Eski DC'lere sahip AD tümleşik bölgelerde Windows 2016 DNS İlkeleri / Bölünmüş DNS mümkün mü?

Windows Server 2016, diğer senaryolar arasında bölünmüş beyin DNS'si için destek sağlayan DNS İlkelerini destekler :

DNS ilkelerini, bir DNS sunucusunun DNS sorgularına nasıl yanıt vereceğini belirtmek için yapılandırabilirsiniz. DNS yanıtları istemci IP adresine (konum), günün saatine ve diğer birkaç parametreye dayalı olabilir. DNS ilkeleri, konuma duyarlı DNS, trafik yönetimi, yük dengeleme, bölünmüş beyin DNS ve diğer senaryoları etkinleştirir.

DNS İlkelerine Genel Bakış sayfasını okudum, ancak tüm DC'ler henüz Sunucu 2016 olmadığında bunun AD ile tümleşik bir bölgede nasıl çalıştığı hakkında hiçbir belge bulamıyorum.

Alt düzey sunucular politikaları nasıl yorumlayacağını ve buna göre hareket edeceğini bilmediğinden, bu kadar iyi çalışacağını düşünemiyorum, ancak bilgiler AD'de çoğaltıldığından, eski DC'lerin yeni özellikleri yok saydığı ve yanıt verdiği bir durumu öngörebilirim bazı "varsayılan" yolla (politika uygulanmadı), yeni DC'ler politikaya göre yanıt verir.

Ben tüm DC'leri bir kerede yükseltmeden yeni özellikleri kullanmak için bir yol sağlayabilir gibi, DC'lerin bir alt kümesine işaret istemcileri olabilir (veya zaten yapmak) bazı durumlarda tamam olacağını düşünüyorum.

Ancak, tarif ettiğim şeyin gerçekten nasıl çalıştığı veya yeni özellikleri karışık bir ortamda veya aradaki bir şeyde kullanamayacağınız hakkında herhangi bir bilgi bulamıyorum.

Uyarı

Geçenlerde olduğunu keşfettim -WhatIf, -Verboseve -ErrorActionparametreler DNS Politikası cmdlets üzerine kırılır; düzeltmek için buraya oy verin . Ve dikkatli ol!

Bu benim merakımı yakaladı - ve ayrıca anlayışlı bir soru için +1 - bu yüzden bunu test etmek için hızlı bir laboratuvar oluşturdum:

• Win2012-DC: Windows Server 2012 R2, yeni bir test.localorman / etki alanı için etki alanı denetleyicisine yükseltildi .
• Win2016-DC: Windows Server 2016, yukarıdaki test.localetki alanı için 2. etki alanı denetleyicisi olarak yükseltildi .

Her şey bugün (2016-10-29) itibariyle tamamen yamalı ve güncel. Hem orman hem de alan için fonksiyonel seviye 2012 R2'dir. Her iki sunucu da bu test etki alanı için DNS sunucuları olarak yapılandırıldı.

Özet olarak, sonuçlar daha sonra öngörüldüğünüz gibi görünür:

Eski DC'ler yeni özellikleri yok sayar ve "varsayılan" bir şekilde yanıt verir (politika uygulanmaz), yeni DC'ler politikaya göre yanıt verir.

Https://technet.microsoft.com/en-us/windows-server-docs/networking/dns/deploy/dns-policies-overview altında belgelenen senaryoların çoğundan geçtim . Kısacası, aşağıdaki 2 özel senaryonun detayları:

Alan Adı İçin Sorguları Engelle

• https://technet.microsoft.com/en-us/windows-server-docs/networking/dns/deploy/dns-policies-overview?#block-queries-for-a-domain

Bu, 2016 DC'de sorunsuz bir şekilde yürütülür - ancak 2012 DC, açıkça komutu tanımaz:

Add-DnsServerQueryResolutionPolicy -Name "BlackholePolicy" -Action IGNORE -FQDN "EQ,*.treyresearch.com"

www.treyresearch.com2016 DC'sine karşı için bir DNS sorgusu verilirken, hiçbir yanıt verilmez ve istek zaman aşımına uğrar. 2012 DC aleyhinde aynı sorgu yayınlandığında, politika hakkında bilgisi yoktur ve akış yukarı A kaydından oluşan beklenen bir yanıt sağlar.

