主页 / server / 问题 / 1162564
Accepted
Michael Cornn
Asked: 2024-07-16 01:03:34 +0800 CST

Windows DNS 策略不会在 AD 集成区域中复制

  • 772

我在实验室中测试水平分割(又称脑裂)DNS 策略。在 DC/DNS 服务器上设置的策略不会复制到其他 DC/DNS 服务器。

有可能让它们复制吗?

实验室有子网 192.168.72.0 和 192.168.73.0,以及两台运行 DNS 的 DC。两台 DC 的 IP 地址分别为 192.168.72.100 和 192.168.73.100。

我在 host1 的 DNS 中创建了一条 A 记录(10.0.0.2)

我按照本教程从 Microsoft DC(IP 为 192.168.72.100)进行操作。具体命令粘贴如下:

Add-DnsServerZoneScope -ZoneName "deez.datz" -Name Scope73"
Add-DnsServerResourceRecord -ZoneName "deez.datz" -A -Name "host1" -IPv4Address "10.0.0.100" -ZoneScope "Scope73"
Add-DNsServerQueryResolutionPolicy -Name "Policy73" -Action ALLOW -ClientSubnet "eq,TGH-North" -ZoneScope "Scope73,1" -ZoneName "deez.datz"

从 192.168.73.0 子网中的系统执行 Nslookup:

nslookup host1 192.168.72.100
Name: host1.deez.datz
Address: 10.0.0.100
nslookup host1 192.168.73.100
Name: host1.deez.datz
Address: 10.0.0.2

DNS 策略在运行命令的第一个 DC 上正常运行。该策略在第二个 DC 上未生效。该策略未复制。

我知道这是 Microsoft DNS 策略的默认行为。

是否可以强制 DNS 策略复制(并避免在每个 DC 上运行命令)?

domain-name-system

1 个回答

  1. Best Answer

    从文档来看,这似乎是不可能的:

    https://learn.microsoft.com/en-us/windows-server/networking/dns/deploy/dns-sb-with-ad#high-availability-of-policies

    DNS 策略未与 Active Directory 集成。因此,DNS 策略不会复制到托管同一 Active Directory 集成区域的其他 DNS 服务器。

    DNS 策略存储在本地 DNS 服务器上。您可以使用以下示例 Windows PowerShell 命令轻松地将 DNS 策略从一台服务器导出到另一台服务器。

    电源外壳

    $policies = Get-DnsServerQueryResolutionPolicy -ZoneName "contoso.com" -ComputerName Server01
$policies | Add-DnsServerQueryResolutionPolicy -ZoneName "contoso.com" -ComputerName Server02

    有关详细信息,请参阅以下 Windows PowerShell 参考主题。

    获取 DnsServerQueryResolutionPolicy
    添加 DnsServerQueryResolutionPolicy

    这同样适用于未与 AD 集成并使用标准主/辅助模型的 DNS 区域:https://learn.microsoft.com/en-us/windows-server/networking/dns/deploy/primary-secondary-geo-location

    简而言之:DNS 策略是特定于服务器的,您需要在环境中的每个 DNS 服务器上配置它们。

    • 1

相关问题