Chính sách DNS / Chia DNS của Windows 2016 có khả dụng trên các vùng tích hợp AD với các DC cũ hơn không?

10

Windows Server 2016 hỗ trợ Chính sách DNS , cung cấp hỗ trợ DNS tách não trong số các tình huống khác:

Bạn có thể định cấu hình chính sách DNS để chỉ định cách máy chủ DNS phản hồi các truy vấn DNS. Phản hồi DNS có thể dựa trên địa chỉ IP của khách hàng (vị trí), thời gian trong ngày và một số thông số khác. Chính sách DNS cho phép DNS nhận biết vị trí, quản lý lưu lượng, cân bằng tải, DNS tách não và các tình huống khác.

Tôi đã đọc trang Tổng quan về Chính sách DNS nhưng dường như tôi không thể tìm thấy tài liệu ở bất kỳ đâu về cách thức hoạt động của nó trên vùng tích hợp AD khi chưa phải tất cả các DC đều là Máy chủ 2016.

Tôi không thể tưởng tượng nó sẽ hoạt động tốt như vậy vì các máy chủ downlevel không biết cách giải thích chính sách và hành động phù hợp, nhưng vì thông tin được sao chép trong AD, tôi có thể thấy trước một tình huống mà các DC cũ bỏ qua các thuộc tính mới và phản hồi theo một số cách "mặc định" (không áp dụng chính sách), trong khi các DC mới sẽ phản hồi theo chính sách.

Tôi nghĩ rằng sẽ ổn trong một số trường hợp bạn có thể (hoặc đã làm) có khách hàng chỉ vào một tập hợp con của DC, vì điều này có thể cung cấp cách sử dụng các tính năng mới hơn mà không cần nâng cấp tất cả các DC cùng một lúc.

Nhưng, tôi không thể tìm thấy bất kỳ thông tin nào về việc những gì tôi mô tả là nó thực sự hoạt động như thế nào, hoặc liệu bạn hoàn toàn không thể sử dụng các tính năng mới trong một môi trường hỗn hợp, hoặc một cái gì đó ở giữa.

Cảnh báo

Tôi vừa mới phát hiện ra rằng -WhatIf, -Verbose-ErrorActioncác thông số được chia trên cmdlet Chính sách DNS; bỏ phiếu vào đây để có mà cố định . Và nên cẩn thận!

domain-name-system  active-directory  windows-server-2016  split-dns  dns-policies 
người theo chủ nghĩa anh hùng
nguồn

Câu trả lời:

4

Điều này thu hút sự tò mò của tôi - và cũng là +1 cho một câu hỏi sâu sắc - vì vậy tôi đã xây dựng một phòng thí nghiệm nhanh để kiểm tra điều này:

  • Win2012-DC: Windows Server 2012 R2, được thăng cấp lên bộ điều khiển miền cho một test.localrừng / miền mới.
  • Win2016-DC: Windows Server 2016, được quảng cáo là bộ điều khiển miền thứ 2 cho test.localtên miền trên .

Mọi thứ đã được vá đầy đủ và cập nhật cho đến ngày hôm nay (2016-10-29). Cấp độ chức năng cho cả rừng và miền là 2012 R2. Cả hai máy chủ cũng được cấu hình là máy chủ DNS cho miền thử nghiệm này.

Tóm lại, kết quả có vẻ như bạn thấy trước:

Các DC cũ hơn bỏ qua các thuộc tính mới và trả lời theo một số cách "mặc định" (không áp dụng chính sách), trong khi các DC mới sẽ phản hồi theo chính sách.

