Soru Active Directory ve Etki Alanı Denetleyicilerini yalnızca dinamik (statik değil) IPv6 öneki olduğunda yapılandırmanın doğru yolu nedir?


Sağlayıcıdan bağımsız adres alanı veya bir ISS atanmış statik öneki bulunmadığında ve bir temsilci öneki (DHCPv6 aracılığıyla) tek seçenek ...

IPv6'yı desteklemek için Active Directory ve Etki Alanı Denetleyicilerini yapılandırmak için "en iyi uygulama" nedir?


5
2017-09-22 03:23


Menşei


Tüm ağınız dahili olarak Yerel Yerel Adresleri kullanacaktır. pfSense bu adresleri atamayı başarabilmelidir. Comcast'den aldığınız global adresler İnternet'e erişmek için kullanılacaktır. Ve lütfen sabit bir IPv6 bloğunun eksikliği hakkında hesap yöneticinize yüksek sesle şikayette bulunun. - Michael Hampton♦
Ne tür bir detay istiyorsun, daha önce verilmemişti? Sorunuzu açıklamak yerine, düzenlemeleriniz daha belirsiz ve daha az hesaplanabilir hale getirdi. - Michael Hampton♦
IPv4 Active Directory kurulumunu biliyorsanız, IPv6 ile de aynısını yapabilirsiniz. ve sürekli olarak sorunuzu değiştirdiğiniz düzenlemelerin revizyonlarını kontrol ettim. - Shiv Singh
Bu senaryoda ağı yapılandırmanın en iyi yolu hakkında kapsamlı bir cevap arıyorum. ULA kullanılmalı mı? Statik v6 adresleri DC'ye atanmalı mı yoksa otomatik olarak yapılandırılmasına izin verilsin mi? Önek değişirse ne olur? Önek için bir ters bölge oluşturmalı mıyım? Öneki bir AD sitesine eklemeli miyim? - Corey
@JacobEvans RFC 6879 bölüm 4.1 iyi bir tartışmaya sahiptir. - Michael Hampton♦


Cevaplar:


Buna bir cevap almadım ve Intertubes'te başka bir şey bulamadım, bu yüzden kendime kendi kurulum / deneyimimle cevap vereceğimi düşündüm.

ISP: Comcast with a delegated prefix via DHCPv6
Router: pfSense 2.3.3

Yönlendiricinin WAN arayüzü, / 56 / önek ipucu ile DHCPv6 için yapılandırılmıştır. (İpucu'nuzun CPE'nize ve konumunuza göre farklı olması gerekebilir.)

LAN arayüzü WAN arayüzünü "izlemek" üzere ayarlanmıştır.

LAN arayüzünüzde IPv6 trafiğine izin verecek şekilde yapılandırılmış bir güvenlik duvarı kuralı olduğundan emin olmanız gerekir.

PfSense'deki DHCPv6 sunucusu etkin değil, ağda başka bir tane de yok.

LAN arabirimindeki Yönlendirici Reklamları "Yönetilmeyen" için yapılandırılmıştır ve doldurduğum tek diğer seçenek "Alan adı arama listesi" dir.

DNS Çözümleyicisi'nde, DC'lerimin dahili IPv4 adreslerini kullanarak AD alanım için yapılandırılmış Etki Alanı Geçersiz Kılmaları var.

Dahili DNS sunucularında, LAN arabirimime atanan IPv6 ağı için bir ters bölge oluşturdum. (Bu çalışır, ancak önek temsilcisinin değişmesi durumunda gözümün üzerinde durmam gerekir.)

Bütün bunların sonucu…

Windows bilgisayarlar yönlendiriciden gelen RA'lara göre kendilerini IPv6 adresi atar. Ancak, Windows RFC6106'yı desteklemediğinden, yalnızca DHCPv4'ten DNS adresleri alır. Bu, aslında IPv6 öneki statik olmadığından ve bildirimde bulunmadan değişebileceğinden, DNS sunucularının IPv6 adresini değiştirdiğinden bu durumda iyi bir şeydir.

Windows bilgisayarlar ayrıca IPv6 adresleri için orada AAAA ve PTR kayıtları kaydeder.

Önek değiştiğinde ne olur?

Çok fazla, mevcut bağlantılar "amortismana tabi" önekini kullanarak çalışmaya devam eder ve yeni önek ile yeni bağlantılar oluşturulur.

DC / DNS sunucularına statik adres atamayarak "En İyi Uygulama" yı kırdığımı düşünüyorum, ancak gayet iyi çalışıyor gibi görünüyor. (Bunun üzerine biraz aşk isterim.)

Önek değiştiğinde el ile yapmam gereken tek şey, DNS'de karşılık gelen geriye doğru arama bölgesini oluşturur. (Muhtemelen benim için bunu yapmak için bir PS senaryosu yazmalıyım.)

Comcast, statik önekler sunsaydı, bu işleri biraz daha temiz hale getirirdi.


2
2018-03-03 16:37



Bir işletme hesabınız varsa, statik IPv6 adreslerini / 48 olarak sunarlar. - Jacob Evans
forums.xfinity.com/t5/Your-Home-Network/... yardımcı olabilir - Jacob Evans
Benim bölgemde değil. - Corey