具有旧DC的AD集成区域上是否可以使用Windows 2016 DNS策略/拆分DNS？

Windows Server 2016支持DNS策略，该策略在其他情况下提供对裂脑DNS的支持：

您可以配置DNS策略以指定DNS服务器如何响应DNS查询。DNS响应可以基于客户端IP地址（位置），一天中的时间以及其他几个参数。DNS策略启用了位置感知DNS，流量管理，负载平衡，裂脑DNS和其他方案。

我已经阅读了“ DNS策略概述”页面，但在并非所有DC都为Server 2016的情况下，我似乎找不到任何有关此文档如何在AD集成区域中工作的文档。

我无法想象它会很好地工作，因为下层服务器不知道如何解释策略并采取相应的行动，但是由于信息是在AD中复制的，因此我可以预见旧DC会忽略新属性并做出响应的情况以某种“默认”方式（未应用任何策略），而新的DC将根据策略进行响应。

我认为在某些情况下可以（或已经这样做）让客户指向DC的子集，这是可以的，因为这可以提供一种使用新功能而无需立即升级所有DC的方式。

但是，我找不到有关所描述的内容是它实际工作方式的信息，还是在混合环境中根本无法使用这些新功能，或介于两者之间的任何信息。

警告

我最近发现-WhatIf，-Verbose和-ErrorAction参数上的DNS策略cmdlet破裂; 在这里投票解决问题。小心点！

这引起了我的好奇心-并为一个有洞察力的问题+1了-因此我建立了一个快速实验室来对此进行测试：

• Win2012-DC：Windows Server 2012 R2，已升级为新test.local林/域的域控制器。
• Win2016-DC：Windows Server 2016，已升级为上述test.local域的第二个域控制器。

截至今天（2016-10-29），所有内容均已全面修补和更新。林和域的功能级别均为2012 R2。两台服务器也都配置为该测试域的DNS服务器。

总而言之，结果似乎与您稍后所预料的一样：

较旧的DC会忽略新属性，并以某种“默认”方式进行响应（未应用任何策略），而新DC会根据策略进行响应。

我浏览了https://technet.microsoft.com/zh-cn/windows-server-docs/networking/dns/deploy/dns-policies-overview下记录的大多数场景。为简便起见，以下是2种特定方案的详细信息：

域的块查询

• https://technet.microsoft.com/zh-CN/windows-server-docs/networking/dns/deploy/dns-policies-overview?#block-queries-for-a-domain

这在2016 DC上执行没有问题-但2012 DC显然甚至无法识别该命令：

Add-DnsServerQueryResolutionPolicy -Name "BlackholePolicy" -Action IGNORE -FQDN "EQ,*.treyresearch.com"

在www.treyresearch.com针对2016 DC 发出DNS查询时，未给出响应且请求超时。当针对2012 DC发出相同的查询时，它不了解该策略，并提供由上游A记录组成的预期响应。

具有地理位置意识的应用程序负载平衡

• https://technet.microsoft.com/zh-CN/windows-server-docs/networking/dns/deploy/app-lb-geo
  • （请注意，除都柏林和阿姆斯特丹以外的所有区域范围都是在https://technet.microsoft.com/zh-cn/windows-server-docs/networking/dns/deploy/dns-policy的先前子页面中创建的-scenario-guide-因此，如果从此页面开始，则需要创建缺少的区域范围，或者Add-DnsServerQueryResolutionPolicy更改最后一个命令以忽略它们。）

本文中包含的PowerShell命令供参考：

Add-DnsServerZoneScope -ZoneName "contosogiftservices.com" -Name "DublinZoneScope"
Add-DnsServerZoneScope -ZoneName "contosogiftservices.com" -Name "AmsterdamZoneScope"
Add-DnsServerResourceRecord -ZoneName "contosogiftservices.com" -A -Name "www" -IPv4Address "151.1.0.1" -ZoneScope "DublinZoneScope”
Add-DnsServerResourceRecord -ZoneName "contosogiftservices.com" -A -Name "www" -IPv4Address "141.1.0.1" -ZoneScope "AmsterdamZoneScope"
Add-DnsServerQueryResolutionPolicy -Name "AmericaLBPolicy" -Action ALLOW -ClientSubnet "eq,AmericaSubnet" -ZoneScope "SeattleZoneScope,2;ChicagoZoneScope,1; TexasZoneScope,1" -ZoneName "contosogiftservices.com" –ProcessingOrder 1
Add-DnsServerQueryResolutionPolicy -Name "EuropeLBPolicy" -Action ALLOW -ClientSubnet "eq,EuropeSubnet" -ZoneScope "DublinZoneScope,1;AmsterdamZoneScope,1" -ZoneName "contosogiftservices.com" -ProcessingOrder 2
Add-DnsServerQueryResolutionPolicy -Name "WorldWidePolicy" -Action ALLOW -FQDN "eq,*.contoso.com" -ZoneScope "SeattleZoneScope,1;ChicagoZoneScope,1; TexasZoneScope,1;DublinZoneScope,1;AmsterdamZoneScope,1" -ZoneName "contosogiftservices.com" -ProcessingOrder 3

与上面的结果相比，这里的结果几乎“更糟”：www.contosogiftservices.com仅通过策略有效地注册，2012 DC对此一无所知并返回NXDOMAIN。（www在2012或2016服务器上的传统DNS管理控制台中看不到任何记录。）2016服务器响应上述策略配置。

摘要

我在这里看不到任何妨碍在功能级别较低的域中使用2016功能的东西。如果可能的话，最简单，最不令人困惑的选择可能就是停止使用任何剩余的2012 DC作为DNS服务器。冒着一些额外复杂性的风险，您可以针对支持特定需求的策略支持2016服务器，例如支持（有限）裂脑部署方案的递归策略。