Tôi đã xem qua hầu hết các kịch bản được ghi lại trong https://technet.microsoft.com/en-us/windows-server-docs/networking/dns/deploy/dns-polaho-overview . Để cho ngắn gọn, sau đây là chi tiết của 2 tình huống cụ thể:

Chặn truy vấn cho một tên miền

Điều này thực thi mà không có vấn đề trên DC 2016 - nhưng DC 2012 rõ ràng thậm chí không nhận ra lệnh:

Add-DnsServerQueryResolutionPolicy -Name "BlackholePolicy" -Action IGNORE -FQDN "EQ,*.treyresearch.com"

Khi đưa ra một truy vấn DNS cho www.treyresearch.comDC 2016, không có phản hồi nào được đưa ra và hết thời gian yêu cầu. Khi cùng một truy vấn được đưa ra so với DC 2012, nó không có kiến ​​thức về chính sách và cung cấp một phản hồi dự kiến ​​bao gồm bản ghi A ngược dòng.

Cân bằng tải ứng dụng với nhận thức vị trí địa lý

Các lệnh PowerShell như được bao gồm trong bài viết để tham khảo:

Add-DnsServerZoneScope -ZoneName "contosogiftservices.com" -Name "DublinZoneScope"
Add-DnsServerZoneScope -ZoneName "contosogiftservices.com" -Name "AmsterdamZoneScope"
Add-DnsServerResourceRecord -ZoneName "contosogiftservices.com" -A -Name "www" -IPv4Address "151.1.0.1" -ZoneScope "DublinZoneScope”
Add-DnsServerResourceRecord -ZoneName "contosogiftservices.com" -A -Name "www" -IPv4Address "141.1.0.1" -ZoneScope "AmsterdamZoneScope"
Add-DnsServerQueryResolutionPolicy -Name "AmericaLBPolicy" -Action ALLOW -ClientSubnet "eq,AmericaSubnet" -ZoneScope "SeattleZoneScope,2;ChicagoZoneScope,1; TexasZoneScope,1" -ZoneName "contosogiftservices.com" –ProcessingOrder 1
Add-DnsServerQueryResolutionPolicy -Name "EuropeLBPolicy" -Action ALLOW -ClientSubnet "eq,EuropeSubnet" -ZoneScope "DublinZoneScope,1;AmsterdamZoneScope,1" -ZoneName "contosogiftservices.com" -ProcessingOrder 2
Add-DnsServerQueryResolutionPolicy -Name "WorldWidePolicy" -Action ALLOW -FQDN "eq,*.contoso.com" -ZoneScope "SeattleZoneScope,1;ChicagoZoneScope,1; TexasZoneScope,1;DublinZoneScope,1;AmsterdamZoneScope,1" -ZoneName "contosogiftservices.com" -ProcessingOrder 3

Các kết quả ở đây gần như "tệ hơn" so với ở trên: Chỉ được www.contosogiftservices.comđăng ký hiệu quả bởi chính sách, DC 2012 không biết gì về nó và trả về một NXDOMAIN. (Không có wwwbản ghi nào hiển thị trong bảng điều khiển quản lý DNS truyền thống trên máy chủ 2012 hoặc 2016.) Máy chủ 2016 phản hồi theo cấu hình của các chính sách trên.

Tóm lược

Tôi không thấy bất cứ điều gì ở đây ngăn chặn việc sử dụng các tính năng năm 2016 trong một miền với mức độ chức năng thấp hơn. Tùy chọn đơn giản và ít gây nhầm lẫn nhất có lẽ là chỉ dừng sử dụng bất kỳ DC 2012 nào còn lại làm máy chủ DNS, nếu có thể. Có nguy cơ phức tạp hơn, bạn có thể nhắm mục tiêu các máy chủ hỗ trợ chính sách năm 2016 cho các nhu cầu cụ thể, chẳng hạn như chính sách đệ quy để hỗ trợ cho kịch bản triển khai não bộ (giới hạn).

ziesemer
nguồn
2
Điều này thật tuyệt vời , trên hết, cảm ơn bạn!
nghĩa tự do
Điều này rất quan trọng để hạn chế các cuộc tấn công khuếch đại DNS trên các máy chủ tên đối diện bên ngoài. Tôi chắc chắn có quản trị viên lo lắng về những gì sẽ xảy ra khi thêm máy chủ DNS 2016 vào cấp tên miền chức năng thấp hơn. Như thường lệ, Microsoft có rất ít thông tin về điều này.
Brain2000
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.