Sind Windows 2016-DNS-Richtlinien / Split-DNS in AD-integrierten Zonen mit älteren Domänencontrollern möglich?

Windows Server 2016 unterstützt DNS-Richtlinien , die unter anderem Split-Brain-DNS unterstützen:

Sie können DNS-Richtlinien konfigurieren, um anzugeben, wie ein DNS-Server auf DNS-Abfragen reagiert. DNS-Antworten können auf der Client-IP-Adresse (Standort), der Tageszeit und mehreren anderen Parametern basieren. DNS-Richtlinien ermöglichen standortbezogenes DNS, Verkehrsmanagement, Lastausgleich, Split-Brain-DNS und andere Szenarien.

Ich habe die Seite "Übersicht über DNS-Richtlinien" gelesen , kann aber anscheinend nirgendwo Dokumentation darüber finden, wie dies in einer AD-integrierten Zone funktioniert, wenn noch nicht alle Domänencontroller Server 2016 sind.

Ich kann mir nicht vorstellen, dass es so gut funktionieren würde, da die Downlevel-Server nicht wissen, wie sie Richtlinien interpretieren und entsprechend handeln sollen. Da die Informationen jedoch in AD repliziert werden, kann ich eine Situation vorhersehen, in der ältere Domänencontroller die neuen Attribute ignorieren und reagieren auf eine "Standard" Weise (keine Richtlinie angewendet), während die neuen Domänencontroller gemäß der Richtlinie reagieren würden.

Ich denke, das wäre in bestimmten Situationen in Ordnung, in denen Clients auf eine Teilmenge von Domänencontrollern zeigen können (oder dies bereits tun), da dies eine Möglichkeit bietet, die neueren Funktionen zu verwenden, ohne alle Domänencontroller gleichzeitig zu aktualisieren.

Ich kann jedoch keine Informationen darüber finden, ob das, was ich beschrieben habe, tatsächlich so funktioniert oder ob Sie die neuen Funktionen in einer gemischten Umgebung oder etwas dazwischen überhaupt nicht verwenden können.

Warnung

Ich habe vor kurzem entdeckt , dass die -WhatIf, -Verboseund -ErrorActionParameter auf der DNS - Politik Cmdlets gebrochen werden; stimme hier ab, um das zu beheben . Und sei vorsichtig!

— Briantist
quelle

Dies hat meine Neugier geweckt - und auch +1 für eine aufschlussreiche Frage - und so habe ich ein schnelles Labor aufgebaut, um dies zu testen:

Win2012-DC: Windows Server 2012 R2, zum Domänencontroller für eine neue test.localGesamtstruktur / Domäne befördert.
Win2016-DC: Windows Server 2016, als 2. Domänencontroller für die oben genannte test.localDomäne befördert.

Ab heute (29.10.2016) ist alles vollständig gepatcht und auf dem neuesten Stand. Die Funktionsebene für die Gesamtstruktur und die Domäne ist 2012 R2. Beide Server wurden auch als DNS-Server für diese Testdomäne konfiguriert.

Zusammenfassend scheinen die Ergebnisse so zu sein, wie Sie es später vorausgesehen haben:

Ältere Domänencontroller ignorieren die neuen Attribute und reagieren auf eine "Standard" -Methode (keine Richtlinie angewendet), während die neuen Domänencontroller gemäß der Richtlinie reagieren würden.

Ich habe die meisten unter https://technet.microsoft.com/en-us/windows-server-docs/networking/dns/deploy/dns-policies-overview dokumentierten Szenarien durchlaufen . Der Kürze halber folgen die Details von 2 spezifischen Szenarien:

Blockabfragen für eine Domain

https://technet.microsoft.com/en-us/windows-server-docs/networking/dns/deploy/dns-policies-overview?#block-queries-for-a-domain

Dies wird auf dem DC 2016 ohne Probleme ausgeführt - aber der DC 2012 erkennt den Befehl offensichtlich nicht einmal:

Add-DnsServerQueryResolutionPolicy -Name "BlackholePolicy" -Action IGNORE -FQDN "EQ,*.treyresearch.com"

Bei der Ausgabe einer DNS-Abfrage für www.treyresearch.comden DC 2016 wird keine Antwort gegeben, und die Anforderung läuft ab. Wenn dieselbe Abfrage für den DC 2012 ausgegeben wird, hat er keine Kenntnis von der Richtlinie und liefert eine erwartete Antwort, die aus dem Upstream-A-Datensatz besteht.

