ComputerBase Menü
Aktuelles

IPv6 und Active Directory

D

Domi83

Rear Admiral
Registriert
Feb. 2010
Beiträge
5.306
Hallo Leute, ich hätte da mal eine kleine aber spezielle Frage...
Wir haben bei uns einen Windows Server 2012 R2 Essentials, dort habe ich gestern einen Windows 10 Client dran angemeldet.

Das hat auf den ersten Ruck gleich geklappt, hatte dann aber sofort Probleme gemacht. Richtlinien konnten nicht abgefragt werden, Verbindung zum Server ging nicht richtig etc. also zum testen mal IPv6 deaktiviert, System neu gestartet und siehe da, alles klappt perfekt. Windows erkennt das Netzwerk als "Domänen-Netzwerk", die GPO können abgerufen werden, Netzlaufwerke werden eingebunden und Zugriff klappt auch.

IPv6 wieder aktiviert und zack, fragt Windows "Privates oder öffentliches Netz?", was schon mal sehr doof ist. Nun könnte man via GPO ja IPv6 deaktiviere, möchte ich aber nicht zwingend. Parallel dazu habe ich noch Freunde gefragt die ebenfalls IT Admins in mittelständischen und großen Unternehmen sind (ich bin ja nur in einem kleinen Unternehmen und alleine als IT'ler), auch dort wird bevorzugt auf IPv6 verzichtet.

Das Netz ist nun grob wie folgt aufgebaut...
  • 10.30.0.254 (be.IP Plus, Gateway, sekundärer DNS und DHCP Server)
  • 10.30.0.1 (Windows Server mit Freigaben und AD, primärer DNS)
  • 10.30.0.x (die ganzen Clients etc.)

der be.IP Plus Router soll DHCP Server und sekundärer DNS bleiben, da das Internet eine höhere Priorität als der Server hat. Falls also mal der Server ausfällt, können alle Clients immer noch eine IP bekommen und ins Internet gehen um weiterarbeiten zu können.

Jetzt ist nur die Frage, gibt es eine Option / Lösung das ganze inkl. aktiviertem IPv6 ordentlich lauffähig zu bringen, ohne dass der Server den DHCP Server macht?

Durch ein wenig Suchen haben schon andere Leute z.B. im MCSE Forum gefragt, wie man via GPO IPv6 deaktivieren kann, weil es da wohl auch Probleme gibt, aber das kann ja nicht des Rätsels Lösung sein.

Gruß, Domi
 
Okay, wäre eine Option... aber es kann doch nicht daran liegen das der Router den DHCP Server macht. Es gibt ja auch andere Unternehmen, wo die Windows Server kein DHCP machen und es dennoch funktioniert.

Ich vermute eher, dass es ein DNS Problem ist... nur wäre die nächste Frage, wie man das umgehen / beheben kann?! Es muss doch irgendwie machbar sein, IPv4 und IPv6 laufen zu lassen, so dass Windows erkennt das es ein Domänen-Netzwerk ist.

Die Vermutung liegt ja Nahe, dass es an der vom ISP verteilten IPv6 an die Clients liegt... Somit müsste ich selbst die IPv6 hausintern vergeben und sagen, dass der Windows Server auch IPv6 DNS wäre. Lasse mich da aber gerne eines besseren belehren.
 
Was für eine IPv6 holen sich die Clients denn?
Oder sind es nur FE80 Adressen?

Bei uns laufen Win10 Clients mit aktivem IPv6 in einer 2012R2 Domäne.
 
Domi83 schrieb:
Die Vermutung liegt ja Nahe, dass es an der vom ISP verteilten IPv6 an die Clients liegt...
Zum Vergrößern anklicken....
Das dürfte das Problem sein.
Kannst du im be.IP eigene IPv6-DNS-Server für das interne Netz eintragen? Falls ja und nur ein Subnetz vorhanden ist, kannst du dort mal die Link-Local-IPv6-Adresse (beginnt mit fe80::) des DC eintragen.

Domi83 schrieb:
der be.IP Plus Router soll DHCP Server und sekundärer DNS bleiben, da das Internet eine höhere Priorität als der Server hat.
Zum Vergrößern anklicken....
Hat der Router auch eine Kopie der AD-DNS-Zone? Wenn nicht sollte er bei AD-Clients auch nicht als DNS konfiguriert sein.
 
