当独立于提供商的地址空间或 ISP 分配的静态前缀都不可用时,委托前缀(通过 DHCPv6)是唯一的选项……
配置 Active Directory 和域控制器以支持 IPv6 的“最佳实践”是什么?
答案1
我从未收到过关于这个问题的答案,并且在 Intertubes 上找不到任何其他内容,所以我想我会用我自己的设置/经验自己回答这个问题。
ISP: Comcast with a delegated prefix via DHCPv6
Router: pfSense 2.3.3
路由器的 WAN 接口配置为 DHCPv6,前缀提示为 /56。(您的提示可能需要根据您的 CPE 和位置而有所不同。)
LAN接口设置为“跟踪”WAN接口。
您需要确保已配置防火墙规则以允许 LAN 接口上的 IPv6 流量。
pfSense 上的 DHCPv6 服务器未启用,网络上其他任何地方也没有该服务器。
LAN 接口上的路由器广告配置为“未管理”,我填写的唯一其他选项是“域搜索列表”。
在 DNS 解析器上,我使用我的 DC 的内部 IPv4 地址为我的 AD 域配置了域覆盖。
在我的内部 DNS 服务器上,我为分配给 LAN 接口的 IPv6 网络创建了一个反向区域。(这可行,但我必须密切关注它,以防前缀委派发生变化。)
这一切的最终结果是……
Windows 计算机根据路由器的 RA 为自己分配 IPv6 地址。但是,由于 Windows 不支持 RFC6106,因此它仅从 DHCPv4 获取 DNS 地址。在这种情况下,这实际上是一件好事,因为 IPv6 前缀不是静态的,可能会在未经通知的情况下发生变化,因此会更改 DNS 服务器的 IPv6 地址。
Windows 计算机还为其 IPv6 地址注册了 AAAA 和 PTR 记录。
当前缀改变时会发生什么?
不多,现有连接继续使用“已弃用的”前缀运行,并使用新前缀创建新连接。
我认为我没有为我的 DC/DNS 服务器分配静态 v6 地址,这违反了“最佳实践”,但似乎运行得很好。(希望得到一些意见。)
前缀更改时我唯一需要手动执行的操作是在 DNS 中创建相应的反向查找区域。(我可能应该编写一个 PS 脚本来帮我完成这项工作。)
如果康卡斯特提供静态前缀,那事情就会变得更清晰一些。