Coğrafi Konum Bilinci ile Uygulama Yükü Dengeleme

• https://technet.microsoft.com/en-us/windows-server-docs/networking/dns/deploy/app-lb-geo
  • (Dublin ve Amsterdam dışındaki tüm bölge kapsamlarının https://technet.microsoft.com/en-us/windows-server-docs/networking/dns/deploy/dns-policy ' nin önceki alt sayfalarında oluşturulduğuna dikkat edin -scenario-guide - bu sayfadan başlayarak eksik bölge kapsamlarının oluşturulması veya son Add-DnsServerQueryResolutionPolicykomutun yok sayılması için değiştirilmesi gerekir.)

Başvuru için makalede bulunan PowerShell komutları:

Add-DnsServerZoneScope -ZoneName "contosogiftservices.com" -Name "DublinZoneScope"
Add-DnsServerZoneScope -ZoneName "contosogiftservices.com" -Name "AmsterdamZoneScope"
Add-DnsServerResourceRecord -ZoneName "contosogiftservices.com" -A -Name "www" -IPv4Address "151.1.0.1" -ZoneScope "DublinZoneScope”
Add-DnsServerResourceRecord -ZoneName "contosogiftservices.com" -A -Name "www" -IPv4Address "141.1.0.1" -ZoneScope "AmsterdamZoneScope"
Add-DnsServerQueryResolutionPolicy -Name "AmericaLBPolicy" -Action ALLOW -ClientSubnet "eq,AmericaSubnet" -ZoneScope "SeattleZoneScope,2;ChicagoZoneScope,1; TexasZoneScope,1" -ZoneName "contosogiftservices.com" –ProcessingOrder 1
Add-DnsServerQueryResolutionPolicy -Name "EuropeLBPolicy" -Action ALLOW -ClientSubnet "eq,EuropeSubnet" -ZoneScope "DublinZoneScope,1;AmsterdamZoneScope,1" -ZoneName "contosogiftservices.com" -ProcessingOrder 2
Add-DnsServerQueryResolutionPolicy -Name "WorldWidePolicy" -Action ALLOW -FQDN "eq,*.contoso.com" -ZoneScope "SeattleZoneScope,1;ChicagoZoneScope,1; TexasZoneScope,1;DublinZoneScope,1;AmsterdamZoneScope,1" -ZoneName "contosogiftservices.com" -ProcessingOrder 3

Buradaki sonuçlar yukarıdakilerden neredeyse "daha kötü" dir: www.contosogiftservices.com2012 DC, yalnızca politika tarafından etkin bir şekilde kaydedildiğinde, bu konuda hiçbir şey bilmez ve bir NXDOMAIN döndürür. ( www2012 veya 2016 sunucusundaki geleneksel DNS yönetim konsolunda kayıt görünmüyor.) 2016 sunucusu, yukarıdaki ilkeler tarafından yapılandırıldığı şekilde yanıt veriyor.

özet

Burada 2016 özelliklerinin daha az işlevsel bir alana sahip bir alanda kullanılmasını engelleyen hiçbir şey görmüyorum. En basit ve en az kafa karıştırıcı seçenek, muhtemelen kalan 2012 DC'leri mümkünse DNS sunucusu olarak kullanmayı bırakmak olacaktır. Bazı ek karmaşıklık riski altında, (sınırlı) bölünmüş beyin dağıtım senaryosunu desteklemek için özyineleme politikaları gibi belirli ihtiyaçlar için ilke destekleyen 2016 sunucularını hedefleyebilirsiniz.