Điều này thu hút sự tò mò của tôi - và cũng là +1 cho một câu hỏi sâu sắc - vì vậy tôi đã xây dựng một phòng thí nghiệm nhanh để kiểm tra điều này:
Win2012-DC
: Windows Server 2012 R2, được thăng cấp lên bộ điều khiển miền cho một test.local
rừng / miền mới.
Win2016-DC
: Windows Server 2016, được quảng cáo là bộ điều khiển miền thứ 2 cho test.local
tên miền trên .
Mọi thứ đã được vá đầy đủ và cập nhật cho đến ngày hôm nay (2016-10-29). Cấp độ chức năng cho cả rừng và miền là 2012 R2. Cả hai máy chủ cũng được cấu hình là máy chủ DNS cho miền thử nghiệm này.
Tóm lại, kết quả có vẻ như bạn thấy trước:
Các DC cũ hơn bỏ qua các thuộc tính mới và trả lời theo một số cách "mặc định" (không áp dụng chính sách), trong khi các DC mới sẽ phản hồi theo chính sách.
Tôi đã xem qua hầu hết các kịch bản được ghi lại trong https://technet.microsoft.com/en-us/windows-server-docs/networking/dns/deploy/dns-polaho-overview . Để cho ngắn gọn, sau đây là chi tiết của 2 tình huống cụ thể:
Chặn truy vấn cho một tên miền
Điều này thực thi mà không có vấn đề trên DC 2016 - nhưng DC 2012 rõ ràng thậm chí không nhận ra lệnh:
Add-DnsServerQueryResolutionPolicy -Name "BlackholePolicy" -Action IGNORE -FQDN "EQ,*.treyresearch.com"
Khi đưa ra một truy vấn DNS cho www.treyresearch.com
DC 2016, không có phản hồi nào được đưa ra và hết thời gian yêu cầu. Khi cùng một truy vấn được đưa ra so với DC 2012, nó không có kiến thức về chính sách và cung cấp một phản hồi dự kiến bao gồm bản ghi A ngược dòng.
Cân bằng tải ứng dụng với nhận thức vị trí địa lý
Các lệnh PowerShell như được bao gồm trong bài viết để tham khảo:
Add-DnsServerZoneScope -ZoneName "contosogiftservices.com" -Name "DublinZoneScope"
Add-DnsServerZoneScope -ZoneName "contosogiftservices.com" -Name "AmsterdamZoneScope"
Add-DnsServerResourceRecord -ZoneName "contosogiftservices.com" -A -Name "www" -IPv4Address "151.1.0.1" -ZoneScope "DublinZoneScope”
Add-DnsServerResourceRecord -ZoneName "contosogiftservices.com" -A -Name "www" -IPv4Address "141.1.0.1" -ZoneScope "AmsterdamZoneScope"
Add-DnsServerQueryResolutionPolicy -Name "AmericaLBPolicy" -Action ALLOW -ClientSubnet "eq,AmericaSubnet" -ZoneScope "SeattleZoneScope,2;ChicagoZoneScope,1; TexasZoneScope,1" -ZoneName "contosogiftservices.com" –ProcessingOrder 1
Add-DnsServerQueryResolutionPolicy -Name "EuropeLBPolicy" -Action ALLOW -ClientSubnet "eq,EuropeSubnet" -ZoneScope "DublinZoneScope,1;AmsterdamZoneScope,1" -ZoneName "contosogiftservices.com" -ProcessingOrder 2
Add-DnsServerQueryResolutionPolicy -Name "WorldWidePolicy" -Action ALLOW -FQDN "eq,*.contoso.com" -ZoneScope "SeattleZoneScope,1;ChicagoZoneScope,1; TexasZoneScope,1;DublinZoneScope,1;AmsterdamZoneScope,1" -ZoneName "contosogiftservices.com" -ProcessingOrder 3
Các kết quả ở đây gần như "tệ hơn" so với ở trên: Chỉ được www.contosogiftservices.com
đăng ký hiệu quả bởi chính sách, DC 2012 không biết gì về nó và trả về một NXDOMAIN. (Không có www
bản ghi nào hiển thị trong bảng điều khiển quản lý DNS truyền thống trên máy chủ 2012 hoặc 2016.) Máy chủ 2016 phản hồi theo cấu hình của các chính sách trên.
Tóm lược
Tôi không thấy bất cứ điều gì ở đây ngăn chặn việc sử dụng các tính năng năm 2016 trong một miền với mức độ chức năng thấp hơn. Tùy chọn đơn giản và ít gây nhầm lẫn nhất có lẽ là chỉ dừng sử dụng bất kỳ DC 2012 nào còn lại làm máy chủ DNS, nếu có thể. Có nguy cơ phức tạp hơn, bạn có thể nhắm mục tiêu các máy chủ hỗ trợ chính sách năm 2016 cho các nhu cầu cụ thể, chẳng hạn như chính sách đệ quy để hỗ trợ cho kịch bản triển khai não bộ (giới hạn).