구형 DC가있는 AD 통합 영역에서 Windows 2016 DNS 정책 / 분할 DNS가 가능합니까?


10

Windows Server 2016은 다음 과 같은 시나리오에서 스플릿 브레인 DNS를 지원 하는 DNS 정책을 지원합니다.

DNS 서버가 DNS 쿼리에 응답하는 방법을 지정하도록 DNS 정책을 구성 할 수 있습니다. DNS 응답은 클라이언트 IP 주소 (위치), 시간 및 기타 여러 매개 변수를 기반으로 할 수 있습니다. DNS 정책은 위치 인식 DNS, 트래픽 관리,로드 밸런싱, 분할 DNS 및 기타 시나리오를 가능하게합니다.

DNS 정책 개요 페이지를 읽었 지만 아직 모든 DC가 Server 2016이 아닌 경우 AD 통합 영역에서 어떻게 작동하는지에 대한 문서를 찾을 수 없습니다.

하위 서버가 정책을 해석하고 그에 따라 행동하는 방법을 모르기 때문에 모든 것이 잘 작동한다고 상상할 수 없지만 AD에 정보가 복제되기 때문에 이전 DC가 새로운 속성을 무시하고 응답하는 상황을 예측할 수 있습니다 새로운 "DC"는 정책에 따라 응답하는 반면 "기본"방식으로 (정책이 적용되지 않음).

모든 DC를 한 번에 업그레이드하지 않고도 최신 기능을 사용할 수있는 방법을 제공 할 수 있기 때문에 고객이 DC의 하위 집합을 가리 키도록 할 수있는 특정 상황에서는 문제가없는 것으로 생각합니다.

그러나, 내가 설명한 것이 실제로 어떻게 작동하는지, 또는 혼합 환경에서 또는 그 사이의 무언가를 전혀 사용할 수 없는지에 대한 정보는 찾을 수 없습니다.


경고

나는 최근에 발견 한 -WhatIf, -Verbose-ErrorAction매개 변수가 DNS 정책의 cmdlet에 깨진; 그 문제를 해결하려면 여기에 투표하십시오 . 조심하세요!

답변:


4

이것은 내 호기심을 불러 일으켰고 통찰력있는 질문에 +1했습니다. 그래서 나는 이것을 테스트하기 위해 빠른 실험실을 만들었습니다.

  • Win2012-DC: Windows Server 2012 R2, 새 test.local포리스트 / 도메인 용 도메인 컨트롤러로 승격되었습니다 .
  • Win2016-DC: Windows Server 2016, 위 도메인의 두 번째 도메인 컨트롤러로 승격되었습니다 test.local.

오늘 (2016-10-29) 기준으로 모든 것이 완전히 패치되고 최신 상태입니다. 포리스트와 도메인의 기능 수준은 2012 R2입니다. 두 서버 모두이 테스트 도메인의 DNS 서버로 구성되었습니다.

요약하면 결과는 나중에 예측 한 것처럼 보입니다.

오래된 DC는 새로운 속성을 무시하고 "기본"방식으로 (정책이 적용되지 않음) 응답하지만 새 DC는 정책에 따라 응답합니다.

https://technet.microsoft.com/en-us/windows-server-docs/networking/dns/deploy/dns-policies-overview에 설명 된 대부분의 시나리오를 살펴 보았습니다 . 간결하게하기 위해 다음은 두 가지 특정 시나리오에 대한 세부 정보입니다.

도메인에 대한 쿼리 차단

이것은 2016 DC에서 문제없이 실행되지만 2012 DC는 분명히 명령을 인식하지 못합니다.

Add-DnsServerQueryResolutionPolicy -Name "BlackholePolicy" -Action IGNORE -FQDN "EQ,*.treyresearch.com"

www.treyresearch.com2016 DC 에 대한 DNS 쿼리를 실행할 때 응답이없고 요청 시간이 초과되었습니다. 동일한 쿼리가 2012 DC에 대해 발행되면 정책에 대한 지식이 없으며 업스트림 A 레코드로 구성된 예상 응답을 제공합니다.

지리적 위치 인식을 통한 응용 프로그램 부하 분산

참조를 위해 기사에 포함 된 PowerShell 명령 :

Add-DnsServerZoneScope -ZoneName "contosogiftservices.com" -Name "DublinZoneScope"
Add-DnsServerZoneScope -ZoneName "contosogiftservices.com" -Name "AmsterdamZoneScope"
Add-DnsServerResourceRecord -ZoneName "contosogiftservices.com" -A -Name "www" -IPv4Address "151.1.0.1" -ZoneScope "DublinZoneScope”
Add-DnsServerResourceRecord -ZoneName "contosogiftservices.com" -A -Name "www" -IPv4Address "141.1.0.1" -ZoneScope "AmsterdamZoneScope"
Add-DnsServerQueryResolutionPolicy -Name "AmericaLBPolicy" -Action ALLOW -ClientSubnet "eq,AmericaSubnet" -ZoneScope "SeattleZoneScope,2;ChicagoZoneScope,1; TexasZoneScope,1" -ZoneName "contosogiftservices.com" –ProcessingOrder 1
Add-DnsServerQueryResolutionPolicy -Name "EuropeLBPolicy" -Action ALLOW -ClientSubnet "eq,EuropeSubnet" -ZoneScope "DublinZoneScope,1;AmsterdamZoneScope,1" -ZoneName "contosogiftservices.com" -ProcessingOrder 2
Add-DnsServerQueryResolutionPolicy -Name "WorldWidePolicy" -Action ALLOW -FQDN "eq,*.contoso.com" -ZoneScope "SeattleZoneScope,1;ChicagoZoneScope,1; TexasZoneScope,1;DublinZoneScope,1;AmsterdamZoneScope,1" -ZoneName "contosogiftservices.com" -ProcessingOrder 3

여기 결과는 위의 것보다 거의 "나쁜"입니다 함께 www.contosogiftservices.com효과적으로 정책에 의해 등록 만 2012 DC가와 리턴한다 NXDOMAIN에 대해 아무것도 모른다. www2012 또는 2016 서버의 기존 DNS 관리 콘솔에는 레코드가 표시 되지 않습니다 . 2016 서버는 위 정책에 따라 구성된대로 응답합니다.

요약

기능 수준이 낮은 도메인에서 2016 기능을 사용하지 못하게하는 내용은 여기에 없습니다. 가장 간단하고 가장 혼란스러운 옵션은 가능한 경우 나머지 2012 DC를 DNS 서버로 사용하지 않는 것입니다. 추가적인 복잡성의 위험이있는 경우 (제한된) 스플릿 브레인 배포 시나리오를 지원하는 재귀 정책과 같은 특정 요구에 따라 정책을 지원하는 2016 서버를 대상으로 할 수 있습니다.


2
이것은 환상적인 위를 넘어, 감사합니다!
briantist

이것은 외부 이름 서버에 대한 DNS 증폭 공격을 제한하는 데 중요합니다. 2016 DNS 서버를 기능이 낮은 도메인 수준에 추가 할 때 발생할 수있는 일에 대해 관리자가 신경 쓸 것입니다. 평소와 같이 Microsoft는 이에 대한 정보가 거의 없습니다.
Brain2000
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.