Возможны ли политики DNS Windows 2016 / разделение DNS в зонах, интегрированных в AD с более старыми контроллерами домена?
Windows Server 2016 поддерживает политики DNS , DNS-запросы. Ответы DNS могут быть основаны на IP-адресе клиента (местоположение), время суток и ряд других параметров. DNS политики включают DNS с учетом местоположения, управление трафиком, нагрузку Я не могу найти никакой информации о том, действительно ли то, что я описал, работает, или вы вообще не можете использовать новые функции в смешанной среде, или что-то среднее между ними.
Предупреждение
Я недавно обнаружил, что параметры -WhatIf , -Verbose и -ErrorAction не работают в командлетах политики DNS; проголосуйте здесь, чтобы исправить это . И будьте осторожны!
Это вызвало мое любопытство - а также +1 за проницательный вопрос - поэтому я создал небольшую лабораторию, чтобы проверить это:
Win2012-DC: Windows Server 2012 R2, повышен до контроллера домена для нового леса / доменаtest.local.Win2016-DC: Windows Server 2016, продвинутый в качестве второго контроллера домена дляtest.local.
На сегодняшний день (29.10.2016) все обновлено и обновлено. Функциональный уровень и для леса, и для домена - 2012 R2. Оба сервера также были настроены как DNS-серверы для этого тестового домена.
В итоге, результаты выглядят так, как вы позже и предвидели:
Старые контроллеры домена игнорируют новые атрибуты и отвечают некоторым образом «по умолчанию» (без политики применено), в то время как новые контроллеры домена будут реагировать в соответствии с политикой.
Я прогнал большинство сценариев, описанных в https://technet.microsoft.com/en-us/windows-server-docs/networking/ dns / deploy / dns-policy-overview . Для краткости ниже приведены подробности двух конкретных сценариев:
Блокировать запросы для домена
Это выполняется без проблем на DC 2016, но DC 2012, очевидно, даже не распознает команду:
Add-DnsServerQueryResolutionPolicy -Name "BlackholePolicy" -Action IGNORE -FQDN "EQ,*.treyresearch.com"
При выдаче DNS-запроса для www.treyresearch.com против DC 2016, ответа не дается, и время ожидания запроса истекло. Когда тот же запрос выдается против DC 2012, он не знает политики и предоставляет ожидаемый ответ, состоящий из восходящей записи A.
Балансировка нагрузки приложений с учетом географического местоположения
- https: // technet. microsoft.com/en-us/windows-server-docs/networking/dns/deploy/app-lb-geo
- (Помните, что все области зоны, кроме Дублина и Амстердама, были созданы на предыдущих подстраницах https://technet.microsoft.com/en-us/windows-server-docs/networking/dns/deploy/dns-policy-scenario-guide - поэтому, если начинать с этой страницы, области отсутствующих зон необходимо будет создать или последнюю команду
Add-DnsServerQueryResolutionPolicyизменить, чтобы игнорировать их.)
- (Помните, что все области зоны, кроме Дублина и Амстердама, были созданы на предыдущих подстраницах https://technet.microsoft.com/en-us/windows-server-docs/networking/dns/deploy/dns-policy-scenario-guide - поэтому, если начинать с этой страницы, области отсутствующих зон необходимо будет создать или последнюю команду
Команды PowerShell, включенные в статью для справки:
Add-DnsServerZoneScope -ZoneName "contosogiftservices.com" -Name "DublinZoneScope"
Add-DnsServerZoneScope -ZoneName "contosogiftservices.com" -Name "AmsterdamZoneScope"
Add-DnsServerResourceRecord -ZoneName "contosogiftservices.com" -A -Name "www" -IPv4Address "151.1.0.1" -ZoneScope "DublinZoneScope”
Add-DnsServerResourceRecord -ZoneName "contosogiftservices.com" -A -Name "www" -IPv4Address "141.1.0.1" -ZoneScope "AmsterdamZoneScope"
Add-DnsServerQueryResolutionPolicy -Name "AmericaLBPolicy" -Action ALLOW -ClientSubnet "eq,AmericaSubnet" -ZoneScope "SeattleZoneScope,2;ChicagoZoneScope,1; TexasZoneScope,1" -ZoneName "contosogiftservices.com" –ProcessingOrder 1
Add-DnsServerQueryResolutionPolicy -Name "EuropeLBPolicy" -Action ALLOW -ClientSubnet "eq,EuropeSubnet" -ZoneScope "DublinZoneScope,1;AmsterdamZoneScope,1" -ZoneName "contosogiftservices.com" -ProcessingOrder 2
Add-DnsServerQueryResolutionPolicy -Name "WorldWidePolicy" -Action ALLOW -FQDN "eq,*.contoso.com" -ZoneScope "SeattleZoneScope,1;ChicagoZoneScope,1; TexasZoneScope,1;DublinZoneScope,1;AmsterdamZoneScope,1" -ZoneName "contosogiftservices.com" -ProcessingOrder 3
Результаты здесь почти «хуже» чем указано выше: с www.contosogiftservices.com , фактически зарегистрированным только политикой, DC 2012 ничего не знает об этом и возвращает NXDOM AIN. (Запись www не видна в традиционной консоли управления DNS на сервере 2012 или 2016 гг.) Сервер 2016 отвечает в соответствии с настройками вышеуказанных политик.
Резюме
Я не вижу все, что препятствует использованию функций 2016 в домене с меньшим функциональным уровнем. Самым простым и наименее запутанным вариантом, вероятно, было бы просто прекратить использовать любые оставшиеся DC 2012 года в качестве DNS-серверов, если это возможно. Рискуя дополнительной сложности, вы можете настроить серверы 2016, поддерживающие политики, для конкретных нужд, таких как политики рекурсии для поддержки (ограниченного) сценария развертывания с разделением функций.