Domi83 schrieb:
Die Vermutung liegt ja Nahe, dass es an der vom ISP verteilten IPv6 an die Clients liegt
Zum Vergrößern anklicken....

Klar, wenn die von dem 2001er Adressen bekommen und die Clients sollen Namen auflösen, die jedoch zur Domäne gehören, und die aber den ISP fragen scheitert es.
Da müsstest was eigenes mit lokalen FC00-FDFF Adressen bauen.
 
@Domi83 es geht nicht, dass zwei DNS Server da sind, wo nur einer Teil der Domäne ist,
bitte auf dem AD DNS Server das Fotwarding zum ISP DNS/GW eintragen, und den des ISP aus dem DHCP raus.
Der DHCP sollte auf dem Windows Server liegen

Den Fehler hab ich schon so oft gesehen, nur weil Admins meinten DNS macht sauberes Primary und Backup

die ganzen Root DNS Server müssen ebenfalls raus und nur der ISP DNS/GW auf dem MS Server rein
 
Zuletzt bearbeitet:
Der eine oder andere Wink mit dem Zaunpfahl war gut... Ja, der primäre DNS ist der Windows Server, der sekundäre ist der be.IP Router und der kennt ja die AD-Zone nicht.
-> Einstellungen des be.IP
--> Lokale Dienste
---> DNS -> Domänenweiterleigung, "*.domain.local" mit der IP des Servers eintragen

und siehe da, es klappt auf Anhieb. Die Windows 7 Clients haben da noch nie Probleme mit gehabt, nur der Windows 10 Client fand das wohl nicht ganz so lustig. Aber um die eine oder andere Frage zu der IPv6 zu beantworten,
  • IPv6 Adresse: 2003:a:xxxx
  • Temporär IPv6: 2003:a:xxxx
  • Verbindungslokale: fe80::xxx
  • IPv6 Gateway: fe80::209:xxxx
  • IPv6 DNS: fe80::209:xxxx

zumindest scheint es jetzt zu laufen und sollte der Server mal ausfallen, können die Clients weiterhin eine IP beziehen und durch den sekundären DNS sollten alle Mitarbeiter (sind ja nur ein paar) weiterhin im Internet arbeiten können :)

Gulp schrieb:
Anstatt IPv6 auszuschalten, nimmt man besser die entsprechenden FixIt von Microsoft zum Bevorzugen von IPv4 vor IPv6:
Zum Vergrößern anklicken....
Wie ja bereits oben erwähnt, ausschalten wollte ich es eigentlich auch nicht :) Aber an so etwas wie "Prefer IPv4 over IPv6" hatte ich auch gedacht, wusste nur nicht wie ich so etwas suchen sollte oder ob es das überhaupt gibt :D
 
SOlltest dir in dem Ganzen Zusammenhang mal den Bereich " Server Härten" anschauen.
Da werden auch viele Themen erklärt und gezeigt warum das Sinnvoller und Sicherer ist.

Viel Spaß und nicht zuviel von Murphy ärgern lassen :p
 
Du meinst "sinnvoller und sicherer" in Verbindung mit "IPv6 aktiviert zu lassen", oder wie? Bin jetzt gerade etwas verwirrt... Meine IT Ausbildung war vor 2009, da hatten wir zwar schon IPv6 angeschnitten, aber das war es dann schon :D
 
Ich würde sagen schau dir mal die Doku zu den Bintec Geräten an, das Präfix durchreichen von IPv6 lässt sich auch deaktivieren damit deine Clients nicht direkt eine vom Provider bekommen und damit auch die IPv4 Firewall umgehen. Auf den Clients sollte man IPv6 grundsätzlich eher nicht deaktivieren, gerade aktuelle Microsoft Server Software baut intern viel darauf.

Die Domainweiterleitung in den Geräten ist Top denn damit lässt sich auch bei verschiedenen Domänen über IPSec Verbindung das DNS Routing vernünftig lösen.
 
@Domi83
Ne nicht in dem Punkt Speziell, im Allgemeinen was die Server angeht. Da du ja jetzt ein "Komisches" Kompliziertes konstrukt gebaut hast.
 
