Windows 2016 DNS 策略/拆分 DNS 是否可以用于具有较旧 DC 的 AD 集成区域？

Question

Windows Server 2016 支持 DNS 策略，在其他场景中提供对裂脑 DNS 的支持：

您可以配置 DNS 策略以指定 DNS 服务器如何响应 DNS 查询。DNS 响应可以基于客户端 IP 地址（位置）、一天中的时间和其他几个参数。DNS 策略支持位置感知 DNS、流量管理、负载平衡、裂脑 DNS 和其他场景。

我已经阅读了DNS 策略概述页面，但是当并非所有 DC 都是 Server 2016 时，我似乎无法在任何地方找到有关它如何在 AD 集成区域上工作的文档。

我无法想象它会工作得那么好，因为下层服务器不知道如何解释策略并相应地采取行动，但是由于信息是在 AD 中复制的，我可以预见到旧 DC 忽略新属性并做出响应的情况以某种“默认”方式（不应用政策），而新的 DC 将根据政策做出响应。

我认为在某些情况下你可以（或已经这样做）让客户端指向 DC 的子集，因为这可以提供一种使用较新功能的方法，而无需一次升级所有 DC。

但是，我找不到任何关于我所描述的是它实际如何工作的信息，或者您是否根本无法在混合环境中使用新功能，或者介于两者之间。

---

警告

我最近发现-WhatIf，-Verbose和-ErrorAction参数上的DNS策略cmdlet破裂; 在这里投票以解决这个问题。并且要小心！

Answer 1

这引起了我的好奇心——对于一个有洞察力的问题也+1——所以我建立了一个快速实验室来测试这个：

\n\n

\n
• Win2012-DC：Windows Server 2012 R2，升级为新test.local林/域的域控制器。
\n
• Win2016-DC：Windows Server 2016，升级为上述域的第二个域控制器test.local。
\n

\n\n

截至今天（2016-10-29），所有内容均已打完补丁并保持最新状态。林和域的功能级别都是 2012 R2。两台服务器也都配置为该测试域的 DNS 服务器。

\n\n

总之，结果似乎正如您后来所预见的那样：

\n\n

\n

较旧的 DC 忽略新属性并以某种“默认”方式响应（不应用策略），而新 DC 将根据策略响应。

\n

\n\n

我浏览了https://technet.microsoft.com/en-us/windows-server-docs/networking/dns/deploy/dns-policies-overview下记录的大部分场景。为简洁起见，以下是 2 个具体场景的详细信息：

\n\n

阻止域查询

\n\n

\n
• https://technet.microsoft.com/en-us/windows-server-docs/networking/dns/deploy/dns-policies-overview?#block-queries-for-a-domain
\n

\n\n

这在 2016 DC 上执行没有问题 - 但 2012 DC 显然甚至无法识别该命令：

\n\n

Add-DnsServerQueryResolutionPolicy -Name "BlackholePolicy" -Action IGNORE -FQDN "EQ,*.treyresearch.com"\n

\n\n

针对 2016 DC发出 DNS 查询时www.treyresearch.com，没有给出响应并且请求超时。当针对 2012 DC 发出相同的查询时，它不了解该策略，并提供由上游 A 记录组成的预期响应。

\n\n

具有地理位置感知的应用程序负载平衡

\n\n

\n
• https://technet.microsoft.com/en-us/windows-server-docs/networking/dns/deploy/app-lb-geo \n\n
  \n
  • （请注意，除了都柏林和阿姆斯特丹之外的所有区域范围都是在https://technet.microsoft.com/en-us/windows-server-docs/networking/dns/deploy/dns-policy的先前子页面中创建的-scenario-guide - 因此，如果从此页面开始，则需要创建缺少的区域范围，或者Add-DnsServerQueryResolutionPolicy更改最后一个命令以忽略它们。）
  \n
\n

\n\n

本文中包含的 PowerShell 命令供参考：

\n\n

Add-DnsServerZoneScope -ZoneName "contosogiftservices.com" -Name "DublinZoneScope"\nAdd-DnsServerZoneScope -ZoneName "contosogiftservices.com" -Name "AmsterdamZoneScope"\nAdd-DnsServerResourceRecord -ZoneName "contosogiftservices.com" -A -Name "www" -IPv4Address "151.1.0.1" -ZoneScope "DublinZoneScope\xe2\x80\x9d\nAdd-DnsServerResourceRecord -ZoneName "contosogiftservices.com" -A -Name "www" -IPv4Address "141.1.0.1" -ZoneScope "AmsterdamZoneScope"\nAdd-DnsServerQueryResolutionPolicy -Name "AmericaLBPolicy" -Action ALLOW -ClientSubnet "eq,AmericaSubnet" -ZoneScope "SeattleZoneScope,2;ChicagoZoneScope,1; TexasZoneScope,1" -ZoneName "contosogiftservices.com" \xe2\x80\x93ProcessingOrder 1\nAdd-DnsServerQueryResolutionPolicy -Name "EuropeLBPolicy" -Action ALLOW -ClientSubnet "eq,EuropeSubnet" -ZoneScope "DublinZoneScope,1;AmsterdamZoneScope,1" -ZoneName "contosogiftservices.com" -ProcessingOrder 2\nAdd-DnsServerQueryResolutionPolicy -Name "WorldWidePolicy" -Action ALLOW -FQDN "eq,*.contoso.com" -ZoneScope "SeattleZoneScope,1;ChicagoZoneScope,1; TexasZoneScope,1;DublinZoneScope,1;AmsterdamZoneScope,1" -ZoneName "contosogiftservices.com" -ProcessingOrder 3\n

\n\n

这里的结果几乎比上面的“更糟糕”：www.contosogiftservices.com仅通过策略有效注册，2012 DC对此一无所知并返回 NXDOMAIN。（www在 2012 或 2016 服务器上的传统 DNS 管理控制台中看不到任何记录。）2016 服务器按照上述策略配置进行响应。

\n\n

概括

\n\n

我在这里没有看到任何阻止在功能级别较低的域中使用 2016 功能的内容。如果可能的话，最简单且最不易混淆的选择可能是停止使用任何剩余的 2012 DC 作为 DNS 服务器。冒着一些额外复杂性的风险，您可以将支持策略的 2016 服务器作为特定需求的目标，例如支持（有限的）裂脑部署场景的递归策略。

\n