nightcore
Goto Top

Windows AD und Stateless DHCPv6

Ich grüße euch,
ich konfiguriere gerade einen Windows Server 2022 mit Active Directory und habe Probleme im Zusammenspiel mit IPv6.

Mal kurz zur Netzwerkumgebung:
Ich habe vor Ort einen DSL-Anschluss von o2. Dabei wird mir eine öffentliche IPv4 Adresse sowie ein öffentliches 64iger IPv6 Subnetz dynamisch zugewiesen.
Der Knackpunkt: Ich habe hier momentan nur eine gottverdammte Fritte...

Mein Plan war also folgender:
DHCP sowie DNS komplett auf der Fritte zu deaktivieren und die Adressverteilung grundsätzlich vom AD durchzuführen und so auch den korrekten DNS-Suffix und co. zu verteilen. Ist auch bereits geschehen und funktioniert soweit.
Die Fritte habe ich dabei so konfiguriert, dass sie per RA das öffentliche IPv6 Suffix annonciert. Da dieses jedoch nicht statisch ist, war mein Plan auf ein ULA Präfix zu setzen für die Lokale Kommunikation.
Mein ULA Präfix ist somit aktuell fd3a:5e23:3665:1::/64

Da es bekanntlich Geräte gibt, die kein DHCPv6 können (Android als Beispiel) habe ich dieses ULA Präfix in der Fritte konfiguriert, damit sie mir auch dieses Präfix per RA an die Geräte übermittelt.
Damit die Geräte nun auch ihren IPv6 DNS-Server sowie den Korrekten DNS-Präfix erhalten, war mein Plan den DHCP Server meines ADs für dieses ULA Präfix zu konfigurieren und die Fritte das O Flag in den RAs setzen zu lassen, damit die Geräte ihren DNS-Server und DNS Suffix vom DHCPv6 Server beziehen, sofern sie dazu in der lage sind.

Das scheint soweit auch zu funktionieren. Ich bekomme es jedoch nicht hin den Windows DHCPv6 Server Stateless zu konfigurieren, sodass er eben keine IPs verteilt, sondern nur die zusätzlichen DHCP options.

Es scheint mir so als könne der DHCPv6 Server von Windows so etwas nicht? Es ist absolut nichts im DHCP Manager diesbezüglich zu finden. Das Einzige, was ich finden konnte, war der PS Befehl "Set-DhcpServerv6StatelessStore". Das brachte mich bis dato aber auch noch nicht ans Ziel.

Als Ergebnis haben meine Windows Maschinen 3 IPv6 Adressen. Die per SLAAC konfigurierte GLA, die per SLAAC konfigurierte ULA und dann noch die per DHCPv6 verteilte ULA.

Wie bekomme ich nun den Windows DHCPv6 Server dazu, das Verteilen der IPv6 Adressen zu unterlassen?

Content-Key: 33415894730

Url: https://administrator.de/contentid/33415894730

Printed on: July 16, 2024 at 14:07 o'clock

Member: mbehrens
mbehrens Jul 06, 2024 at 20:59:26 (UTC)
Goto Top
Zitat von @nightcore:

Wie bekomme ich nun den Windows DHCPv6 Server dazu, das Verteilen der IPv6 Adressen zu unterlassen?

Einfach keine IPv6 Netzbereiche verteilen (nicht definieren)?
Member: nightcore
nightcore Jul 06, 2024, updated at Jul 07, 2024 at 01:20:11 (UTC)
Goto Top
Hört sich logisch an. Versucht habe ich das natürlich bereits. Sofern ich jedoch keinen IPv6 Scope hinterlege, antwortet der DHCPv6 Server auch auf keinerlei information-requests mehr. Zudem ich die DHCP options 23 sowie 24 dann auch nirgends hinterlegen kann. Ich habe auch bereits das gesamte IPv6 Subnetz für die Vergabe in die Ausschlussliste hinzugefügt. Auch das führt dazu, dass der DHCPv6 Server gar nichts mehr tut. Oder übersehe ich etwas?

EDIT: Ich muss mich korrigieren. Auf information-requests (sofern sie den mal gesendet werden) wird offenbar doch geantwortet. Der Windows 10 Client will die ULA Adresse des Windows Servers aber schlicht nicht als DNS-Server setzen, sofern er keine Adresse per DHCPv6 bekommt. Zudem sendet der Client ewig lang Solicits. Ein "ipconfig /renew6 Ethernet" führt dann irgendwann nach Ewigkeiten zu einem Timeout. (Das Zeitlimit für die Semaphore wurde erreicht.) Ich habe nun nochmals die RAs der Fritte überprüft. Sie setzt wie konfiguriert nur das Flag O.

EDIT2: Da nun zwischenzeitlich nach mehrfachen deaktivieren und reaktivieren von IPv6 eines der Windows Clients plötzlich den DNS-Server korrekt setzte, bin ich weiter auf Suche gegangen. Im Eventlog des Windows Clients bin ich auf etwas Merkwürdiges gestoßen. Bei jeden deaktivieren und reaktivieren von IPv6 am Client tauchen 2 Events unter "Microsoft-Windows-DHCPv6 Client Events/Admin" auf.
Es handelt sich um die folgende:
Die Routerankündigungseinstellungen wurden für den Netzwerkadapter 15 geändert. Das aktuelle Kennzeichen "M - Verwaltete Adresskonfiguration" ist true, und das Kennzeichen "O - Andere statusbehaftete Konfiguration" ist true.   
Dabei wechselt laut Event der M flag immer jeweils 2-mal zwischen true und false hin und her. Das erklärt nun auch meine Probleme mit der Stateless Konfiguration des DHCPv6 Servers. Sofern der zuletzt generierte Event anzeigt, dass der M flag false sei, setzt der Windows Client auch seinen DNS-Server wie er es soll.

Jetzt stellt sich mir logischerweise die frage, wo der angebliche RA mit gesetzten O UND M flag herkommt. Laut mitschnitt, wird immer nur 1 einziges RA von der Fritte gesendet. Dort ist auch lediglich immer nur das O Flag gesetzt. Es gibt kein weiteres RA. Wieso habe ich also ein flapping des M flags?!
Member: aqui
aqui Jul 07, 2024 at 09:03:15 (UTC)
Goto Top
wo der angebliche RA mit gesetzten O UND M flag herkommt.
Wäre es dann nicht für einen Administrator das Naheliegenste einmal den Wireshark zu starten und ganz einfach einmal nachzusehen?! Damit liesse sich doch im Handumdrehen klären wo das Problem liegt und WO dieser RA herkommt.
Member: nightcore
nightcore Jul 07, 2024 at 10:02:21 (UTC)
Goto Top
Oh ja Sorry, ich bin davon ausgegangen, dass ich mit dem Text "Laut mitschnitt, wird immer nur 1 einziges RA von der Fritte gesendet" ziemlich deutlich aussage, dass ich per Wireshark bereits unterwegs bin... Dennoch danke für den Tipp.