Du könntest der Domäne zuliebe natürlich den Bintec DHCP auch den DNS deines Servers verteilen lassen, wenn dieser die Stammhinweise geladen hat kommen die darüber auch ins Internet. Den Sekundären setzt du dann entweder auf den Bintec oder eben direkt irgendeinen im Web verfügbaren DNS.

Wenn ichs richtig verstanden habe machst du es gerade genau anders herum weshalb du auch die Domain Weiterleitung benötigst damit die Domaindaten auch über den Bintec DNS gefunden werden. Das hat aber einen Haken: wenn du mal eine Zone in deinem Windows Server DNS anlegst weiß der Bintec davon erst einmal nichts und die Clients finden diese nicht -> du musst dann alles doppelt pflegen, einmal im Bintec und im Windows Server DNS.

Der Bintec DHCP erlaubt es dir weit mehr als 2 DNS Server per DHCP zu verteilen, wenn`s dir also nur um die DNS Ausfallsicherheit geht mach es am besten so:

DNS Verteilung DHCP:
1.Windows Server DNS Server
2.Bintec DNS Server
3.externer DNS Server z.b. 1.1.1.1 Cloudflare oder ähnliches

Die Domänenweiterleitung kannst du trotzdem drin lassen und würde ich auch empfehlen. Wenn dir dein Windows Server abschmiert würde er den Bintec DNS nutzen (welcher die Provider DNS nutzt) antwortet dieser auf DNS Anfragen auch nicht mehr würde der Client direkt einen externen DNS abfragen.

In einer Active Directory sollen die Clients eigentlich immer den Server DNS direkt nutzen, den Router dazwischen zu schalten macht man einfach nicht :D.
 
Zuletzt bearbeitet:
holdes schrieb:
In einer Active Directory sollen die Clients eigentlich immer den Server DNS direkt nutzen
Zum Vergrößern anklicken....
Habe ich ja (primärer DNS)... Wie gesagt, mit IPv4 funktioniert es, sobald IPv6 dazu kommt, macht der Windows 10 Client (aber auch nur der Windows 10 Client) zicken. Die Windows 7 Systeme funktionieren Problemlos.

Bezüglich den Zonen, es wird keine weitere Zone bei uns im Server geben... es gibt nur die eine, und das ist die Domäne, "bla.local" und fertig ist :)

Es geht mir im allgemeinen nicht um die "DNS Ausfallsicherheit", sondern es geht mir um die Ausfallsicherheit des Internets. Wenn ich nur einen DNS (den Windows Server) eintrage und via DHCP vergeben lasse, der Server mal abschmiert oder neu startet etc., geht das Internet nicht weil der einzige DNS den die Clients kennen, nicht mehr da ist. Einen dritten DNS könnt man hinterlegen, aber da sehe ich auch keinen Vorteil. Wenn Position zwei (der Router mit DNS) abschmiert, ist das Internet sowieso weg... weil dieser der Standard Gateway ist :D

Darum reichen zwei DNS Server (behaupte ich jetzt mal) vollkommen aus. So komisch oder kompliziert ist das Verfahren an sich auch gar nicht...
  • 10.x.x.1 = Server (AD Server und primärer DNS, je nach Router auch mal DHCP Server)
  • 10.x.x.254 = Router (je nach Gerät, DHCP Server und sekundärer DNS)
  • 10.x.x.x = alles andere

Wenn der Server zufällig ein Linux Server ist, ist das Teil meist sogar DHCP Server, da ich aber die DHCP Server Konfiguration von Windows Server Systemen absolut grottig finde (ist eine subjektive Geschmackssache), lasse ich (wenn möglich) den Router gerne den DHCP Server spielen :)

Natürlich könnte man alles zentral über einen Server laufen lassen, auch wenn es ein Windows System ist (hab das bei einem Kunden auch schon mal gemacht), wo dann PDC, DNS sowie DHCP drauf laufen. Doof war nur, dass der Server ausgefallen war, der eine oder andere Client kein Internet mehr hatte und andere Clients keine IP bekamen. Das war dann schon etwas doof.

