Чи можлива політика DNS для Windows 2016 / розділити DNS на інтегрованих зонах AD зі старими постійними DC?

Windows Server 2016 підтримує політику DNS , яка забезпечує підтримку розділеного мозку DNS серед інших сценаріїв:

Ви можете налаштувати політику DNS, щоб вказати, як сервер DNS відповідає на запити DNS. Відповіді DNS можуть базуватися на IP-адресі (місцезнаходження) клієнта, часу доби та кількох інших параметрах. Політики DNS дозволяють використовувати DNS, керуючий трафіком, управління трафіком, балансування навантаження, DNS з розділеним мозком та інші сценарії.

Я прочитав сторінку "Огляд політик DNS", але, здається, ніде не можу знайти документацію про те, як це працює в інтегрованій зоні AD, коли ще не всі DC є сервером 2016.

Я не можу уявити, що це буде працювати так добре, оскільки сервери нижчого рівня не знають, як інтерпретувати політику та діяти відповідно, але оскільки інформація тиражується в AD, я можу передбачити ситуацію, коли старші ДК ігнорують нові атрибути та реагують певним чином "за замовчуванням" (не застосовується політика), тоді як нові ДК відповідатимуть відповідно до політики.

Я думаю, що це було б нормально в певних ситуаціях, коли у вас можуть (або вже є) клієнти, що вказують на підмножину постійних токів, оскільки це може забезпечити спосіб використання новіших функцій без оновлення всіх постійних точок одразу.

Але я не можу знайти жодної інформації про те, що я описав, як це насправді працює, чи ви взагалі не можете використовувати нові функції в змішаному середовищі чи щось середнє.

Увага

Я недавно виявив , що -WhatIf, -Verbose, і -ErrorActionпараметри розбиті на Командлети політики DNS; голосуйте тут, щоб це було виправлено . І будьте обережні!

Це викликало мою цікавість - а також +1 для проникливого питання - тому я створив швидку лабораторію для перевірки цього:

• Win2012-DC: Windows Server 2012 R2, переведений у контролер домену для нового test.localлісу / домену.
• Win2016-DC: Windows Server 2016, рекламований як 2-й контролер домену для вищевказаного test.localдомену.

На сьогоднішній день все є виправленим та сучасним (2016-10-29). Функціональний рівень як для лісу, так і для домену - 2012 R2. Обидва сервери також були налаштовані як DNS-сервери для цього тестового домену.

Підводячи підсумок, результати здаються такими, як ви пізніше передбачили:

Старі ДК ігнорують нові атрибути та реагують якимось чином "за замовчуванням" (не застосовується політика), тоді як нові ДК відповідатимуть відповідно до політики.

Я пережив більшість сценаріїв, задокументованих під https://technet.microsoft.com/en-us/windows-server-docs/networking/dns/deploy/dns-policies-overview . Для стислості наведено деталі 2 конкретних сценаріїв:

Блокувати запити домену

• https://technet.microsoft.com/en-us/windows-server-docs/networking/dns/deploy/dns-policies-overview?#block-queries-for-a-domain

Це виконується без проблем на DC DC 2016, але 2012 DC очевидно навіть не розпізнає команду:

Add-DnsServerQueryResolutionPolicy -Name "BlackholePolicy" -Action IGNORE -FQDN "EQ,*.treyresearch.com"

При видачі DNS-запиту www.treyresearch.comпроти DC DC 2016 року не надається відповідь та час очікування запиту. Коли той самий запит видається проти DC DC 2012 року, він не знає про політику і забезпечує очікуваний відповідь, що складається з верхнього запису A.

Балансування завантаження додатків із обізнаністю про географічне розташування

• https://technet.microsoft.com/en-us/windows-server-docs/networking/dns/deploy/app-lb-geo
  • (Будьте уважні, що всі зони дії, окрім Дубліна та Амстердама, були створені на попередніх підсторінках https://technet.microsoft.com/en-us/windows-server-docs/networking/dns/deploy/dns-policy -scenario-guide - тому, якщо починати з цієї сторінки, потрібно буде створити області відсутньої зони або змінити останню Add-DnsServerQueryResolutionPolicyкоманду, щоб їх ігнорувати.)

Команди PowerShell, як зазначено в статті для довідок:

Add-DnsServerZoneScope -ZoneName "contosogiftservices.com" -Name "DublinZoneScope"
Add-DnsServerZoneScope -ZoneName "contosogiftservices.com" -Name "AmsterdamZoneScope"
Add-DnsServerResourceRecord -ZoneName "contosogiftservices.com" -A -Name "www" -IPv4Address "151.1.0.1" -ZoneScope "DublinZoneScope”
Add-DnsServerResourceRecord -ZoneName "contosogiftservices.com" -A -Name "www" -IPv4Address "141.1.0.1" -ZoneScope "AmsterdamZoneScope"
Add-DnsServerQueryResolutionPolicy -Name "AmericaLBPolicy" -Action ALLOW -ClientSubnet "eq,AmericaSubnet" -ZoneScope "SeattleZoneScope,2;ChicagoZoneScope,1; TexasZoneScope,1" -ZoneName "contosogiftservices.com" –ProcessingOrder 1
Add-DnsServerQueryResolutionPolicy -Name "EuropeLBPolicy" -Action ALLOW -ClientSubnet "eq,EuropeSubnet" -ZoneScope "DublinZoneScope,1;AmsterdamZoneScope,1" -ZoneName "contosogiftservices.com" -ProcessingOrder 2
Add-DnsServerQueryResolutionPolicy -Name "WorldWidePolicy" -Action ALLOW -FQDN "eq,*.contoso.com" -ZoneScope "SeattleZoneScope,1;ChicagoZoneScope,1; TexasZoneScope,1;DublinZoneScope,1;AmsterdamZoneScope,1" -ZoneName "contosogiftservices.com" -ProcessingOrder 3

Результати тут майже «гірші», ніж наведені вище. Завдяки www.contosogiftservices.comефективно зареєстрованій лише політикою, 2012 р. DC нічого про це не знає і повертає NXDOMAIN. ( wwwНа традиційній консолі управління DNS на сервері 2012 або 2016 не відображається жодна запис.) Сервер 2016 відповідає, як налаштовано вищезазначені політики.

Підсумок

Тут я не бачу нічого, що заважає використовувати функції 2016 року в домені з меншим функціональним рівнем. Найпростішим і найменш заплутаним варіантом, мабуть, було б просто припинити використання будь-яких інших DC-дисків 2012 як DNS-серверів, якщо це можливо. Загрожуючи деякою додатковою складністю, ви можете орієнтуватися на підтримуючі політику серверів 2016 року для конкретних потреб, наприклад, рекурсійні політики для підтримки (обмеженого) сценарію розгортання розділеного мозку.