domain-name-system – 在具有旧DC的AD集成区域上是否可以使用Windows 2016 DNS策略/拆分DNS?

前端之家收集整理的这篇文章主要介绍了domain-name-system – 在具有旧DC的AD集成区域上是否可以使用Windows 2016 DNS策略/拆分DNS?前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
Windows Server 2016 supports DNS Policies,在其他场景中提供对裂脑DNS的支持

You can configure DNS policies to specify how a DNS server responds to
DNS queries. DNS responses can be based on client IP address
(location),time of the day,and several other parameters. DNS
policies enable location-aware DNS,traffic management,load
balancing,split-brain DNS,and other scenarios.

我已经阅读了DNS Policies Overview page,但是当并非所有DC都是Server 2016时,我似乎无法找到关于如何在AD集成区域中工作的文档.

我无法想象它会工作得很好,因为下层服务器不知道如何解释策略并采取相应的行动,但由于信息在AD中被复制,我可以预见旧DC会忽略新属性并做出响应的情况以某种“默认”方式(没有应用政策),而新的DC将根据政策做出响应.

我认为在某些情况下你可以(或已经)让客户端指向DC的子集就行了,因为这可以提供一种使用更新功能而无需一次升级所有DC的方法.

但是,我找不到任何有关我所描述的内容是否实际有效,或者您是否无法在混合环境中使用新功能或两者之间的信息的信息.

警告

I’ve recently discovered that the -WhatIf,-Verbose,and -ErrorAction parameters are broken on the DNS Policy cmdlets; vote here to have that fixed.小心!

解决方法

这引起了我的好奇心 – 还有一个有洞察力的问题 – 所以我建立了一个快速实验室来测试这个:

> Win2012-DC:Windows Server 2012 R2,升级为域控制器,用于新的test.local林/域.
> Win2016-DC:Windows Server 2016,升级为上述test.local域的第二个域控制器.

截至今天(2016-10-29),所有内容都经过了全面修补和更新.林和域的功能级别是2012 R2.两台服务器也都配置为此测试域的DNS服务器.

总之,结果似乎与您后来预见的一样:

Older DCs ignore the new attributes and respond in some “default” way (no policy applied),while the new DCs would respond according to policy.

我浏览了https://technet.microsoft.com/en-us/windows-server-docs/networking/dns/deploy/dns-policies-overview下记录的大多数情景.为简洁起见,以下是2个具体方案的详细信息:

阻止域的查询

> https://technet.microsoft.com/en-us/windows-server-docs/networking/dns/deploy/dns-policies-overview?#block-queries-for-a-domain

这在2016 DC上没有问题 – 但是2012 DC显然甚至不识别命令:

Add-DnsServerQueryResolutionPolicy -Name "BlackholePolicy" -Action IGNORE -FQDN "EQ,*.treyresearch.com"

在针对2016 DC发布www.treyresearch.com的DNS查询时,不会给出响应并且请求超时.当针对2012 DC发出相同的查询时,它不知道该策略并提供由上游A记录组成的预期响应.

应用程序负载平衡与地理位置感知

> https://technet.microsoft.com/en-us/windows-server-docs/networking/dns/deploy/app-lb-geo

>(请注意除了都柏林和阿姆斯特丹之外的所有区域范围都是在https://technet.microsoft.com/en-us/windows-server-docs/networking/dns/deploy/dns-policy-scenario-guide的先前子页面中创建的 – 因此,如果从此页面开始,则需要创建缺少的区域范围,或者将最后一个Add-DnsServerQueryResolutionPolicy命令更改为别理他们.)

PowerShell命令包含在文章中以供参考:

Add-DnsServerZoneScope -ZoneName "contosogiftservices.com" -Name "DublinZoneScope"
Add-DnsServerZoneScope -ZoneName "contosogiftservices.com" -Name "AmsterdamZoneScope"
Add-DnsServerResourceRecord -ZoneName "contosogiftservices.com" -A -Name "www" -IPv4Address "151.1.0.1" -ZoneScope "DublinZoneScope”
Add-DnsServerResourceRecord -ZoneName "contosogiftservices.com" -A -Name "www" -IPv4Address "141.1.0.1" -ZoneScope "AmsterdamZoneScope"
Add-DnsServerQueryResolutionPolicy -Name "AmericaLBPolicy" -Action ALLOW -ClientSubnet "eq,AmericaSubnet" -ZoneScope "SeattleZoneScope,2;ChicagoZoneScope,1; TexasZoneScope,1" -ZoneName "contosogiftservices.com" –ProcessingOrder 1
Add-DnsServerQueryResolutionPolicy -Name "EuropeLBPolicy" -Action ALLOW -ClientSubnet "eq,EuropeSubnet" -ZoneScope "DublinZoneScope,1;AmsterdamZoneScope,1" -ZoneName "contosogiftservices.com" -ProcessingOrder 2
Add-DnsServerQueryResolutionPolicy -Name "WorldWidePolicy" -Action ALLOW -FQDN "eq,*.contoso.com" -ZoneScope "SeattleZoneScope,1;ChicagoZoneScope,1;DublinZoneScope,1" -ZoneName "contosogiftservices.com" -ProcessingOrder 3

这里的结果几乎比上述情况“差”:只有政策才能有效注册www.contosogiftservices.com,2012 DC对此一无所知并返回NXDOMAIN. (在2012或2016服务器上的传统DNS管理控制台中看不到www记录.)2016服务器按照上述策略的配置进行响应.

摘要

我在这里看不到任何阻止在功能级别较低的域中使用2016功能内容.如果可能的话,最简单且最不容易混淆的选择可能是停止使用任何剩余的2012 DC作为DNS服务器.如果存在一些额外的复杂性风险,您可以针对特定需求定位支持策略的2016服务器,例如支持(有限的)裂脑部署方案的递归策略.

猜你在找的HTML相关文章