Qual é a maneira correta de configurar o Active Directory e os Controladores de Domínio quando somente um prefixo IPv6 dinâmico (não estático) está disponível?

Navegue suas respostas
5

Quando nem o espaço de endereço independente do provedor ou um prefixo estático atribuído ao ISP estiver disponível, e um prefixo delegado (via DHCPv6) for a única opção…

Qual é a "melhor prática" para configurar o Active Directory e os controladores de domínio para oferecer suporte ao IPv6?

    
por Corey 22.09.2016 / 05:23

1 resposta

2

Eu nunca recebi uma resposta sobre isso e não consegui encontrar mais nada sobre os Intertubes, então imaginei que eu mesmo responderia isso com minha própria configuração / experiência. 

ISP: Comcast with a delegated prefix via DHCPv6
Router: pfSense 2.3.3

A interface WAN do roteador está configurada para DHCPv6 com um prefixo de / 56. (Sua dica pode precisar ser diferente com base no seu CPE e localização.)

A interface LAN está definida para "rastrear" a interface WAN.

Você precisará garantir que você tenha uma regra de firewall configurada para permitir o tráfego IPv6 na sua interface de LAN.

O servidor DHCPv6 no pfSense não está habilitado, nem tenho outro em qualquer lugar na rede.

Os anúncios do roteador na interface da LAN estão configurados para "Não gerenciados" e a única outra opção que eu preenchei é a "Lista de pesquisa de domínio".

No Resolvedor do DNS, tenho Substituições de domínio configuradas para o meu domínio do AD usando os endereços IPv4 internos dos meus DCs.

Nos meus servidores DNS internos, criei uma zona reversa para a rede IPv6 atribuída à minha interface de LAN. (Isso funciona, mas tenho que ficar de olho, caso a delegação de prefixo mude).

O resultado final disso tudo…

Os computadores Windows se atribuem endereços IPv6 com base nos RAs do roteador. No entanto, como o Windows não suporta o RFC6106, ele obtém apenas endereços DNS do DHCPv4. Na verdade, isso é bom, já que o prefixo IPv6 não é estático e pode ser alterado sem aviso prévio, alterando, portanto, o endereço IPv6 dos servidores DNS.

Os computadores Windows também registram registros AAAA e PTR para seu endereço IPv6.

O que acontece quando o prefixo muda?

Não muito, as conexões existentes continuam a funcionar usando o prefixo "depreciado" e novas conexões são criadas com o novo prefixo.

Acho que estou quebrando uma "Melhor Prática" por não atribuir endereços estáticos aos meus servidores de DNS / DC, mas parece funcionar muito bem. (Adoraria alguma entrada sobre isso.)

A única coisa que tenho que fazer manualmente quando o prefixo muda, é criar a zona de pesquisa inversa correspondente no DNS. (Eu provavelmente deveria escrever um script PS para fazer isso por mim.)

Se a Comcast oferecesse prefixos estáticos, isso tornaria as coisas um pouco mais limpas.

    
por 03.03.2017 / 17:37

Tags

Icinga - Latência de verificação muito alta em ambiente distribuído ZFS mostra o estado do conjunto FAULTED, mas todos os dispositivos estão ONLINE; Como posso recuperar meus dados?