Lastausgleich der Anwendung mit Geo-Location Awareness

https://technet.microsoft.com/en-us/windows-server-docs/networking/dns/deploy/app-lb-geo
- (Beachten Sie, dass alle Zonenbereiche außer Dublin und Amsterdam auf früheren Unterseiten von https://technet.microsoft.com/en-us/windows-server-docs/networking/dns/deploy/dns-policy erstellt wurden -scenario-guide - Wenn Sie also mit dieser Seite beginnen, müssen die fehlenden Zonenbereiche erstellt oder der letzte Add-DnsServerQueryResolutionPolicyBefehl geändert werden, um sie zu ignorieren.)

Die im Artikel enthaltenen PowerShell-Befehle dienen als Referenz:

Add-DnsServerZoneScope -ZoneName "contosogiftservices.com" -Name "DublinZoneScope"
Add-DnsServerZoneScope -ZoneName "contosogiftservices.com" -Name "AmsterdamZoneScope"
Add-DnsServerResourceRecord -ZoneName "contosogiftservices.com" -A -Name "www" -IPv4Address "151.1.0.1" -ZoneScope "DublinZoneScope”
Add-DnsServerResourceRecord -ZoneName "contosogiftservices.com" -A -Name "www" -IPv4Address "141.1.0.1" -ZoneScope "AmsterdamZoneScope"
Add-DnsServerQueryResolutionPolicy -Name "AmericaLBPolicy" -Action ALLOW -ClientSubnet "eq,AmericaSubnet" -ZoneScope "SeattleZoneScope,2;ChicagoZoneScope,1; TexasZoneScope,1" -ZoneName "contosogiftservices.com" –ProcessingOrder 1
Add-DnsServerQueryResolutionPolicy -Name "EuropeLBPolicy" -Action ALLOW -ClientSubnet "eq,EuropeSubnet" -ZoneScope "DublinZoneScope,1;AmsterdamZoneScope,1" -ZoneName "contosogiftservices.com" -ProcessingOrder 2
Add-DnsServerQueryResolutionPolicy -Name "WorldWidePolicy" -Action ALLOW -FQDN "eq,*.contoso.com" -ZoneScope "SeattleZoneScope,1;ChicagoZoneScope,1; TexasZoneScope,1;DublinZoneScope,1;AmsterdamZoneScope,1" -ZoneName "contosogiftservices.com" -ProcessingOrder 3

Die Ergebnisse hier sind fast "schlechter" als die oben genannten: Da www.contosogiftservices.comder DC 2012 nur durch Richtlinien registriert ist, weiß er nichts darüber und gibt eine NXDOMAIN zurück. (In wwwder herkömmlichen DNS-Verwaltungskonsole auf dem Server 2012 oder 2016 ist kein Eintrag sichtbar.) Der Server 2016 reagiert wie in den oben genannten Richtlinien konfiguriert.

Zusammenfassung

Ich sehe hier nichts, was die Verwendung der 2016-Funktionen in einer Domain mit einem geringeren Funktionsniveau verhindert. Die einfachste und am wenigsten verwirrende Option wäre wahrscheinlich, wenn möglich, die Verwendung der verbleibenden 2012-DCs als DNS-Server einzustellen. Mit dem Risiko einer zusätzlichen Komplexität könnten Sie die richtlinienunterstützenden 2016-Server auf bestimmte Anforderungen ausrichten, z. B. Rekursionsrichtlinien, um ein (begrenztes) Split-Brain-Bereitstellungsszenario zu unterstützen.

— ziesemer
quelle

Das ist fantastisch , darüber hinaus, danke!

— Briantist

Dies ist wichtig, um DNS-Verstärkungsangriffe auf externe Nameserver zu begrenzen. Ich bin sicher, es gibt Administratoren, die nervös sind, was passieren würde, wenn ein DNS-Server 2016 zu einer niedrigeren funktionalen Domänenebene hinzugefügt wird. Microsoft hat wie üblich nur sehr wenige Informationen dazu.

— Brain2000