Warum veranlasst mein Domänencontroller meinen Router, Anzeigen für eindeutige lokale Adressen zu senden?

12

Momentan evaluiere ich Server 2012 als Domänencontroller in einem kleinen heterogenen Netzwerk von Linux- und Windows-Arbeitsstationen und -Servern, die schließlich alle der Domäne angehören würden. Dies ist ein 100% Dual-Stack-Netzwerk. Jedes Gerät verfügt über IPv4- und IPv6-Konnektivität. Der Router ist ein Linux-Server, auf dem Radvd 1.9.1 und verschiedene andere Notwendigkeiten ausgeführt werden.

Ich habe gerade den ersten Domänencontroller installiert. Der Domainname lautet ad.businessname.com( businessname.comwird von externen DNS-Servern verwaltet; die Domain hat auch die öffentliche Website, E-Mail usw., und diese werden zu diesem Zeitpunkt nicht der Domain hinzugefügt). Es handelt sich um einen Server Core, auf dem AD DS- und DNS-Rollen installiert sind. Alles scheint gut und ich bin bereit, den zweiten DC einzurichten und Computer zu verbinden, aber ...

In meinem Netzwerk befinden sich jetzt zusätzliche IPv6-Router-Anzeigen mit eindeutigen lokalen Adressen . Es ist auch Werbung für den nativen IPv6 - Präfix , dass der tatsächliche Router ist Werbung. Zuerst dachte ich, dass diese RAs vom Domänencontroller stammen, da sie beim Ausschalten verschwunden sind, aber nach dem Ausführen von Wireshark stammen sie von meinem eigentlichen IPv6-Router. Wireshark zeigt, dass diese Version der RA in Kürze einer Neighbor Solicitation für fd4a: e7ab: 34a5 :: 1 aus dem DC folgt.

Seltsamerweise sendet der Router auch die ursprüngliche Routenankündigung, die er normalerweise sendet, wenn der Domänencontroller nicht im Netzwerk vorhanden ist. Diese Version der RA entspricht /etc/radvd.conf(eine Kopie ist unten). Eine kurze Sitzung mit Wireshark bestätigte, dass beide Versionen der Router-Ankündigung von der MAC-Adresse des ausgeführten Linux-Routers stammen radvd.

Bisher scheinen diese harmlos zu sein, da meine IPv6-Konnektivität nicht durch das Vorhandensein der zusätzlichen RA unterbrochen wurde. Da ich jedoch bereits über eine globale IPv6-Konnektivität verfüge, scheinen die ULAs unnötig und unerwünscht zu sein.

Ich habe viel Zeit in der letzten Nacht verbracht und heute das Internet durchsucht, um herauszufinden, was vor sich geht, aber ich habe nur wenig gefunden, um etwas zu erklären, das über den Hinweis hinausgeht, dass es möglicherweise etwas mit dem IP-Hilfsdienst zu tun hat (und vage Warnungen, dies nicht zu tun) schalte es aus). Soweit ich je gehört habe, sollte es jedoch sicher sein, diesen Dienst zu deaktivieren, wenn natives IPv6 verfügbar ist.

Meine Fragen sind also:

  • Warum sendet Windows eine Nachbaranfrage für ein ULA-Netzwerk?
  • Warum werden diese RAs anscheinend als Antwort gesendet?
  • Warum machen sie zusätzlich zu meinen Heimatadressen Werbung für ULAs?
  • Wird dies später kein Problem mit dem IPv6-Routing verursachen?
  • Muss ich mich damit abfinden oder wie kann ich Windows und radvd dazu bringen, sich zu verhalten?

Es folgen verschiedene Konfigurationsinformationen:

Hier ist eine erfasste RA, die gesendet wurde (wie gezeigt radvdump, ist IMO leichter zu lesen als die Ausgabe von wireshark). Sie können sehen, dass es sowohl für die ULA als auch für das öffentliche Präfix (hier verdeckt) wirbt. Und wenn ich den Domänencontroller heruntergefahren habe, wird diese Version der RA nicht mehr im Netzwerk angezeigt.

