I criteri DNS di Windows 2016 / DNS diviso sono possibili su zone integrate AD con controller di dominio precedenti?


10

Windows Server 2016 supporta i criteri DNS , che forniscono supporto per DNS split-brain tra gli altri scenari:

È possibile configurare i criteri DNS per specificare come un server DNS risponde alle query DNS. Le risposte DNS possono essere basate sull'indirizzo IP (posizione) del client, sull'ora del giorno e su molti altri parametri. I criteri DNS consentono DNS in base alla posizione, gestione del traffico, bilanciamento del carico, DNS split-brain e altri scenari.

Ho letto la pagina Panoramica delle politiche DNS ma non riesco a trovare documentazione da nessuna parte su come funziona in una zona integrata AD quando non tutti i controller di dominio sono ancora Server 2016.

Non riesco a immaginare che funzionerebbe così bene poiché i server di livello inferiore non sanno come interpretare le politiche e agire di conseguenza, ma poiché le informazioni sono replicate in AD, posso prevedere una situazione in cui i controller di dominio più vecchi ignorano i nuovi attributi e rispondono in qualche modo "predefinito" (nessuna politica applicata), mentre i nuovi controller di dominio risponderebbero in base alla politica.

Penso che andrebbe bene in determinate situazioni in cui è possibile (o già fare) client che puntano a un sottoinsieme di controller di dominio, in quanto ciò può fornire un modo per utilizzare le funzionalità più recenti senza aggiornare contemporaneamente tutti i controller di dominio.

Ma non riesco a trovare alcuna informazione sul fatto che ciò che ho descritto sia come funziona effettivamente o se non è possibile utilizzare le nuove funzionalità in un ambiente misto o qualcosa nel mezzo.


avvertimento

Recentemente ho scoperto che i -WhatIf, -Verbose, e -ErrorActionparametri sono rotti sui cmdlet Privacy DNS; vota qui per farlo riparare . E stai attento!

Risposte:


4

Questo ha catturato la mia curiosità - e anche +1 per una domanda perspicace - quindi ho creato un rapido laboratorio per testare questo:

  • Win2012-DC: Windows Server 2012 R2, promosso a controller di dominio per una nuova test.localforesta / dominio.
  • Win2016-DC: Windows Server 2016, promosso come secondo controller di dominio per il test.localdominio precedente .

Tutto è completamente aggiornato e aggiornato ad oggi (29-10-2016). Il livello funzionale sia per la foresta che per il dominio è 2012 R2. Entrambi i server sono stati inoltre configurati come server DNS per questo dominio di prova.

In sintesi, i risultati sembrano essere quelli previsti in seguito:

I controller di dominio più vecchi ignorano i nuovi attributi e rispondono in qualche modo "predefinito" (nessuna politica applicata), mentre i nuovi controller di dominio rispondono in base alla politica.

Ho attraversato la maggior parte degli scenari documentati in https://technet.microsoft.com/en-us/windows-server-docs/networking/dns/deploy/dns-policies-overview . Per brevità, di seguito sono riportati i dettagli di 2 scenari specifici:

Blocca query per un dominio

Questo viene eseguito senza problemi sul controller di dominio 2016, ma ovviamente il controller di dominio 2012 non riconosce nemmeno il comando:

Add-DnsServerQueryResolutionPolicy -Name "BlackholePolicy" -Action IGNORE -FQDN "EQ,*.treyresearch.com"

Quando si invia una query DNS per www.treyresearch.comil controller di dominio 2016, non viene fornita alcuna risposta e il timeout della richiesta. Quando la stessa query viene emessa sul controller di dominio 2012, non ha conoscenza della politica e fornisce una risposta prevista costituita dal record A upstream.

Bilanciamento del carico dell'applicazione con consapevolezza della posizione geografica

I comandi di PowerShell inclusi nell'articolo come riferimento:

Add-DnsServerZoneScope -ZoneName "contosogiftservices.com" -Name "DublinZoneScope"
Add-DnsServerZoneScope -ZoneName "contosogiftservices.com" -Name "AmsterdamZoneScope"
Add-DnsServerResourceRecord -ZoneName "contosogiftservices.com" -A -Name "www" -IPv4Address "151.1.0.1" -ZoneScope "DublinZoneScope”
Add-DnsServerResourceRecord -ZoneName "contosogiftservices.com" -A -Name "www" -IPv4Address "141.1.0.1" -ZoneScope "AmsterdamZoneScope"
Add-DnsServerQueryResolutionPolicy -Name "AmericaLBPolicy" -Action ALLOW -ClientSubnet "eq,AmericaSubnet" -ZoneScope "SeattleZoneScope,2;ChicagoZoneScope,1; TexasZoneScope,1" -ZoneName "contosogiftservices.com" –ProcessingOrder 1
Add-DnsServerQueryResolutionPolicy -Name "EuropeLBPolicy" -Action ALLOW -ClientSubnet "eq,EuropeSubnet" -ZoneScope "DublinZoneScope,1;AmsterdamZoneScope,1" -ZoneName "contosogiftservices.com" -ProcessingOrder 2
Add-DnsServerQueryResolutionPolicy -Name "WorldWidePolicy" -Action ALLOW -FQDN "eq,*.contoso.com" -ZoneScope "SeattleZoneScope,1;ChicagoZoneScope,1; TexasZoneScope,1;DublinZoneScope,1;AmsterdamZoneScope,1" -ZoneName "contosogiftservices.com" -ProcessingOrder 3

I risultati qui sono quasi "peggiori" di quanto sopra: Con www.contosogiftservices.comeffettivamente registrato solo dalla politica, il DC 2012 non ne sa nulla e restituisce un NXDOMAIN. (Nessun wwwrecord è visibile nella tradizionale console di gestione DNS sul server 2012 o 2016). Il server 2016 risponde come configurato dai criteri precedenti.

Sommario

Non vedo nulla qui che impedisce l'uso delle funzionalità del 2016 in un dominio con un livello funzionale inferiore. L'opzione più semplice e meno confusa sarebbe probabilmente quella di smettere di usare qualsiasi DC rimanente del 2012 come server DNS, se possibile. A rischio di ulteriore complessità, potresti indirizzare i server del 2016 che supportano le politiche per esigenze specifiche, come le politiche di ricorsione per supportare uno scenario di distribuzione (limitato) del cervello diviso.


2
È fantastico , al di sopra e al di là, grazie!
Briantist,

Ciò è importante per limitare gli attacchi di amplificazione DNS su server dei nomi esterni. Sono sicuro che ci sono amministratori nervosi per ciò che accadrebbe quando si aggiunge un server DNS 2016 a un livello di dominio funzionale inferiore. Come al solito, Microsoft ha pochissime informazioni al riguardo.
Brain2000,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.