You can configure DNS policies to specify how a DNS server responds to
DNS queries. DNS responses can be based on client IP address
(location),time of the day,and several other parameters. DNS
policies enable location-aware DNS,traffic management,load
balancing,split-brain DNS,and other scenarios.
我已经阅读了DNS Policies Overview page,但是当并非所有DC都是Server 2016时,我似乎无法找到关于如何在AD集成区域中工作的文档.
我无法想象它会工作得很好,因为下层服务器不知道如何解释策略并采取相应的行动,但由于信息在AD中被复制,我可以预见旧DC会忽略新属性并做出响应的情况以某种“默认”方式(没有应用政策),而新的DC将根据政策做出响应.
我认为在某些情况下你可以(或已经)让客户端指向DC的子集就行了,因为这可以提供一种使用更新功能而无需一次升级所有DC的方法.
但是,我找不到任何有关我所描述的内容是否实际有效,或者您是否无法在混合环境中使用新功能或两者之间的信息的信息.
警告
解决方法@H_404_24@
这引起了我的好奇心 – 还有一个有洞察力的问题 – 所以我建立了一个快速实验室来测试这个:
> Win2012-DC:Windows Server 2012 R2,升级为域控制器,用于新的test.local林/域.
> Win2016-DC:Windows Server 2016,升级为上述test.local域的第二个域控制器.
截至今天(2016-10-29),所有内容都经过了全面修补和更新.林和域的功能级别是2012 R2.两台服务器也都配置为此测试域的DNS服务器.
总之,结果似乎与您后来预见的一样:
Older DCs ignore the new attributes and respond in some “default” way (no policy applied),while the new DCs would respond according to policy.
我浏览了https://technet.microsoft.com/en-us/windows-server-docs/networking/dns/deploy/dns-policies-overview下记录的大多数情景.为简洁起见,以下是2个具体方案的详细信息:
阻止域的查询
这在2016 DC上没有问题 – 但是2012 DC显然甚至不识别命令:
Add-DnsServerQueryResolutionPolicy -Name "BlackholePolicy" -Action IGNORE -FQDN "EQ,*.treyresearch.com"
在针对2016 DC发布www.treyresearch.com的DNS查询时,不会给出响应并且请求超时.当针对2012 DC发出相同的查询时,它不知道该策略并提供由上游A记录组成的预期响应.
应用程序负载平衡与地理位置感知
> https://technet.microsoft.com/en-us/windows-server-docs/networking/dns/deploy/app-lb-geo
>(请注意除了都柏林和阿姆斯特丹之外的所有区域范围都是在https://technet.microsoft.com/en-us/windows-server-docs/networking/dns/deploy/dns-policy-scenario-guide的先前子页面中创建的 – 因此,如果从此页面开始,则需要创建缺少的区域范围,或者将最后一个Add-DnsServerQueryResolutionPolicy命令更改为别理他们.)
PowerShell命令包含在文章中以供参考:
Add-DnsServerZoneScope -ZoneName "contosogiftservices.com" -Name "DublinZoneScope"
Add-DnsServerZoneScope -ZoneName "contosogiftservices.com" -Name "AmsterdamZoneScope"
Add-DnsServerResourceRecord -ZoneName "contosogiftservices.com" -A -Name "www" -IPv4Address "151.1.0.1" -ZoneScope "DublinZoneScope”
Add-DnsServerResourceRecord -ZoneName "contosogiftservices.com" -A -Name "www" -IPv4Address "141.1.0.1" -ZoneScope "AmsterdamZoneScope"
Add-DnsServerQueryResolutionPolicy -Name "AmericaLBPolicy" -Action ALLOW -ClientSubnet "eq,AmericaSubnet" -ZoneScope "SeattleZoneScope,2;ChicagoZoneScope,1; TexasZoneScope,1" -ZoneName "contosogiftservices.com" –ProcessingOrder 1
Add-DnsServerQueryResolutionPolicy -Name "EuropeLBPolicy" -Action ALLOW -ClientSubnet "eq,EuropeSubnet" -ZoneScope "DublinZoneScope,1;AmsterdamZoneScope,1" -ZoneName "contosogiftservices.com" -ProcessingOrder 2
Add-DnsServerQueryResolutionPolicy -Name "WorldWidePolicy" -Action ALLOW -FQDN "eq,*.contoso.com" -ZoneScope "SeattleZoneScope,1;ChicagoZoneScope,1;DublinZoneScope,1" -ZoneName "contosogiftservices.com" -ProcessingOrder 3
这里的结果几乎比上述情况“差”:只有政策才能有效注册www.contosogiftservices.com,2012 DC对此一无所知并返回NXDOMAIN. (在2012或2016服务器上的传统DNS管理控制台中看不到www记录.)2016服务器按照上述策略的配置进行响应.
