นโยบาย DNS ของ Windows 2016 / แบ่ง DNS เป็นไปได้ในโซนรวมของ AD ที่มี DCs รุ่นเก่ากว่าหรือไม่

Windows Server 2016 รองรับนโยบาย DNSซึ่งให้การสนับสนุน DNS แบบแยกส่วนในสถานการณ์อื่น ๆ :

คุณสามารถกำหนดค่านโยบาย DNS เพื่อระบุวิธีที่เซิร์ฟเวอร์ DNS ตอบสนองต่อการสอบถาม DNS การตอบสนอง DNS สามารถขึ้นอยู่กับที่อยู่ IP ของลูกค้า (ที่ตั้ง) เวลาของวันและพารามิเตอร์อื่น ๆ นโยบาย DNS เปิดใช้งาน DNS ที่ทราบตำแหน่งการจัดการปริมาณข้อมูลภาระสมดุล DNS แบบแยกส่วนสมองและสถานการณ์อื่น ๆ

ฉันได้อ่านหน้าภาพรวมนโยบาย DNS แล้วแต่ฉันไม่สามารถหาเอกสารได้ทุกที่เกี่ยวกับวิธีการทำงานของโซนรวม AD เมื่อ DCs ทั้งหมดไม่ใช่เซิร์ฟเวอร์ 2016

ฉันไม่สามารถจินตนาการได้ว่ามันจะทำงานได้ดีเพราะเซิร์ฟเวอร์ระดับล่างไม่รู้วิธีตีความนโยบายและดำเนินการตามนั้น แต่เนื่องจากข้อมูลถูกจำลองในโฆษณาฉันสามารถคาดการณ์สถานการณ์ที่ DCs รุ่นก่อนไม่สนใจคุณลักษณะใหม่และตอบสนอง ในบางวิธี "เริ่มต้น" (ไม่มีนโยบายที่ใช้) ในขณะที่ DC ใหม่จะตอบสนองตามนโยบาย

ฉันคิดว่ามันจะโอเคในบางสถานการณ์ที่คุณสามารถ (หรือทำไปแล้ว) ให้ลูกค้าชี้ไปที่ชุดย่อยของ DC เนื่องจากวิธีนี้สามารถให้วิธีการใช้คุณสมบัติที่ใหม่กว่าโดยไม่ต้องอัพเกรด DC ทั้งหมดในครั้งเดียว

แต่ฉันไม่สามารถหาข้อมูลใด ๆ เกี่ยวกับสิ่งที่ฉันอธิบายได้ว่ามันใช้งานได้จริงหรือไม่หรือคุณไม่สามารถใช้คุณสมบัติใหม่ในสภาพแวดล้อมแบบผสมหรือบางสิ่งบางอย่างในระหว่างนั้น

คำเตือน

ฉันได้ค้นพบเมื่อเร็ว ๆ นี้ว่า-WhatIf, -Verboseและ-ErrorActionพารามิเตอร์จะแตกใน cmdlets นโยบาย DNS; ออกเสียงลงคะแนนที่นี่ที่จะมีการแก้ไข และระวังด้วย!

— briantist
แหล่งที่มา

นี่ทำให้ฉันอยากรู้อยากเห็น - และ +1 สำหรับคำถามที่ลึกซึ้งดังนั้นฉันจึงสร้างห้องปฏิบัติการทดสอบอย่างรวดเร็วเพื่อทดสอบสิ่งนี้:

Win2012-DC: Windows Server 2012 R2 เลื่อนระดับเป็นตัวควบคุมโดเมนสำหรับtest.localฟอเรสต์ / โดเมนใหม่
Win2016-DC: Windows Server 2016 เลื่อนระดับเป็นตัวควบคุมโดเมนที่ 2 สำหรับtest.localโดเมนด้านบน

ทุกอย่างได้รับการปรับปรุงอย่างเต็มที่และเป็นข้อมูลล่าสุดในวันนี้ (2016-10-29) ระดับการทำงานสำหรับทั้งฟอเรสต์และโดเมนคือ 2012 R2 เซิร์ฟเวอร์ทั้งสองถูกกำหนดค่าเป็นเซิร์ฟเวอร์ DNS สำหรับโดเมนทดสอบนี้

โดยสรุปแล้วผลลัพธ์จะเป็นเหมือนที่คุณเห็นในภายหลัง:

DC ที่เก่ากว่าไม่สนใจแอตทริบิวต์ใหม่และตอบกลับด้วยวิธี "เริ่มต้น" (ไม่ใช้นโยบาย) ในขณะที่ DC ใหม่จะตอบสนองตามนโยบาย

ฉันวิ่งผ่านมากที่สุดของสถานการณ์เอกสารภายใต้https://technet.microsoft.com/en-us/windows-server-docs/networking/dns/deploy/dns-policies-overview เพื่อความกะทัดรัดต่อไปนี้เป็นรายละเอียดของสถานการณ์เฉพาะ 2 สถานการณ์:

บล็อกแบบสอบถามสำหรับโดเมน

https://technet.microsoft.com/en-us/windows-server-docs/networking/dns/deploy/dns-policies-overview?#block-queries-for-a-domain

สิ่งนี้ดำเนินการโดยไม่มีปัญหาใน DC 2016 - แต่ DC 2012 ชัดเจนไม่แม้แต่จำคำสั่ง:

