Questo ha catturato la mia curiosità - e anche +1 per una domanda perspicace - quindi ho creato un rapido laboratorio per testare questo:
Win2012-DC
: Windows Server 2012 R2, promosso a controller di dominio per una nuova test.local
foresta / dominio.
Win2016-DC
: Windows Server 2016, promosso come secondo controller di dominio per il test.local
dominio precedente .
Tutto è completamente aggiornato e aggiornato ad oggi (29-10-2016). Il livello funzionale sia per la foresta che per il dominio è 2012 R2. Entrambi i server sono stati inoltre configurati come server DNS per questo dominio di prova.
In sintesi, i risultati sembrano essere quelli previsti in seguito:
I controller di dominio più vecchi ignorano i nuovi attributi e rispondono in qualche modo "predefinito" (nessuna politica applicata), mentre i nuovi controller di dominio rispondono in base alla politica.
Ho attraversato la maggior parte degli scenari documentati in https://technet.microsoft.com/en-us/windows-server-docs/networking/dns/deploy/dns-policies-overview . Per brevità, di seguito sono riportati i dettagli di 2 scenari specifici:
Blocca query per un dominio
Questo viene eseguito senza problemi sul controller di dominio 2016, ma ovviamente il controller di dominio 2012 non riconosce nemmeno il comando:
Add-DnsServerQueryResolutionPolicy -Name "BlackholePolicy" -Action IGNORE -FQDN "EQ,*.treyresearch.com"
Quando si invia una query DNS per www.treyresearch.com
il controller di dominio 2016, non viene fornita alcuna risposta e il timeout della richiesta. Quando la stessa query viene emessa sul controller di dominio 2012, non ha conoscenza della politica e fornisce una risposta prevista costituita dal record A upstream.
Bilanciamento del carico dell'applicazione con consapevolezza della posizione geografica
I comandi di PowerShell inclusi nell'articolo come riferimento:
Add-DnsServerZoneScope -ZoneName "contosogiftservices.com" -Name "DublinZoneScope"
Add-DnsServerZoneScope -ZoneName "contosogiftservices.com" -Name "AmsterdamZoneScope"
Add-DnsServerResourceRecord -ZoneName "contosogiftservices.com" -A -Name "www" -IPv4Address "151.1.0.1" -ZoneScope "DublinZoneScope”
Add-DnsServerResourceRecord -ZoneName "contosogiftservices.com" -A -Name "www" -IPv4Address "141.1.0.1" -ZoneScope "AmsterdamZoneScope"
Add-DnsServerQueryResolutionPolicy -Name "AmericaLBPolicy" -Action ALLOW -ClientSubnet "eq,AmericaSubnet" -ZoneScope "SeattleZoneScope,2;ChicagoZoneScope,1; TexasZoneScope,1" -ZoneName "contosogiftservices.com" –ProcessingOrder 1
Add-DnsServerQueryResolutionPolicy -Name "EuropeLBPolicy" -Action ALLOW -ClientSubnet "eq,EuropeSubnet" -ZoneScope "DublinZoneScope,1;AmsterdamZoneScope,1" -ZoneName "contosogiftservices.com" -ProcessingOrder 2
Add-DnsServerQueryResolutionPolicy -Name "WorldWidePolicy" -Action ALLOW -FQDN "eq,*.contoso.com" -ZoneScope "SeattleZoneScope,1;ChicagoZoneScope,1; TexasZoneScope,1;DublinZoneScope,1;AmsterdamZoneScope,1" -ZoneName "contosogiftservices.com" -ProcessingOrder 3
I risultati qui sono quasi "peggiori" di quanto sopra: Con www.contosogiftservices.com
effettivamente registrato solo dalla politica, il DC 2012 non ne sa nulla e restituisce un NXDOMAIN. (Nessun www
record è visibile nella tradizionale console di gestione DNS sul server 2012 o 2016). Il server 2016 risponde come configurato dai criteri precedenti.
Sommario
Non vedo nulla qui che impedisce l'uso delle funzionalità del 2016 in un dominio con un livello funzionale inferiore. L'opzione più semplice e meno confusa sarebbe probabilmente quella di smettere di usare qualsiasi DC rimanente del 2012 come server DNS, se possibile. A rischio di ulteriore complessità, potresti indirizzare i server del 2016 che supportano le politiche per esigenze specifiche, come le politiche di ricorsione per supportare uno scenario di distribuzione (limitato) del cervello diviso.