Windows 2016 DNSポリシー/スプリットDNSは、古いDCを持つAD統合ゾーンで可能ですか?
Windows Server 2016はDNSポリシーをサポートしています 、他のシナリオの中でも特にスプリットブレインDNSをサポートしています。
DNSポリシーを構成して、DNSサーバーがDNSクエリに応答する方法を指定できます。 DNS応答は、クライアントIPアドレス(場所)、時刻、およびその他のいくつかのパラメーターに基づくことができます。 DNSポリシーにより、ロケーション認識DNS、トラフィック管理、ロードバランシング、スプリットブレインDNS、およびその他のシナリオが可能になります。
DNSポリシーの概要ページ を読みましたが、すべてのDCがまだサーバー2016でない場合に、AD統合ゾーンでこれがどのように機能するかについてのドキュメントを見つけることができません。
下位レベルのサーバーはポリシーを解釈してそれに応じて動作する方法を知らないため、それがうまくいくとは思えませんが、情報がADで複製されるため、古いDCが新しい属性を無視して応答する状況を予測できますいくつかの「デフォルト」の方法で(ポリシーは適用されません)、新しいDCはポリシーに従って応答します。
すべてのDCを一度にアップグレードせずに新しい機能を使用する方法を提供できるため、クライアントがDCのサブセットをポイントできる(または既に実行している)特定の状況では問題ないと思います。
しかし、私が説明したのが実際にどのように機能するか、または混合環境で新しい機能をまったく使用できないか、またはその間の何かについての情報は見つかりません。
警告
最近、-WhatIf、-Verbose、-ErrorAction DNSポリシーコマンドレットでパラメーターが壊れています。修正するにはここに投票してください 。そして注意してください!
これは私の好奇心をひきつけました-そして洞察に満ちた質問に対して+1-なので、これをテストするための簡単なラボを構築しました:
Win2012-DC:Windows Server 2012 R2、新しいtest.localフォレスト/ドメインのドメインコントローラーに昇格。Win2016-DC:Windows Server 2016、上記のtest.localドメインの2番目のドメインコントローラーとして昇格。
今日(2016-10-29)の時点で、すべてが完全にパッチされ、最新の状態です。フォレストとドメインの両方の機能レベルは2012 R2です。両方のサーバーも、このテストドメインのDNSサーバーとして構成されました。
要約すると、結果は後で予見したとおりのようです。
古いDCは新しい属性を無視し、「デフォルト」の方法(ポリシーは適用されません)で応答しますが、新しいDCはポリシーに従って応答します。
https://technet.Microsoft.com/en-us/windows-server-docs/networking/dns/deploy/dns-policies-overview に記載されているほとんどのシナリオを実行しました。簡潔にするために、以下は2つの特定のシナリオの詳細です。
ドメインのクエリをブロックする
これは2016年に問題なく実行されますDC-しかし、2012 DCは明らかにコマンドを認識しません:
Add-DnsServerQueryResolutionPolicy -Name "BlackholePolicy" -Action IGNORE -FQDN "EQ,*.treyresearch.com"
2016 DCに対してwww.treyresearch.comのDNSクエリを発行すると、応答がなく、要求がタイムアウトします。同じクエリが2012 DCに対して発行されると、ポリシーに関する知識がなく、上流のAレコードで構成される予期される応答が提供されます。
地理的位置を認識するアプリケーション負荷分散
- https://technet.Microsoft.com/en-us/windows-server-docs/networking/dns/deploy/app-lb-geo
- (ダブリンとアムステルダム以外のすべてのゾーンスコープは https://technet.Microsoft.com/en-us/windows-server-docs/networking/dns/deployの前のサブページで作成されたことに注意してください/ dns-policy-scenario-guide -このページから始める場合、欠落しているゾーンスコープを作成するか、最後の
Add-DnsServerQueryResolutionPolicyコマンドを変更してそれらを無視する必要があります。)
- (ダブリンとアムステルダム以外のすべてのゾーンスコープは https://technet.Microsoft.com/en-us/windows-server-docs/networking/dns/deployの前のサブページで作成されたことに注意してください/ dns-policy-scenario-guide -このページから始める場合、欠落しているゾーンスコープを作成するか、最後の
参照用の記事に含まれているPowerShellコマンド:
Add-DnsServerZoneScope -ZoneName "contosogiftservices.com" -Name "DublinZoneScope"
Add-DnsServerZoneScope -ZoneName "contosogiftservices.com" -Name "AmsterdamZoneScope"
Add-DnsServerResourceRecord -ZoneName "contosogiftservices.com" -A -Name "www" -IPv4Address "151.1.0.1" -ZoneScope "DublinZoneScope”
Add-DnsServerResourceRecord -ZoneName "contosogiftservices.com" -A -Name "www" -IPv4Address "141.1.0.1" -ZoneScope "AmsterdamZoneScope"
Add-DnsServerQueryResolutionPolicy -Name "AmericaLBPolicy" -Action ALLOW -ClientSubnet "eq,AmericaSubnet" -ZoneScope "SeattleZoneScope,2;ChicagoZoneScope,1; TexasZoneScope,1" -ZoneName "contosogiftservices.com" –ProcessingOrder 1
Add-DnsServerQueryResolutionPolicy -Name "EuropeLBPolicy" -Action ALLOW -ClientSubnet "eq,EuropeSubnet" -ZoneScope "DublinZoneScope,1;AmsterdamZoneScope,1" -ZoneName "contosogiftservices.com" -ProcessingOrder 2
Add-DnsServerQueryResolutionPolicy -Name "WorldWidePolicy" -Action ALLOW -FQDN "eq,*.contoso.com" -ZoneScope "SeattleZoneScope,1;ChicagoZoneScope,1; TexasZoneScope,1;DublinZoneScope,1;AmsterdamZoneScope,1" -ZoneName "contosogiftservices.com" -ProcessingOrder 3
ここでの結果は上記よりもほとんど「悪い」です:www.contosogiftservices.comはポリシーによってのみ効果的に登録されているため、2012 DCはそれについて何も知らず、NXDOMAINを返します。(wwwレコードはありません2012または2016サーバーの従来のDNS管理コンソールに表示されます。)2016サーバーは、上記のポリシーで構成されたとおりに応答します。
概要
機能レベルの低いドメインで2016機能の使用を妨げるものはここにはありません。最も単純で混乱の少ないオプションは、可能であれば、残りの2012 DCのDNSサーバーとしての使用を停止することです。さらに複雑になる可能性があるため、(制限された)スプリットブレイン展開シナリオをサポートする再帰ポリシーなど、ポリシーをサポートする2016サーバーを特定のニーズに向けることができます。