当提供程序无关的地址空间或ISP分配的静态前缀都不可用,并且委托前缀(通过DHCPv6)是唯一的选项…
configurationActive Directory和域控制器以支持IPv6的“最佳实践”是什么?
我从来没有收到答复,也找不到Intertubes上的其他内容,所以我想我会用我自己的设置/经验来回答这个问题。
ISP: Comcast with a delegated prefix via DHCPv6 Router: pfSense 2.3.3 路由器的WAN接口configuration为DHCPv6,前缀提示为/ 56。 (您的提示可能需要根据您的CPE和位置而有所不同。)
LAN接口设置为“跟踪”WAN接口。
您需要确保您的防火墙规则configuration为允许LAN接口上的IPv6通信。
pfSense上的DHCPv6服务器没有启用,我在networking上的其他任何地方也没有。
局域网接口上的路由器通告configuration为“非托pipe”,唯一填写的其他选项是“域search列表”。
在DNSparsing器上,我使用我的DC的内部IPv4地址为我的AD域configuration了域覆盖。
在我的内部DNS服务器上,我为分配给我的LAN接口的IPv6networking创build了一个反向区域。 (这是有效的,但是我必须留意它,以防前缀代表改变。)
所有这一切的最终结果…
Windows计算机根据来自路由器的RA分配自己的IPv6地址。 但是,由于Windows不支持RFC6106,因此只能从DHCPv4获取DNS地址。 在这种情况下,这实际上是一件好事,因为IPv6前缀不是静态的,并且可能会在没有通知的情况下更改,因此会更改DNS服务器的IPv6地址。
Windows计算机还会为其IPv6地址注册AAAA和PTRlogging。
当前缀改变时会发生什么?
没有太多,现有的连接继续使用“折旧”的前缀function,新的连接与新的前缀创build。
我想我打破了“最佳实践”,没有分配静态地址到我的DC / DNS服务器,但似乎工作得很好。 (会喜欢这个的一些input。)
当前缀改变时,我必须手动做的唯一事情就是在DNS中创build相应的反向查找区域。 (我应该写一个PS脚本来为我做。)
如果康卡斯特提供静态前缀,这将使事情变得更清洁。