#
# radvd configuration generated by radvdump 1.9.1
# based on Router Advertisement from fe80::20c:29ff:fef4:66f1
# received by interface eth0
#

interface eth0
{
        AdvSendAdvert on;
        # Note: {Min,Max}RtrAdvInterval cannot be obtained with radvdump
        AdvManagedFlag off;
        AdvOtherConfigFlag on;
        AdvReachableTime 0;
        AdvRetransTimer 0;
        AdvCurHopLimit 0;
        AdvDefaultLifetime 1800;
        AdvHomeAgentFlag off;
        AdvDefaultPreference medium;
        AdvSourceLLAddress on;
        AdvLinkMTU 1500;

        prefix fd4a:e7ab:34a5::/64
        {
                AdvValidLifetime 86400;
                AdvPreferredLifetime 86400;
                AdvOnLink on;
                AdvAutonomous on;
                AdvRouterAddr off;
        }; # End of prefix definition


        prefix 2001:db8:16:bf::/64
        {
                AdvValidLifetime 86400;
                AdvPreferredLifetime 86400;
                AdvOnLink on;
                AdvAutonomous on;
                AdvRouterAddr off;
        }; # End of prefix definition


        RDNSS fd4a:e7ab:34a5::1
        {
                AdvRDNSSLifetime 86400;
        }; # End of RDNSS definition


        DNSSL businessname.com
        {
                AdvDNSSLLifetime 1800;
        }; # End of DNSSL definition

}; # End of interface definition

Hier ist die Originalwerbung des Routers, die mit der des Routers übereinstimmt /etc/radvd.confund immer noch im Wechsel mit der obigen im Netzwerk gesendet wird:

#
# radvd configuration generated by radvdump 1.9.1
# based on Router Advertisement from fe80::20c:29ff:fef4:66f1
# received by interface eth0
#

interface eth0
{
        AdvSendAdvert on;
        # Note: {Min,Max}RtrAdvInterval cannot be obtained with radvdump
        AdvManagedFlag off;
        AdvOtherConfigFlag off;
        AdvReachableTime 0;
        AdvRetransTimer 0;
        AdvCurHopLimit 64;
        AdvDefaultLifetime 1800;
        AdvHomeAgentFlag off;
        AdvDefaultPreference medium;
        AdvSourceLLAddress on;

        prefix 2001:db8:16:bf::/64
        {
                AdvValidLifetime 86400;
                AdvPreferredLifetime 14400;
                AdvOnLink on;
                AdvAutonomous on;
                AdvRouterAddr off;
        }; # End of prefix definition


        RDNSS 2001:4860:4860::8888 2001:4860:4860::8844
        {
                AdvRDNSSLifetime 600;
        }; # End of RDNSS definition

}; # End of interface definition

Die Liste der installierten Rollen / Funktionen auf dem Domänencontroller:

[dc1]: PS C:\Users\Administrator\Documents> Get-WindowsFeature | where {$_.InstallState -eq "Installed"}

Display Name                                            Name                       Install State
------------                                            ----                       -------------
[X] Active Directory Domain Services                    AD-Domain-Services             Installed
[X] DNS Server                                          DNS                            Installed
[X] File And Storage Services                           FileAndStorage-Services        Installed
    [X] File and iSCSI Services                         File-Services                  Installed
        [X] File Server                                 FS-FileServer                  Installed
    [X] Storage Services                                Storage-Services               Installed
[X] .NET Framework 4.5 Features                         NET-Framework-45-Fea...        Installed
    [X] .NET Framework 4.5                              NET-Framework-45-Core          Installed
    [X] WCF Services                                    NET-WCF-Services45             Installed
        [X] TCP Port Sharing                            NET-WCF-TCP-PortShar...        Installed
[X] Group Policy Management                             GPMC                           Installed
[X] Remote Server Administration Tools                  RSAT                           Installed
    [X] Role Administration Tools                       RSAT-Role-Tools                Installed
        [X] AD DS and AD LDS Tools                      RSAT-AD-Tools                  Installed
            [X] Active Directory module for Windows ... RSAT-AD-PowerShell             Installed
[X] Windows PowerShell                                  PowerShellRoot                 Installed
    [X] Windows PowerShell 3.0                          PowerShell                     Installed
[X] WoW64 Support                                       WoW64-Support                  Installed

Die im Chat angeforderte IPv6-Konfiguration der Ethernet-Schnittstelle:

[dc1]: PS C:\Users\Administrator\Documents> netsh interface ipv6 show interface interface=Ethernet

