Windows 2016 DNSポリシー/スプリットDNSは、古いDCを持つAD統合ゾーンで可能ですか？

Windows Server 2016はDNSポリシーをサポートします。これは、他のシナリオの中でもスプリットブレインDNSをサポートします。

DNSポリシーを構成して、DNSサーバーがDNSクエリに応答する方法を指定できます。DNS応答は、クライアントIPアドレス（場所）、時刻、およびその他のいくつかのパラメーターに基づくことができます。DNSポリシーにより、ロケーション認識DNS、トラフィック管理、ロードバランシング、スプリットブレインDNS、およびその他のシナリオが可能になります。

DNSポリシーの概要ページを読みましたが、まだすべてのDCがサーバー2016でない場合、AD統合ゾーンでこれがどのように機能するかについてのドキュメントを見つけることができません。

ダウンレベルのサーバーはポリシーを解釈してそれに応じて動作する方法がわからないので、それがうまくいくとは思えませんが、情報がADで複製されるため、古いDCが新しい属性を無視して応答する状況を予測できますいくつかの「デフォルト」の方法で（ポリシーは適用されません）、新しいDCはポリシーに従って応答します。

すべてのDCを一度にアップグレードせずに新しい機能を使用する方法を提供できるため、クライアントがDCのサブセットをポイントできる（または既に実行している）特定の状況では問題ないと思います。

しかし、私が説明したものが実際にどのように機能するのか、または混合環境で新しい機能をまったく使用できないのか、その間の何かについての情報は見つかりません。

警告

私は最近、ことを発見しました-WhatIf、-Verboseと-ErrorActionパラメータはDNSポリシーコマンドレットに壊れています。ここで投票して修正してください。そして注意してください！

これは私の好奇心を捉えました-そして洞察に満ちた質問に対して+1-なので、これをテストするための簡単なラボを構築しました：

• Win2012-DC：Windows Server 2012 R2、新しいtest.localフォレスト/ドメインのドメインコントローラーに昇格。
• Win2016-DC：Windows Server 2016、上記のtest.localドメインの2番目のドメインコントローラーとして昇格。

今日（2016-10-29）の時点で、すべてが完全にパッチされ、最新の状態です。フォレストとドメインの両方の機能レベルは2012 R2です。両方のサーバーも、このテストドメインのDNSサーバーとして構成されました。

要約すると、結果は後で予見したとおりであるように見えます。

古いDCは新しい属性を無視し、「デフォルト」の方法（ポリシーは適用されません）で応答しますが、新しいDCはポリシーに従って応答します。

https://technet.microsoft.com/en-us/windows-server-docs/networking/dns/deploy/dns-policies-overviewに記載されているシナリオのほとんどを実行しました。簡潔にするために、以下は2つの特定のシナリオの詳細です。

ドメインのクエリをブロックする

• https://technet.microsoft.com/en-us/windows-server-docs/networking/dns/deploy/dns-policies-overview?#block-queries-for-a-domain

これは2016 DCで問題なく実行されますが、2012 DCは明らかにコマンドも認識しません。

Add-DnsServerQueryResolutionPolicy -Name "BlackholePolicy" -Action IGNORE -FQDN "EQ,*.treyresearch.com"

www.treyresearch.com2016 DCに対してDNSクエリを発行すると、応答がなく、要求がタイムアウトします。同じクエリが2012 DCに対して発行されると、ポリシーに関する知識がなく、上流のAレコードで構成される予期される応答が提供されます。

地理的位置を認識するアプリケーション負荷分散

• https://technet.microsoft.com/en-us/windows-server-docs/networking/dns/deploy/app-lb-geo
  • （ダブリンとアムステルダム以外のすべてのゾーンスコープは、https：//technet.microsoft.com/en-us/windows-server-docs/networking/dns/deploy/dns-policyの前のサブページで作成されたことに注意してください-scenario-guide-したがって、このページから始める場合、欠落しているゾーンスコープを作成するか、最後のAdd-DnsServerQueryResolutionPolicyコマンドを変更してそれらを無視する必要があります。

参照用の記事に含まれているPowerShellコマンド：

Add-DnsServerZoneScope -ZoneName "contosogiftservices.com" -Name "DublinZoneScope"
Add-DnsServerZoneScope -ZoneName "contosogiftservices.com" -Name "AmsterdamZoneScope"
Add-DnsServerResourceRecord -ZoneName "contosogiftservices.com" -A -Name "www" -IPv4Address "151.1.0.1" -ZoneScope "DublinZoneScope”
Add-DnsServerResourceRecord -ZoneName "contosogiftservices.com" -A -Name "www" -IPv4Address "141.1.0.1" -ZoneScope "AmsterdamZoneScope"
Add-DnsServerQueryResolutionPolicy -Name "AmericaLBPolicy" -Action ALLOW -ClientSubnet "eq,AmericaSubnet" -ZoneScope "SeattleZoneScope,2;ChicagoZoneScope,1; TexasZoneScope,1" -ZoneName "contosogiftservices.com" –ProcessingOrder 1
Add-DnsServerQueryResolutionPolicy -Name "EuropeLBPolicy" -Action ALLOW -ClientSubnet "eq,EuropeSubnet" -ZoneScope "DublinZoneScope,1;AmsterdamZoneScope,1" -ZoneName "contosogiftservices.com" -ProcessingOrder 2
Add-DnsServerQueryResolutionPolicy -Name "WorldWidePolicy" -Action ALLOW -FQDN "eq,*.contoso.com" -ZoneScope "SeattleZoneScope,1;ChicagoZoneScope,1; TexasZoneScope,1;DublinZoneScope,1;AmsterdamZoneScope,1" -ZoneName "contosogiftservices.com" -ProcessingOrder 3

ここでの結果は、上記よりもほとんど「悪い」です。www.contosogiftservices.comポリシーによってのみ効果的に登録されているため、2012 DCはそれについて何も知らず、NXDOMAINを返します。（www2012または2016サーバーの従来のDNS管理コンソールではレコードは表示されません。）2016サーバーは、上記のポリシーで構成されたとおりに応答します。

概要

機能レベルの低いドメインで2016機能の使用を妨げるものはここにはありません。最も単純で最も混乱の少ないオプションは、可能であれば、残りの2012 DCのDNSサーバーとしての使用を停止することです。さらに複雑になる可能性があるため、（制限された）スプリットブレイン展開シナリオをサポートする再帰ポリシーなど、ポリシーをサポートする2016サーバーを特定のニーズに向けることができます。