessingOrder 2
Add-DnsServerQueryResolutionPolicy -Name "WorldWidePolicy" -Action ALLOW -FQDN "eq,*.contoso.com" -ZoneScope "SeattleZoneScope,1;ChicagoZoneScope,1; TexasZoneScope,1;DublinZoneScope,1;AmsterdamZoneScope,1" -ZoneName "contosogiftservices.com" -ProcessingOrder 3

Результаты здесь почти "хуже" чем выше: www.contosogiftservices.com эффективно зарегистрированный только политикой, DC 2012 ничего не знает об этом и возвращает NXDOMAIN. (Нет www запись видна в традиционной консоли управления DNS на сервере 2012 или 2016 г.) Сервер 2016 отвечает в соответствии с приведенными выше политиками.

Резюме

Я не вижу здесь ничего, что мешало бы использовать функции 2016 года в домене с меньшим функциональным уровнем. Самый простой и наименее запутанный вариант, вероятно, будет состоять в том, чтобы просто прекратить использование любых оставшихся контроллеров домена 2012 в качестве DNS-серверов, если это возможно. При риске некоторой дополнительной сложности вы можете нацелить серверы, поддерживающие политику, на 2016 год для конкретных нужд, таких как политики рекурсии, для поддержки (ограниченного) сценария с разделением мозгов.

Источник
Другие вопросы по тегам