You can configure DNS policIEs to specify how a DNS server responds to
DNS querIEs. DNS responses can be based on clIEnt IP address
(location),time of the day,and several other parameters. DNS
policIEs enable location-aware DNS,traffic management,load
balancing,split-brain DNS,and other scenarios.
我已经阅读了DNS Policies Overview page,但是当并非所有DC都是Server 2016时,我似乎无法找到关于如何在AD集成区域中工作的文档.
我无法想象它会工作得很好,因为下层服务器不知道如何解释策略并采取相应的行动,但由于信息在AD中被复制,我可以预见旧DC会忽略新属性并做出响应的情况以某种“默认”方式(没有应用政策),而新的DC将根据政策做出响应.
我认为在某些情况下你可以(或已经)让客户端指向DC的子集就行了,因为这可以提供一种使用更新功能而无需一次升级所有DC的方法.
但是,我找不到任何有关我所描述的内容是否实际有效,或者您是否无法在混合环境中使用新功能或两者之间的信息的信息.
警告
I’ve recently discovered that the -WhatIf,-Verbose,and -ErrorAction parameters are broken on the DNS Policy cmdlets; vote here to have that fixed.小心!
> Win2012-DC:windows Server 2012 R2,升级为域控制器,用于新的test.local林/域.
> Win2016-DC:windows Server 2016,升级为上述test.local域的第二个域控制器.
截至今天(2016-10-29),所有内容都经过了全面修补和更新.林和域的功能级别是2012 R2.两台服务器也都配置为此测试域的DNS服务器.
总之,结果似乎与您后来预见的一样:
older DCs ignore the new attributes and respond in some “default” way (no policy applIEd),while the new DCs would respond according to policy.
我浏览了https://technet.microsoft.com/en-us/windows-server-docs/networking/dns/deploy/dns-policies-overview下记录的大多数情景.为简洁起见,以下是2个具体方案的详细信息:
阻止域的查询
> https://technet.microsoft.com/en-us/windows-server-docs/networking/dns/deploy/dns-policies-overview?#block-queries-for-a-domain
这在2016 DC上没有问题 – 但是2012 DC显然甚至不识别命令:
Add-DnsServerqueryResolutionPolicy -name "BlackholePolicy" -Action IGnorE -FQDN "EQ,*.treyresearch.com"
在针对2016 DC发布www.treyresearch.com的DNS查询时,不会给出响应并且请求超时.当针对2012 DC发出相同的查询时,它不知道该策略并提供由上游A记录组成的预期响应.
应用程序负载平衡与地理位置感知
> https://technet.microsoft.com/en-us/windows-server-docs/networking/dns/deploy/app-lb-geo
>(请注意除了都柏林和阿姆斯特丹之外的所有区域范围都是在https://technet.microsoft.com/en-us/windows-server-docs/networking/dns/deploy/dns-policy-scenario-guide的先前子页面中创建的 – 因此,如果从此页面开始,则需要创建缺少的区域范围,或者将最后一个Add-DnsServerqueryResolutionPolicy命令更改为别理他们.)
PowerShell命令包含在文章中以供参考:
Add-DnsServerZonescope -Zonename "contosogiftservices.com" -name "dublinZonescope"Add-DnsServerZonescope -Zonename "contosogiftservices.com" -name "AmsterdamZonescope"Add-DnsServerResourceRecord -Zonename "contosogiftservices.com" -A -name "www" -IPv4Address "151.1.0.1" -Zonescope "dublinZonescope”Add-DnsServerResourceRecord -Zonename "contosogiftservices.com" -A -name "www" -IPv4Address "141.1.0.1" -Zonescope "AmsterdamZonescope"Add-DnsServerqueryResolutionPolicy -name "AmericaLBPolicy" -Action ALLOW -ClIEntsubnet "eq,Americasubnet" -Zonescope "SeattleZonescope,2;ChicagoZonescope,1; TexasZonescope,1" -Zonename "contosogiftservices.com" –ProcessingOrder 1Add-DnsServerqueryResolutionPolicy -name "EuropeLBPolicy" -Action ALLOW -ClIEntsubnet "eq,Europesubnet" -Zonescope "dublinZonescope,1;AmsterdamZonescope,1" -Zonename "contosogiftservices.com" -ProcessingOrder 2Add-DnsServerqueryResolutionPolicy -name "WorlDWIDePolicy" -Action ALLOW -FQDN "eq,*.contoso.com" -Zonescope "SeattleZonescope,1;ChicagoZonescope,1;dublinZonescope,1" -Zonename "contosogiftservices.com" -ProcessingOrder 3
这里的结果几乎比上述情况“差”:只有政策才能有效注册www.contosogiftservices.com,2012 DC对此一无所知并返回NXDOMAIN. (在2012或2016服务器上的传统DNS管理控制台中看不到www记录.)2016服务器按照上述策略的配置进行响应.
摘要
我在这里看不到任何阻止在功能级别较低的域中使用2016功能的内容.如果可能的话,最简单且最不容易混淆的选择可能是停止使用任何剩余的2012 DC作为DNS服务器.如果存在一些额外的复杂性风险,您可以针对特定需求定位支持策略的2016服务器,例如支持(有限的)裂脑部署方案的递归策略.
总结以上是内存溢出为你收集整理的domain-name-system – 在具有旧DC的AD集成区域上是否可以使用Windows 2016 DNS策略/拆分DNS?全部内容,希望文章能够帮你解决domain-name-system – 在具有旧DC的AD集成区域上是否可以使用Windows 2016 DNS策略/拆分DNS?所遇到的程序开发问题。
如果觉得内存溢出网站内容还不错,欢迎将内存溢出网站推荐给程序员好友。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)