Add-DnsServerQueryResolutionPolicy -Name "BlackholePolicy" -Action IGNORE -FQDN "EQ,*.treyresearch.com"

เมื่อออกแบบสอบถาม DNS สำหรับwww.treyresearch.comเทียบกับ 2016 DC จะไม่มีการตอบสนองใด ๆ และการร้องขอหมดเวลา เมื่อมีการออกแบบสอบถามเดียวกันกับ DC 2012 จะไม่มีความรู้เกี่ยวกับนโยบายและให้การตอบสนองที่คาดหวังซึ่งประกอบด้วยเรกคอร์ด A upstream

แอปพลิเคชันโหลดบาลานซ์ด้วยการรับรู้ตำแหน่งทางภูมิศาสตร์

https://technet.microsoft.com/en-us/windows-server-docs/networking/dns/deploy/app-lb-geo
- (ระวังว่าขอบเขตทั้งหมดที่นอกเหนือจากดับลินและอัมสเตอร์ดัมถูกสร้างขึ้นในเพจย่อยก่อนหน้าของhttps://technet.microsoft.com/en-us/windows-server-docs/networking/dns/deploy/dns-policy -scenario-guide - ดังนั้นหากเริ่มต้นด้วยหน้านี้ขอบเขตของโซนที่ขาดหายไปจะต้องถูกสร้างขึ้นหรือAdd-DnsServerQueryResolutionPolicyคำสั่งสุดท้ายถูกเปลี่ยนเพื่อเพิกเฉย)

คำสั่ง PowerShell ที่รวมอยู่ในบทความเพื่อการอ้างอิง:

Add-DnsServerZoneScope -ZoneName "contosogiftservices.com" -Name "DublinZoneScope"
Add-DnsServerZoneScope -ZoneName "contosogiftservices.com" -Name "AmsterdamZoneScope"
Add-DnsServerResourceRecord -ZoneName "contosogiftservices.com" -A -Name "www" -IPv4Address "151.1.0.1" -ZoneScope "DublinZoneScope”
Add-DnsServerResourceRecord -ZoneName "contosogiftservices.com" -A -Name "www" -IPv4Address "141.1.0.1" -ZoneScope "AmsterdamZoneScope"
Add-DnsServerQueryResolutionPolicy -Name "AmericaLBPolicy" -Action ALLOW -ClientSubnet "eq,AmericaSubnet" -ZoneScope "SeattleZoneScope,2;ChicagoZoneScope,1; TexasZoneScope,1" -ZoneName "contosogiftservices.com" –ProcessingOrder 1
Add-DnsServerQueryResolutionPolicy -Name "EuropeLBPolicy" -Action ALLOW -ClientSubnet "eq,EuropeSubnet" -ZoneScope "DublinZoneScope,1;AmsterdamZoneScope,1" -ZoneName "contosogiftservices.com" -ProcessingOrder 2
Add-DnsServerQueryResolutionPolicy -Name "WorldWidePolicy" -Action ALLOW -FQDN "eq,*.contoso.com" -ZoneScope "SeattleZoneScope,1;ChicagoZoneScope,1; TexasZoneScope,1;DublinZoneScope,1;AmsterdamZoneScope,1" -ZoneName "contosogiftservices.com" -ProcessingOrder 3

ผลลัพธ์ที่นี่เกือบจะ "แย่" กว่าด้านบน: ด้วยการwww.contosogiftservices.comลงทะเบียนอย่างมีประสิทธิภาพตามนโยบายเท่านั้น DC 2012 จะไม่รู้อะไรเลยและส่งคืน NXDOMAIN (ไม่มีwwwระเบียนปรากฏในคอนโซลการจัดการ DNS แบบดั้งเดิมบนเซิร์ฟเวอร์ 2012 หรือ 2016) เซิร์ฟเวอร์ 2016 ตอบสนองตามที่กำหนดค่าโดยนโยบายด้านบน

สรุป

ฉันไม่เห็นสิ่งใดที่นี่ซึ่งป้องกันไม่ให้ใช้คุณสมบัติ 2016 ในโดเมนที่มีระดับการทำงานน้อยกว่า ตัวเลือกที่ง่ายและสับสนที่สุดอาจเป็นเพียงการหยุดใช้ DC DC 2012 ที่เหลือเป็นเซิร์ฟเวอร์ DNS หากเป็นไปได้ ความเสี่ยงของความซับซ้อนเพิ่มเติมบางอย่างคุณสามารถกำหนดเป้าหมายเซิร์ฟเวอร์ 2016 ที่รองรับนโยบายสำหรับความต้องการเฉพาะเช่นนโยบายการเรียกซ้ำเพื่อสนับสนุนสถานการณ์การปรับใช้สมองแยก (จำกัด )

— ziesemer
แหล่งที่มา

นี่มันสุดยอดไปเลยขอบคุณมาก!

— ต้มตุ๋น

นี่เป็นสิ่งสำคัญที่จะ จำกัด การโจมตี DNS amplification บนเซิร์ฟเวอร์ชื่อภายนอก ฉันแน่ใจว่ามีผู้ดูแลระบบกังวลเกี่ยวกับสิ่งที่จะเกิดขึ้นเมื่อเพิ่มเซิร์ฟเวอร์ DNS 2016 ลงในระดับโดเมนที่ใช้งานได้ ตามปกติ Microsoft มีข้อมูลน้อยมาก

— Brain2000