Aber ich denke mal, diese Variante ist die von euch bevorzuge Variante... Server macht PDC, DNS und DHCP. Und da fällt mir direkt beim schreiben ein, dass ich auch in der Konstellation beim aktivieren von IPv6 bei einem anderen Kunden das Problem hatte, dass die Windows Clients (in diesem Fall sogar mal Windows 7 Systeme) verworfen hatten, ob es ein privates, öffentliches oder Arbeitsplatz Netzwerk ist.

Gruß, Domi

p.s. Ah eins noch... im Bezug auf DHCP... die Clients haben alle eine MAC gebundene statische IP vom DHCP zugewiesen. Ist also nicht so, dass ich die IPs wahllos verteile :D

Nachtrag: Den Post hab ich sogar eben erst gesehen, nachdem ich gepostet habe...
holdes schrieb:
Ich würde sagen schau dir mal die Doku zu den Bintec Geräten an, das Präfix durchreichen von IPv6 lässt sich auch deaktivieren damit deine Clients nicht direkt eine vom Provider bekommen und damit auch die IPv4 Firewall umgehen.
Zum Vergrößern anklicken....
Das finde ich generell (für Firma und Privat) immer etwas speziell. Kann natürlich Vorteile haben (Stichwort NAT), aber ich habe (wie du erwähnt hattest) lieber einen Router mit Paketfilter / Firewall dazwischen. An sich wäre es toll, wenn IPv6 auch so "relativ" simple wäre die IPv4... man gibt dem Router eine IPv6, den Clients gibt man eine IPv6 + Gateway + DNS und fertig ist... erscheint mir aber aktuell noch als Mysterium.
 
Bist du dir mit den Zonen sicher? Thema Split DNS wenn mal ein Exchange dazu kommt und schon hast du die nächste, eine weitere Zone ist nicht zwingend eine neue AD Domäne.

Das du nur einen DNS Server eintragen sollst sagt ja niemand, eben nur als ersten den Windows und als zweiten den Bintec, soweit auch korrekt wenn das bei dir der Fall ist und in diesem Fall ist es nur DNS Ausfallsicherheit denn du hast durch einen einzigen Router/WAN ja trotzdem einen SIngle Point of Failure ;).

Der DHCP soll ja auch weiter im Router laufen, ist auch völlig in Ordnung, nur schau da im Router entsprechend nach, du kannst auch einfach IPv6 auf WAN Seite deaktivieren dann bekommen die Clients definitiv keine IPs mehr aus Providerseite.
 
Juhu, oder Nabend :)

Joa, alles soweit ganz easy... bezüglich den zusätzlichen DNS Zonen, kann ich bei unserem Unternehmen (Hauptberuf) und einer grob 13 Jährigen Angehörigkeit sagen, dass da nichts mehr kommt. Sonst stimme ich dir da zu, man müsste es immer doppelt verwalten.

Rein von der Theorie her, müsste ich am Server sowohl DHCP und DHCPv6 aktivieren und den Clients dann die IPv4 sowie die IPv6 DNS Adresse des Servers mitteilen, damit das am Ende mit den Zonen passt. Da ich noch eine Rückmeldung eines Kunden warte (Nebengewerbe), der einen neuen Server bekommen soll, wäre er sogar ein Fall der einen Windows Server bekommt, auf dem DNS + DHCP laufen würde, da sein Router (so ein Zyxel Teil der Telekom) eine doofe Oberfläche hat :D

Was den "Single Point of Failure" angeht, wenn der be.IP Plus bei uns komplett ausfällt, wäre doof... aber dann würde ich unsere alte 7490 übergangsweise dran klemmen um weitermachen zu können und dank der guten Anleitungen etc. die man so im Netz findet, darf der WAN Port ausfallen, da ich Anfang des Jahres eine LTE Rückfall-Option eingebunden habe. Das kann man bestimmt auch noch weiter ausbauen, verbessern etc. aber so könnten wir erst einmal einen oder sogar zwei Arbeitstage locker überbrücken, denke ich :)

Zurück zu der allgemeinen Thematik, wie ist das denn bei dir (oder euch) hinterlegt? Da wird es ja auch einen Router (Lancom, be.IP Plus, Digibox, FritzBox etc.) sowie einen Server (Windows oder Linux) geben. Ist dort an den Clients ganz simple eine IP (statisch oder via DHCP) sowie der Gateway hinterlegt und als DNS "nur" der Server eingetragen, mehr nicht? Frage wäre dann noch, was habt ihr im IPv6 Netz eingetragen?

