Isso chamou minha curiosidade - e também +1 para uma pergunta perspicaz -, então criei um laboratório rápido para testar isso:
Win2012-DC
: Windows Server 2012 R2, promovido ao controlador de domínio para uma nova test.local
floresta / domínio.
Win2016-DC
: Windows Server 2016, promovido como um segundo controlador de domínio para o test.local
domínio acima .
Tudo está totalmente corrigido e atualizado a partir de hoje (29/10/2016). O nível funcional para a floresta e o domínio é 2012 R2. Os dois servidores também foram configurados como servidores DNS para este domínio de teste.
Em resumo, os resultados parecem ser os que você previu mais tarde:
DCs mais antigos ignoram os novos atributos e respondem de alguma maneira "padrão" (nenhuma política é aplicada), enquanto os novos DCs respondem de acordo com a política.
Passei pela maioria dos cenários documentados em https://technet.microsoft.com/en-us/windows-server-docs/networking/dns/deploy/dns-policies-overview . Por uma questão de brevidade, a seguir estão os detalhes de 2 cenários específicos:
Bloquear consultas para um domínio
Isso é executado sem problemas no CD de 2016 - mas o CD de 2012 obviamente nem reconhece o comando:
Add-DnsServerQueryResolutionPolicy -Name "BlackholePolicy" -Action IGNORE -FQDN "EQ,*.treyresearch.com"
Ao emitir uma consulta DNS www.treyresearch.com
contra o CD de 2016, nenhuma resposta é fornecida e a solicitação atinge o tempo limite. Quando a mesma consulta é emitida no CD de 2012, ela não tem conhecimento da diretiva e fornece uma resposta esperada que consiste no registro A upstream.
Balanceamento de carga de aplicativos com reconhecimento de localização geográfica
Os comandos do PowerShell, conforme incluído no artigo para referência:
Add-DnsServerZoneScope -ZoneName "contosogiftservices.com" -Name "DublinZoneScope"
Add-DnsServerZoneScope -ZoneName "contosogiftservices.com" -Name "AmsterdamZoneScope"
Add-DnsServerResourceRecord -ZoneName "contosogiftservices.com" -A -Name "www" -IPv4Address "151.1.0.1" -ZoneScope "DublinZoneScope”
Add-DnsServerResourceRecord -ZoneName "contosogiftservices.com" -A -Name "www" -IPv4Address "141.1.0.1" -ZoneScope "AmsterdamZoneScope"
Add-DnsServerQueryResolutionPolicy -Name "AmericaLBPolicy" -Action ALLOW -ClientSubnet "eq,AmericaSubnet" -ZoneScope "SeattleZoneScope,2;ChicagoZoneScope,1; TexasZoneScope,1" -ZoneName "contosogiftservices.com" –ProcessingOrder 1
Add-DnsServerQueryResolutionPolicy -Name "EuropeLBPolicy" -Action ALLOW -ClientSubnet "eq,EuropeSubnet" -ZoneScope "DublinZoneScope,1;AmsterdamZoneScope,1" -ZoneName "contosogiftservices.com" -ProcessingOrder 2
Add-DnsServerQueryResolutionPolicy -Name "WorldWidePolicy" -Action ALLOW -FQDN "eq,*.contoso.com" -ZoneScope "SeattleZoneScope,1;ChicagoZoneScope,1; TexasZoneScope,1;DublinZoneScope,1;AmsterdamZoneScope,1" -ZoneName "contosogiftservices.com" -ProcessingOrder 3
Os resultados aqui são quase "piores" que o acima: Com www.contosogiftservices.com
efetivamente registrado apenas pela política, o CD de 2012 não sabe nada sobre isso e retorna um NXDOMAIN. (Nenhum www
registro é visível no console de gerenciamento DNS tradicional no servidor de 2012 ou 2016.) O servidor de 2016 responde conforme configurado pelas políticas acima.
Sumário
Não vejo nada aqui que impeça o uso dos recursos de 2016 em um domínio com um nível funcional menor. A opção mais simples e menos confusa provavelmente seria parar de usar os DCs restantes de 2012 como servidores DNS, se possível. Correndo o risco de uma complexidade adicional, você pode direcionar os servidores de 2016 para suporte a políticas para necessidades específicas, como políticas de recursão para dar suporte a um cenário de implantação de cérebro dividido (limitado).