Interface Ethernet Parameters
----------------------------------------------
IfLuid                             : ethernet_7
IfIndex                            : 12
State                              : connected
Metric                             : 10
Link MTU                           : 1500 bytes
Reachable Time                     : 33500 ms
Base Reachable Time                : 30000 ms
Retransmission Interval            : 1000 ms
DAD Transmits                      : 1
Site Prefix Length                 : 64
Site Id                            : 1
Forwarding                         : disabled
Advertising                        : disabled
Neighbor Discovery                 : enabled
Neighbor Unreachability Detection  : enabled
Router Discovery                   : enabled
Managed Address Configuration      : disabled
Other Stateful Configuration       : enabled
Weak Host Sends                    : disabled
Weak Host Receives                 : disabled
Use Automatic Metric               : enabled
Ignore Default Routes              : disabled
Advertised Router Lifetime         : 1800 seconds
Advertise Default Route            : disabled
Current Hop Limit                  : 64
Force ARPND Wake up patterns       : disabled
Directed MAC Wake up patterns      : disabled
ECN capability                     : application
Michael Hampton
quelle
Genial. RRAS wurde nicht irgendwie richtig installiert?
Shane Madden
@ ShaneMadden Get-WindowsFeaturesagt .. nein.
Michael Hampton
Das macht das noch verrückter. Warum um alles in der Welt?
Shane Madden

Antworten:

9

Obwohl ich immer noch nicht genau weiß, warum dies passiert ist (und Erklärungen begrüßen würde!), Scheint es jetzt behoben zu sein.


Ich ging die Netzwerkkonfiguration mit einem feinen Kamm durch und stellte zu meinem Leidwesen fest, dass das Standard-Gateway einen Tippfehler enthielt!

[dc1]: PS C:\Users\Administrator\Documents> Get-NetRoute -PolicyStore PersistentStore -AddressFamily IPv6

ifIndex DestinationPrefix                              NextHop                                  RouteMetric PolicyStore
------- -----------------                              -------                                  ----------- -----------
12      ::/0                                           2001:db8:116:bf::1                               256 Persiste...

Hoppla! 116:bfsollte sein 16:bf.

Also habe ich den Tippfehler behoben und zum großen Teil die ULA-Adresse von der Ethernet-Schnittstelle gelöscht, und voila, keine zusätzlichen RAs mehr, und mein Netzwerk ist wieder glücklich.

[dc1]: PS C:\Users\Administrator\Documents> Remove-NetRoute -NextHop 2001:db8:116:bf::1

Confirm
Are you sure you want to perform this action?
Performing operation "Remove" on Target "NetRoute -DestinationPrefix ::/0 -InterfaceIndex 12 -NextHop 2001:db8:116:bf::1 -Store Active"
[Y] Yes  [A] Yes to All  [N] No  [L] No to All  [?] Help (default is "Y"): y

Confirm
Are you sure you want to perform this action?
Performing operation "Remove" on Target "NetRoute -DestinationPrefix ::/0 -InterfaceIndex 12 -NextHop 2001:db8:116:bf::1 -Store Persistent"
[Y] Yes  [A] Yes to All  [N] No  [L] No to All  [?] Help (default is "Y"): y
[dc1]: PS C:\Users\Administrator\Documents> New-NetRoute -NextHop 2001:db8:16:bf::1 -DestinationPrefix ::/0 -InterfaceIndex 12

ifIndex DestinationPrefix                              NextHop                                  RouteMetric PolicyStore
------- -----------------                              -------                                  ----------- -----------
12      ::/0                                           2001:db8:16:bf::1                                256 ActiveStore
12      ::/0                                           2001:db8:16:bf::1                                256 Persiste...
[dc1]: PS C:\Users\Administrator\Documents> Remove-NetIPAddress -AddressFamily IPv6 -IPAddress fd4a:e7ab:34a5:0:807e:e44a:7ffc:ea90 -PrefixLength 64

Confirm
Are you sure you want to perform this action?
Performing operation "Remove" on Target "NetIPAddress -IPv6Address fd4a:e7ab:34a5:0:807e:e44a:7ffc:ea90 -InterfaceIndex 12 -Store Active"
[Y] Yes  [A] Yes to All  [N] No  [L] No to All  [?] Help (default is "Y"): y

Laut Wireshark gibt es keine weiteren Anzeichen von ULAs bei Anfragen von Nachbarn, Routerwerbung oder anderswo.

Michael Hampton
quelle
4

Ich kann nicht genau erklären, warum Ihr DC Routing-Werbung sendet, aber Sie könnten zumindest versuchen, diese für die betreffende Schnittstelle zu deaktivieren

netsh interface ipv6 set interface interface="Local Area Connection" advertise=disabled

Welches sollte die Standardeinstellung laut netsh-Hilfe sein und scheint auf andere Weise nicht viel Sinn zu machen, da Ihr DC vermutlich kein Router sein soll.

das-wabbit
quelle
netshhat mir gesagt Ok.und die router werbung kommt noch . Auch nach dem Neustart.
Michael Hampton