我在这里看不到任何阻止在功能级别较低的域中使用2016功能的内容.如果可能的话,最简单且最不容易混淆的选择可能是停止使用任何剩余的2012 DC作为DNS服务器.如果存在一些额外的复杂性风险,您可以针对特定需求定位支持策略的2016服务器,例如支持(有限的)裂脑部署方案的递归策略.
> Win2012-DC:Windows Server 2012 R2,升级为域控制器,用于新的test.local林/域.
> Win2016-DC:Windows Server 2016,升级为上述test.local域的第二个域控制器.
截至今天(2016-10-29),所有内容都经过了全面修补和更新.林和域的功能级别是2012 R2.两台服务器也都配置为此测试域的DNS服务器.
总之,结果似乎与您后来预见的一样:
Older DCs ignore the new attributes and respond in some “default” way (no policy applied),while the new DCs would respond according to policy.
我浏览了https://technet.microsoft.com/en-us/windows-server-docs/networking/dns/deploy/dns-policies-overview下记录的大多数情景.为简洁起见,以下是2个具体方案的详细信息:
阻止域的查询
这在2016 DC上没有问题 – 但是2012 DC显然甚至不识别命令:
Add-DnsServerQueryResolutionPolicy -Name "BlackholePolicy" -Action IGNORE -FQDN "EQ,*.treyresearch.com"
在针对2016 DC发布www.treyresearch.com的DNS查询时,不会给出响应并且请求超时.当针对2012 DC发出相同的查询时,它不知道该策略并提供由上游A记录组成的预期响应.
应用程序负载平衡与地理位置感知
> https://technet.microsoft.com/en-us/windows-server-docs/networking/dns/deploy/app-lb-geo
>(请注意除了都柏林和阿姆斯特丹之外的所有区域范围都是在https://technet.microsoft.com/en-us/windows-server-docs/networking/dns/deploy/dns-policy-scenario-guide的先前子页面中创建的 – 因此,如果从此页面开始,则需要创建缺少的区域范围,或者将最后一个Add-DnsServerQueryResolutionPolicy命令更改为别理他们.)
PowerShell命令包含在文章中以供参考:
Add-DnsServerZoneScope -ZoneName "contosogiftservices.com" -Name "DublinZoneScope" Add-DnsServerZoneScope -ZoneName "contosogiftservices.com" -Name "AmsterdamZoneScope" Add-DnsServerResourceRecord -ZoneName "contosogiftservices.com" -A -Name "www" -IPv4Address "151.1.0.1" -ZoneScope "DublinZoneScope” Add-DnsServerResourceRecord -ZoneName "contosogiftservices.com" -A -Name "www" -IPv4Address "141.1.0.1" -ZoneScope "AmsterdamZoneScope" Add-DnsServerQueryResolutionPolicy -Name "AmericaLBPolicy" -Action ALLOW -ClientSubnet "eq,AmericaSubnet" -ZoneScope "SeattleZoneScope,2;ChicagoZoneScope,1; TexasZoneScope,1" -ZoneName "contosogiftservices.com" –ProcessingOrder 1 Add-DnsServerQueryResolutionPolicy -Name "EuropeLBPolicy" -Action ALLOW -ClientSubnet "eq,EuropeSubnet" -ZoneScope "DublinZoneScope,1;AmsterdamZoneScope,1" -ZoneName "contosogiftservices.com" -ProcessingOrder 2 Add-DnsServerQueryResolutionPolicy -Name "WorldWidePolicy" -Action ALLOW -FQDN "eq,*.contoso.com" -ZoneScope "SeattleZoneScope,1;ChicagoZoneScope,1;DublinZoneScope,1" -ZoneName "contosogiftservices.com" -ProcessingOrder 3
这里的结果几乎比上述情况“差”:只有政策才能有效注册www.contosogiftservices.com,2012 DC对此一无所知并返回NXDOMAIN. (在2012或2016服务器上的传统DNS管理控制台中看不到www记录.)2016服务器按照上述策略的配置进行响应.
我在这里看不到任何阻止在功能级别较低的域中使用2016功能的内容.如果可能的话,最简单且最不容易混淆的选择可能是停止使用任何剩余的2012 DC作为DNS服务器.如果存在一些额外的复杂性风险,您可以针对特定需求定位支持策略的2016服务器,例如支持(有限的)裂脑部署方案的递归策略.