이것은 내 호기심을 불러 일으켰고 통찰력있는 질문에 +1했습니다. 그래서 나는 이것을 테스트하기 위해 빠른 실험실을 만들었습니다.
Win2012-DC
: Windows Server 2012 R2, 새 test.local
포리스트 / 도메인 용 도메인 컨트롤러로 승격되었습니다 .
Win2016-DC
: Windows Server 2016, 위 도메인의 두 번째 도메인 컨트롤러로 승격되었습니다 test.local
.
오늘 (2016-10-29) 기준으로 모든 것이 완전히 패치되고 최신 상태입니다. 포리스트와 도메인의 기능 수준은 2012 R2입니다. 두 서버 모두이 테스트 도메인의 DNS 서버로 구성되었습니다.
요약하면 결과는 나중에 예측 한 것처럼 보입니다.
오래된 DC는 새로운 속성을 무시하고 "기본"방식으로 (정책이 적용되지 않음) 응답하지만 새 DC는 정책에 따라 응답합니다.
https://technet.microsoft.com/en-us/windows-server-docs/networking/dns/deploy/dns-policies-overview에 설명 된 대부분의 시나리오를 살펴 보았습니다 . 간결하게하기 위해 다음은 두 가지 특정 시나리오에 대한 세부 정보입니다.
도메인에 대한 쿼리 차단
이것은 2016 DC에서 문제없이 실행되지만 2012 DC는 분명히 명령을 인식하지 못합니다.
Add-DnsServerQueryResolutionPolicy -Name "BlackholePolicy" -Action IGNORE -FQDN "EQ,*.treyresearch.com"
www.treyresearch.com
2016 DC 에 대한 DNS 쿼리를 실행할 때 응답이없고 요청 시간이 초과되었습니다. 동일한 쿼리가 2012 DC에 대해 발행되면 정책에 대한 지식이 없으며 업스트림 A 레코드로 구성된 예상 응답을 제공합니다.
지리적 위치 인식을 통한 응용 프로그램 부하 분산
참조를 위해 기사에 포함 된 PowerShell 명령 :
Add-DnsServerZoneScope -ZoneName "contosogiftservices.com" -Name "DublinZoneScope"
Add-DnsServerZoneScope -ZoneName "contosogiftservices.com" -Name "AmsterdamZoneScope"
Add-DnsServerResourceRecord -ZoneName "contosogiftservices.com" -A -Name "www" -IPv4Address "151.1.0.1" -ZoneScope "DublinZoneScope”
Add-DnsServerResourceRecord -ZoneName "contosogiftservices.com" -A -Name "www" -IPv4Address "141.1.0.1" -ZoneScope "AmsterdamZoneScope"
Add-DnsServerQueryResolutionPolicy -Name "AmericaLBPolicy" -Action ALLOW -ClientSubnet "eq,AmericaSubnet" -ZoneScope "SeattleZoneScope,2;ChicagoZoneScope,1; TexasZoneScope,1" -ZoneName "contosogiftservices.com" –ProcessingOrder 1
Add-DnsServerQueryResolutionPolicy -Name "EuropeLBPolicy" -Action ALLOW -ClientSubnet "eq,EuropeSubnet" -ZoneScope "DublinZoneScope,1;AmsterdamZoneScope,1" -ZoneName "contosogiftservices.com" -ProcessingOrder 2
Add-DnsServerQueryResolutionPolicy -Name "WorldWidePolicy" -Action ALLOW -FQDN "eq,*.contoso.com" -ZoneScope "SeattleZoneScope,1;ChicagoZoneScope,1; TexasZoneScope,1;DublinZoneScope,1;AmsterdamZoneScope,1" -ZoneName "contosogiftservices.com" -ProcessingOrder 3
여기 결과는 위의 것보다 거의 "나쁜"입니다 함께 www.contosogiftservices.com
효과적으로 정책에 의해 등록 만 2012 DC가와 리턴한다 NXDOMAIN에 대해 아무것도 모른다. www
2012 또는 2016 서버의 기존 DNS 관리 콘솔에는 레코드가 표시 되지 않습니다 . 2016 서버는 위 정책에 따라 구성된대로 응답합니다.
요약
기능 수준이 낮은 도메인에서 2016 기능을 사용하지 못하게하는 내용은 여기에 없습니다. 가장 간단하고 가장 혼란스러운 옵션은 가능한 경우 나머지 2012 DC를 DNS 서버로 사용하지 않는 것입니다. 추가적인 복잡성의 위험이있는 경우 (제한된) 스플릿 브레인 배포 시나리오를 지원하는 재귀 정책과 같은 특정 요구에 따라 정책을 지원하는 2016 서버를 대상으로 할 수 있습니다.