Vielleicht spiele ich das am Wochenende auch mal mit einer virtuellen Maschine (Windows Server + Client) durch um zu gucken was passiert. Wie gesagt, IPv6 habe ich noch nicht so groß verfolgt... ich hab es aktiviert, eine IP bekommen die dank der HEX Werte kryptisch ist, geschaut ob es klappt (unter Linux mit ping6) und fertig ist. Meinen Domains habe ich im DNS auch nur einen AAAA Record mit der IPv6 gegeben die ich vom Provider zugewiesen bekommen habe und fertig ist :D
 
Domi83 schrieb:
Rein von der Theorie her, müsste ich am Server sowohl DHCP und DHCPv6 aktivieren und den Clients dann die IPv4 sowie die IPv6 DNS Adresse des Servers mitteilen, damit das am Ende mit den Zonen passt.
Zum Vergrößern anklicken....
DHCP muss nicht zwingend auf den DC. Hat zwar ein paar Annehmlichkeiten (z. B. sichere dynamische DNS-Updates), braucht man aber nicht unbedingt.

Domi83 schrieb:
Zurück zu der allgemeinen Thematik, wie ist das denn bei dir (oder euch) hinterlegt? Da wird es ja auch einen Router (Lancom, be.IP Plus, Digibox, FritzBox etc.) sowie einen Server (Windows oder Linux) geben. Ist dort an den Clients ganz simple eine IP (statisch oder via DHCP) sowie der Gateway hinterlegt und als DNS "nur" der Server eingetragen, mehr nicht? Frage wäre dann noch, was habt ihr im IPv6 Netz eingetragen?
Zum Vergrößern anklicken....
DNS-Server verhalten sich bei IPv6 nicht anders als bei IPv4.
Wenn du für IPv4 DC als primär und Router als sekundär hast, solltes du das für IPv6 genauso konfigurieren. Wie das geht steht im Handbuch vom Router.
Bei nur einem Subnetz kann man die Link-Local-Adressen verwenden. Primär die vom DC, Sekundär die vom Router (entspricht dem IPv6-Gateway).
 
Ich denke, ich schaue gleich mal ob es ein paar sinnige Videos bei Youtube zum Thema IPv6 gibt. Ich wüsste ja jetzt nicht mal wie sie anfangen sollte, damit es auch klappt und alle Geräte damit arbeiten können :) Ich kann ja nicht stumpf 'ffff:aaaa:1234::1' aus dem Ärmel schütteln und mich dann freuen :D

Dann bis der Basis starten (IPv6 + Gateway + ein DNS) und dann weiter schauen. Anschließend kann ich mich dann auch mit den Settings vom be.IP Plus befassen, da ich (hoffe ich) dann den Aufbau der IP etwas besser verstanden habe.

Man könnte nun auch zig Seiten durchlesen, aber das ist mit einer Lese- Rechtschreibschwäche manchmal etwas knifflig und ich brauche Bezug zur Praxis mit Beispielen. Aber schon mal vielen Dank für die Tipps, Ideen und Ansätze :)
 
Oder du lässt das Interne v6 DHCP einfach weg, dein Provider tunnelt so oder so deine v4 Pakete in v6 wenn’s mal eine Anfrage an eine solche gibt.
(spart die v6 Firewall)


Ich such dir das am Montag ggfs. mal raus, ich hab 2x bintec RXL12500 dran mit virtuellen Bintec Routern (BRRP) drunter und jeweils 2 Netzteilen ;).
 
Zuletzt bearbeitet:
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

J
Active Directory in LDAP integrieren
Antworten
5
Aufrufe
422
Skysnake
S
dj-hotline
Active Directory - Security Tipps
Antworten
18
Aufrufe
797
dj-hotline
dj-hotline
K
DNS Server bei Active Directory zeigt immer auf Router
Antworten
10
Aufrufe
2.576
Renegade334
R
E
Mac OS Ventura kein MS Active Directory beitritt möglich
Antworten
7
Aufrufe
1.394
Innensechskant
I
Unbrained
Software(?) zum erstellen von Google, Active Directory, 1Password und 3CX Accounts
Antworten
6
Aufrufe
2.001
crashbandicot
crashbandicot
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz