Apakah Kebijakan DNS Windows 2016 / Split DNS dimungkinkan pada zona terintegrasi AD dengan DC yang lebih lama?


10

Windows Server 2016 mendukung Kebijakan DNS , yang menyediakan dukungan untuk DNS otak-terpisah di antara skenario lain:

Anda dapat mengkonfigurasi kebijakan DNS untuk menentukan bagaimana server DNS merespons permintaan DNS. Respons DNS dapat didasarkan pada alamat IP klien (lokasi), waktu hari itu, dan beberapa parameter lainnya. Kebijakan DNS memungkinkan DNS sadar lokasi, manajemen lalu lintas, penyeimbangan beban, DNS otak-terpisah, dan skenario lainnya.

Saya telah membaca halaman Ikhtisar Kebijakan DNS tetapi sepertinya saya tidak dapat menemukan dokumentasi di mana pun tentang cara kerjanya di zona terintegrasi AD ketika belum semua DC menjadi Server 2016.

Saya tidak bisa membayangkan itu akan bekerja dengan baik karena server downlevel tidak tahu bagaimana menafsirkan kebijakan dan bertindak sesuai, tetapi karena informasi direplikasi dalam AD, saya dapat melihat situasi di mana DC yang lebih tua mengabaikan atribut baru dan merespons dalam beberapa cara "default" (tidak ada kebijakan yang diterapkan), sedangkan DC baru akan merespons sesuai dengan kebijakan.

Saya pikir itu akan baik-baik saja dalam situasi tertentu di mana Anda dapat (atau sudah melakukannya) memiliki klien menunjuk pada himpunan bagian dari DC, karena ini dapat memberikan cara untuk menggunakan fitur-fitur yang lebih baru tanpa memutakhirkan semua DC sekaligus.

Tetapi, saya tidak dapat menemukan informasi tentang apakah yang saya jelaskan itu benar-benar berfungsi, atau apakah Anda tidak dapat menggunakan fitur-fitur baru sama sekali dalam lingkungan campuran, atau sesuatu di antaranya.


Peringatan

Saya baru saja menemukan bahwa -WhatIf, -Verbose, dan -ErrorActionparameter yang rusak pada cmdlet Kebijakan DNS; pilih di sini untuk memperbaikinya . Dan berhati-hatilah!

Jawaban:


4

Ini menarik keingintahuan saya - dan juga +1 untuk pertanyaan mendalam - jadi saya membangun laboratorium cepat untuk menguji ini:

  • Win2012-DC: Windows Server 2012 R2, dipromosikan ke pengontrol domain untuk test.localhutan / domain baru.
  • Win2016-DC: Windows Server 2016, dipromosikan sebagai pengontrol domain ke-2 untuk domain di atas test.local.

Semuanya sepenuhnya ditambal dan mutakhir pada hari ini (2016-10-29). Level fungsional untuk hutan dan domain adalah 2012 R2. Kedua server juga dikonfigurasi sebagai server DNS untuk domain uji ini.

Singkatnya, hasilnya tampak seperti yang Anda lihat nanti:

DC yang lebih lama mengabaikan atribut baru dan merespons dengan cara "default" (tidak ada kebijakan yang diterapkan), sedangkan DC yang baru akan merespons sesuai dengan kebijakan.

Saya menjalankan sebagian besar skenario yang didokumentasikan di bawah https://technet.microsoft.com/en-us/windows-server-docs/networking/dns/deploy/dns-policies-overview . Untuk singkatnya, berikut adalah detail dari 2 skenario tertentu:

Cekal Kueri untuk Domain

Ini dijalankan tanpa masalah pada DC 2016 - tetapi DC 2012 jelas tidak mengenali perintah:

Add-DnsServerQueryResolutionPolicy -Name "BlackholePolicy" -Action IGNORE -FQDN "EQ,*.treyresearch.com"

Saat mengeluarkan permintaan DNS untuk www.treyresearch.comterhadap DC 2016, tidak ada respons yang diberikan dan batas waktu permintaan. Ketika kueri yang sama dikeluarkan terhadap DC 2012, ia tidak memiliki pengetahuan tentang kebijakan dan memberikan respons yang diharapkan yang terdiri dari catatan hulu A.

Penyeimbangan Beban Aplikasi Dengan Kesadaran Geo-Lokasi

Perintah PowerShell seperti yang disertakan pada artikel untuk referensi:

Add-DnsServerZoneScope -ZoneName "contosogiftservices.com" -Name "DublinZoneScope"
Add-DnsServerZoneScope -ZoneName "contosogiftservices.com" -Name "AmsterdamZoneScope"
Add-DnsServerResourceRecord -ZoneName "contosogiftservices.com" -A -Name "www" -IPv4Address "151.1.0.1" -ZoneScope "DublinZoneScope”
Add-DnsServerResourceRecord -ZoneName "contosogiftservices.com" -A -Name "www" -IPv4Address "141.1.0.1" -ZoneScope "AmsterdamZoneScope"
Add-DnsServerQueryResolutionPolicy -Name "AmericaLBPolicy" -Action ALLOW -ClientSubnet "eq,AmericaSubnet" -ZoneScope "SeattleZoneScope,2;ChicagoZoneScope,1; TexasZoneScope,1" -ZoneName "contosogiftservices.com" –ProcessingOrder 1
Add-DnsServerQueryResolutionPolicy -Name "EuropeLBPolicy" -Action ALLOW -ClientSubnet "eq,EuropeSubnet" -ZoneScope "DublinZoneScope,1;AmsterdamZoneScope,1" -ZoneName "contosogiftservices.com" -ProcessingOrder 2
Add-DnsServerQueryResolutionPolicy -Name "WorldWidePolicy" -Action ALLOW -FQDN "eq,*.contoso.com" -ZoneScope "SeattleZoneScope,1;ChicagoZoneScope,1; TexasZoneScope,1;DublinZoneScope,1;AmsterdamZoneScope,1" -ZoneName "contosogiftservices.com" -ProcessingOrder 3

Hasilnya di sini hampir "lebih buruk" daripada yang di atas: Dengan hanya www.contosogiftservices.comterdaftar secara efektif berdasarkan kebijakan, DC 2012 tidak mengetahui apa-apa tentang hal itu dan mengembalikan NXDOMAIN. (Tidak ada wwwcatatan yang terlihat di konsol manajemen DNS tradisional di server 2012 atau 2016.) Server 2016 merespons sebagaimana dikonfigurasikan oleh kebijakan di atas.

Ringkasan

Saya tidak melihat apa pun di sini yang mencegah penggunaan fitur 2016 dalam domain dengan tingkat fungsional yang lebih rendah. Opsi paling sederhana dan paling membingungkan mungkin hanya berhenti menggunakan DC 2012 yang tersisa sebagai server DNS, jika memungkinkan. Dengan risiko beberapa kompleksitas tambahan, Anda dapat menargetkan server 2016 yang mendukung kebijakan untuk kebutuhan spesifik, seperti kebijakan rekursi untuk mendukung skenario penyebaran split-brain (terbatas).


2
Ini luar biasa , di atas dan di luar, terima kasih!
briantist

Ini penting untuk membatasi serangan amplifikasi DNS pada server nama eksternal. Saya yakin ada admin gugup tentang apa yang akan terjadi ketika menambahkan server DNS 2016 ke tingkat domain fungsional yang lebih rendah. Seperti biasa, Microsoft hanya memiliki sedikit informasi mengenai hal ini.
Brain2000
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.