Как правильно настроить Active Directory и контроллеры домена, если доступен только динамический (не статический) префикс IPv6?

Question

Как правильно настроить Active Directory и контроллеры домена, если доступен только динамический (не статический) префикс IPv6?

Когда не доступно ни независимое от провайдера адресное пространство, ни статический префикс, назначенный провайдером, и делегированный префикс (через DHCPv6) является единственным вариантом…

Какова "лучшая практика" для настройки Active Directory и контроллеров домена для поддержки IPv6?

8

active-directory ipv6 pfsense best-practices small-business

Источник

Corey 22 сен '16 в 03:23

1 ответ

Другие вопросы по тегам active-directory ipv6 pfsense best-practices small-business

Corey 03 мар '17 в 16:37 2017-03-03 16:37 · Answer 1 · 2017-03-03 16:37

Я никогда не получал ответ на этот вопрос и не мог найти что-либо еще на Intertubes, поэтому я решил, что сам отвечу на это с моей собственной установкой / опытом.

ISP: Comcast with a delegated prefix via DHCPv6
Router: pfSense 2.3.3

Интерфейс WAN маршрутизатора настроен для DHCPv6 с подсказкой префикса /56. (Ваш совет может отличаться в зависимости от вашего CPE и местоположения.)

Интерфейс LAN настроен на "отслеживание" интерфейса WAN.

Вам необходимо убедиться, что у вас настроено правило брандмауэра, разрешающее трафик IPv6 на интерфейсе локальной сети.

Сервер DHCPv6 на pfSense не включен, и у меня его нет нигде в сети.

Объявления маршрутизатора в интерфейсе локальной сети настроены на "Неуправляемый", и единственной другой опцией, которую я заполнил, является "Список поиска домена".

В DNS Resolver у меня настроены переопределения доменов для моего домена AD с использованием внутренних адресов IPv4 моих контроллеров домена.

На своих внутренних DNS-серверах я создал обратную зону для сети IPv6, которая назначена интерфейсу локальной сети. (Это работает, но я должен следить за этим в случае, если префикс делегирования когда-либо изменится.)

Конечный результат всего этого...

Компьютеры Windows назначают себе IPv6-адрес на основе RA маршрутизатора. Однако, поскольку Windows не поддерживает RFC6106, она получает адреса DNS только от DHCPv4. Это на самом деле хорошая вещь в этом случае, так как префикс IPv6 не является статическим и может изменяться без уведомления, поэтому изменяется адрес IPv6 DNS-серверов.

Компьютеры Windows также регистрируют там записи AAAA и PTR для своего адреса IPv6.

Что происходит при изменении префикса?

Немного, существующие соединения продолжают функционировать, используя префикс "устаревшие", и новые соединения создаются с новым префиксом.

Я думаю, что я нарушаю "Лучшую практику", не назначая статические адреса моим серверам DC/DNS, но, похоже, она работает просто отлично. (Хотелось бы некоторый вклад по этому вопросу.)

Единственное, что мне нужно сделать вручную, когда префикс меняется, - создать соответствующую зону обратного просмотра в DNS. (Я, вероятно, должен написать сценарий PS, чтобы сделать это для меня.)

Если бы Comcast предлагал статические префиксы, это сделало бы вещи чище.