那些遇到过的问题

标签: dns-policies

Windows 2016 DNS 策略/拆分 DNS 是否可以用于具有较旧 DC 的 AD 集成区域?

Windows Server 2016 支持 DNS 策略,在其他场景中提供对裂脑 DNS 的支持:

您可以配置 DNS 策略以指定 DNS 服务器如何响应 DNS 查询。DNS 响应可以基于客户端 IP 地址(位置)、一天中的时间和其他几个参数。DNS 策略支持位置感知 DNS、流量管理、负载平衡、裂脑 DNS 和其他场景。

我已经阅读了DNS 策略概述页面,但是当并非所有 DC 都是 Server 2016 时,我似乎无法在任何地方找到有关它如何在 AD 集成区域上工作的文档。

我无法想象它会工作得那么好,因为下层服务器不知道如何解释策略并相应地采取行动,但是由于信息是在 AD 中复制的,我可以预见到旧 DC 忽略新属性并做出响应的情况以某种“默认”方式(不应用政策),而新的 DC 将根据政策做出响应。

我认为在某些情况下你可以(或已经这样做)让客户端指向 DC 的子集,因为这可以提供一种使用较新功能的方法,而无需一次升级所有 DC。

但是,我找不到任何关于我所描述的是它实际如何工作的信息,或者您是否根本无法在混合环境中使用新功能,或者介于两者之间。

警告

我最近发现-WhatIf-Verbose-ErrorAction参数上的DNS策略cmdlet破裂; 在这里投票以解决这个问题。并且要小心!

domain-name-system active-directory split-dns windows-server-2016 dns-policies

bri*_*ist
2017 05-10
10
推荐指数
1
解决办法
2526
查看次数

如果查询解析策略包含客户端子网的 NE 运营商,则 DNS 策略无法正确解析区域范围中的 CNAME

我相当确定我已经发现了一个错误,但我正在尝试理解它并进行完整性检查。

设想

一种策略,如果请求正在查找AND客户端 IP 不在特定子网中的特定CNAME记录,则该策略匹配并生成一条记录,该记录的目标不在策略涵盖范围内且不存在于范围内

例子:

  • 区域 = example.com
  • example.com默认范围内的记录:
    • testme IN A 10.1.2.3
    • testOther IN A 10.11.11.11
  • 区域范围 = TesterScope
  • 录入TesterScope
    • testme IN CNAME testOther.example.com.
  • 客户端子网MySubnet包含10.8.8.0/24

QRP 与EQ客户端子网

  • MyQRP使用以下配置查询解析策略:
    • 条件 = And
    • 内容 = TesterScope
    • 标准:
      • FQDN = EQ,testme.example.com.
      • 客户端子网 = EQ,MySubnet

这将产生预期的结果,即:

  • 如果请求进入testme.example.com从IP内MySubnet应匹配),它会返回正确(和解决)的CNAME记录,即使CNAME必须在默认范围(该QRP特别是当应该只匹配来解决FQDNtestme.example.com不是testOther.example.com)。因此,结果是10.11.11.11,这是正确的。 …

domain-name-system powershell active-directory windows-server-2016 dns-policies

bri*_*ist
2017 07-27
5
推荐指数
1
解决办法
1042
查看次数

我是否可以使用服务器 2016 DNS 策略返回备用 IP,但仅针对域中的某些记录?

我需要提供一种 DNS 裂脑场景,有两个关键目标:

  1. “特殊”DNS 客户端(基于其子网)必须将一个域中的某些 A 记录解析为与其他客户端不同的 IP 地址
  2. 无论哪个客户提出要求,同一域中的所有其他记录都必须同等解析。

换句话说,我想创建一种“DNS 重写”或覆盖,其中对于某些客户端来说几乎没有记录会有所不同。我希望通过 Server 2016 中的 DNS 策略来实现这一目标,该策略将“split Brain/horizo​​n”描述为预期场景之一,例如https://blogs.technet.microsoft.com/networking/2015/05/12/split-brain -dns-deployment-using-windows-dns-server-policies/ - 但看来我无法实现目标2。

在我的测试中,我创建了一个 ZoneScope,其中包含要返回到匹配客户端的备用 IP 地址和基于客户端子网的查询解析策略,从而实现了目标 1)。但是,如果客户端被匹配为来自“特殊”子网,则它只能解析来自特殊 ZoneScope 的记录,但不能解析来自“默认”范围的记录 - 因此目标 2 失败。

我是否错过了一个配置步骤,如果我的特殊区域范围不包含匹配的记录,则可以回退到默认的区域范围?有人告诉我,这可以通过带有响应区域策略的 BIND DNS 轻松完成,但如果可能的话,我想坚持使用 MS。另外,使用主机文件也是不可能的,因为那些“特殊”服务器并不完全在我们的控制之下。

重现步骤

#define subnet of restricted servers
Add-DnsServerClientSubnet -name SpecialServers -IPv4Subnet 192.168.0.0/24    
#define ZoneScope for the special records 
Add-DnsServerZoneScope -ZoneName "test.local" -Name "SpecialZoneScope" 

#Prepare some testing records in the default scope
Add-DnsServerResourceRecord -ZoneName "test.local" -A -Name HostA -IPv4Address 1.1.1.1
Add-DnsServerResourceRecord -ZoneName "test.local" -A …
Run Code Online (Sandbox Code Playgroud)

domain-name-system split-dns windows-server-2016 dns-policies

Ste*_*pCZ
lucky-day
3
推荐指数
1
解决办法
3085
查看次数

标签 统计

dns-policies ×3

domain-name-system ×3

windows-server-2016 ×3

active-directory ×2

split-dns ×2

powershell ×1