微信公众号搜"智元新知"关注
微信扫一扫可直接关注哦!

domain-name-system – 在具有旧DC的AD集成区域上是否可以使用Windows 2016 DNS策略/拆分DNS?

Windows Server 2016 supports DNS Policies,在其他场景中提供对裂脑DNS的支持

You can configure DNS policies to specify how a DNS server responds to
DNS queries. DNS responses can be based on client IP address
(location),time of the day,and several other parameters. DNS
policies enable location-aware DNS,traffic management,load
balancing,split-brain DNS,and other scenarios.

我已经阅读了DNS Policies Overview page,但是当并非所有DC都是Server 2016时,我似乎无法找到关于如何在AD集成区域中工作的文档.

我无法想象它会工作得很好,因为下层服务器不知道如何解释策略并采取相应的行动,但由于信息在AD中被复制,我可以预见旧DC会忽略新属性并做出响应的情况以某种“认”方式(没有应用政策),而新的DC将根据政策做出响应.

我认为在某些情况下你可以(或已经)让客户端指向DC的子集就行了,因为这可以提供一种使用更新功能而无需一次升级所有DC的方法.

但是,我找不到任何有关我所描述的内容是否实际有效,或者您是否无法在混合环境中使用新功能或两者之间的信息的信息.

警告

I’ve recently discovered that the -WhatIf,-Verbose,and -ErrorAction parameters are broken on the DNS Policy cmdlets; vote here to have that fixed.小心!

解决方法

这引起了我的好奇心 – 还有一个有洞察力的问题 – 所以我建立了一个快速实验室来测试这个:

> Win2012-DC:Windows Server 2012 R2,升级为域控制器,用于新的test.local林/域.
> Win2016-DC:Windows Server 2016,升级为上述test.local域的第二个域控制器.

截至今天(2016-10-29),所有内容都经过了全面修补和更新.林和域的功能级别是2012 R2.两台服务器也都配置为此测试域的DNS服务器.

总之,结果似乎与您后来预见的一样:

Older DCs ignore the new attributes and respond in some “default” way (no policy applied),while the new DCs would respond according to policy.

我浏览了https://technet.microsoft.com/en-us/windows-server-docs/networking/dns/deploy/dns-policies-overview下记录的大多数情景.为简洁起见,以下是2个具体方案的详细信息:

阻止域的查询

> https://technet.microsoft.com/en-us/windows-server-docs/networking/dns/deploy/dns-policies-overview?#block-queries-for-a-domain

这在2016 DC上没有问题 – 但是2012 DC显然甚至不识别命令:

Add-DnsServerQueryResolutionPolicy -Name "BlackholePolicy" -Action IGnorE -FQDN "EQ,*.treyresearch.com"

在针对2016 DC发布www.treyresearch.com的DNS查询时,不会给出响应并且请求超时.当针对2012 DC发出相同的查询时,它不知道该策略并提供由上游A记录组成的预期响应.

应用程序负载平衡与地理位置感知

> https://technet.microsoft.com/en-us/windows-server-docs/networking/dns/deploy/app-lb-geo

>(请注意除了都柏林和阿姆斯特丹之外的所有区域范围都是在https://technet.microsoft.com/en-us/windows-server-docs/networking/dns/deploy/dns-policy-scenario-guide的先前子页面中创建的 – 因此,如果从此页面开始,则需要创建缺少的区域范围,或者将最后一个Add-DnsServerQueryResolutionPolicy命令更改为别理他们.)

PowerShell命令包含在文章中以供参考:

Add-DnsServerZonescope -ZoneName "contosogiftservices.com" -Name "dublinZonescope"
Add-DnsServerZonescope -ZoneName "contosogiftservices.com" -Name "AmsterdamZonescope"
Add-DnsServerResourceRecord -ZoneName "contosogiftservices.com" -A -Name "www" -IPv4Address "151.1.0.1" -Zonescope "dublinZonescope”
Add-DnsServerResourceRecord -ZoneName "contosogiftservices.com" -A -Name "www" -IPv4Address "141.1.0.1" -Zonescope "AmsterdamZonescope"
Add-DnsServerQueryResolutionPolicy -Name "AmericaLBPolicy" -Action ALLOW -Clientsubnet "eq,Americasubnet" -Zonescope "SeattleZonescope,2;ChicagoZonescope,1; TexasZonescope,1" -ZoneName "contosogiftservices.com" –ProcessingOrder 1
Add-DnsServerQueryResolutionPolicy -Name "EuropeLBPolicy" -Action ALLOW -Clientsubnet "eq,Europesubnet" -Zonescope "dublinZonescope,1;AmsterdamZonescope,1" -ZoneName "contosogiftservices.com" -ProcessingOrder 2
Add-DnsServerQueryResolutionPolicy -Name "WorldWidePolicy" -Action ALLOW -FQDN "eq,*.contoso.com" -Zonescope "SeattleZonescope,1;ChicagoZonescope,1;dublinZonescope,1" -ZoneName "contosogiftservices.com" -ProcessingOrder 3

这里的结果几乎比上述情况“差”:只有政策才能有效注册www.contosogiftservices.com,2012 DC对此一无所知并返回NXDOMAIN. (在2012或2016服务器上的传统DNS管理控制台中看不到www记录.)2016服务器按照上述策略的配置进行响应.

摘要

在这里看不到任何阻止在功能级别较低的域中使用2016功能内容.如果可能的话,最简单且最不容易混淆的选择可能是停止使用任何剩余的2012 DC作为DNS服务器.如果存在一些额外的复杂性风险,您可以针对特定需求定位支持策略的2016服务器,例如支持(有限的)裂脑部署方案的递归策略.

原文地址:https://www.jb51.cc/html/229795.html

版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。

相关推荐