Zum Inhalt wechseln


Foto

IPv6 in Domäne aktivieren?


  • Bitte melde dich an um zu Antworten
12 Antworten in diesem Thema

#1 Ryder

Ryder

    Newbie

  • 59 Beiträge

 

Geschrieben 30. März 2017 - 09:26

Hi,

 

ich hab ne kurze Frage zwecks IPv6.

Sollte es auf Domänencontrollern aktiviert sein, auch wenn es in der Domäne nicht genutzt wird? Ich kann mich Dunkel daran erinnern etwas in dem Zusammenhang gelesen zu haben, bekomme es aber nicht mehr zusammen.

Warum die Frage? Ich habe grade gesehen das sich mein WSUS bei sich selbst mit ::1 meldet, was ja 127.0.01 in v6 bedeutet. 

Kann es da zu Problemen kommen, oder ist es egal?

 

liebe Grüße,

 

Hendrik



#2 Nobbyaushb

Nobbyaushb

    Board Veteran

  • 2.630 Beiträge

 

Geschrieben 30. März 2017 - 09:35

Moin,

 

wenn du Exchange hast, sollte IPv6 aktiv sein, auch auf den DC´s

 

Lieber Stateless-Mode als gar nicht.

 

Sehen viele anders, ich habe überall IPv6 an, meist Stateless, teilweise eigene LAN, teilweise öffentliche v6

 

;)


Mfg aus Bremen

 

Norbert (der andere :))

MVP Exchange Server


#3 DocData

DocData

    Board Veteran

  • 1.273 Beiträge

 

Geschrieben 30. März 2017 - 09:43

Ja, IPv6 anmachen. Das ist kein Teufelszeug.


Ein Wrack ist kein Ort, an dem ein Schatz schlummert...


#4 NilsK

NilsK

    Expert Member

  • 12.334 Beiträge

 

Geschrieben 30. März 2017 - 09:46   Lösung

Moin,

 

es gilt die dringende Empfehlung, IPv6 aktiv zu belassen. Die Autokonfiguration sorgt dafür, dass es im eigenen Netzwerk (normalerweise) problemlos funktioniert.

Microsoft testet schon seit vielen Jahren nicht mehr ohne IPv6, daher kann es bei Abschalten zu seltsamen Problemen kommen, die Microsoft dann auch nur eingeschränkt unterstützt.

 

Ausnahmen sollte man nur machen, wenn es wirklich angezeigt und begründet ist.

 

Wichtig aber: Spätestens wenn der Provider IPv6 bereitstellt, muss ein Gesamtkonzept für IPv6 her. Da das aber (bei Firmen) nicht einfach so geschieht, kann man das i.d.R. dann in Ruhe planen. Bis dahin: Don't touch, don't switch off.

 

Gruß, Nils


Nils Kaczenski

MVP Cloud and Datacenter Management
... der beste Schritt zur Problemlösung: Anforderungen definieren!

Kostenlosen Support gibt es nur im Forum, nicht privat!


#5 Ryder

Ryder

    Newbie

  • 59 Beiträge

 

Geschrieben 30. März 2017 - 10:56

Vielen Dank euch allen :)



#6 zahni

zahni

    Expert Member

  • 16.390 Beiträge

 

Geschrieben 30. März 2017 - 11:49

Was man bei Drittanbieter-Lösungen aber beachten sollte: Ich hatte  hin- und wieder mal Software, die ich partout nicht an das IPv4-Interface binden wollte, wenn IPv6 aktiv ist.

Java in div. Versionen ist do ein Kandidat. Java muss man teilweise mit "-Djava.net.preferIPv4Stack=true" starten.

Auch stellen Server mit aktiven IPv6 teilweise überflüssige Tunnel-Verbindungen zu IPv4 Geräten her. K.a., wieso. Sieht man dann an merkwürdigen Remote-Adressen.


Wen du nicht mit Können beeindrucken kannst, den verwirre mit Schwachsinn!


#7 NilsK

NilsK

    Expert Member

  • 12.334 Beiträge

 

Geschrieben 30. März 2017 - 11:54

Moin,

 

wenn man rangehen will: Als Best Practice gilt, im Unternehmen die IPv6-Tunneltechniken abzuschalten, weil man die in aller Regel nicht haben will. Ausnahme ist DirectAccess.

 

Gruß, Nils


Nils Kaczenski

MVP Cloud and Datacenter Management
... der beste Schritt zur Problemlösung: Anforderungen definieren!

Kostenlosen Support gibt es nur im Forum, nicht privat!


#8 Doso

Doso

    Board Veteran

  • 2.459 Beiträge

 

Geschrieben 30. März 2017 - 13:22

Bei uns kam man mal auf die Idee IPV6 zu deaktivieren weil "Netzwerkprobleme". Das hat natürlich nicht so wirklich geholfen, aber mich einige Jahre später Tage gekostet weil es dann Merkwürdigkeiten bei DNS und Namensauflösung gab.

 

Auch ich rate daher davon ab IPv6 ohne Not zu deaktivieren. Lass es einfach an.


Bearbeitet von Doso, 30. März 2017 - 13:23.


#9 Ryder

Ryder

    Newbie

  • 59 Beiträge

 

Geschrieben 30. März 2017 - 13:32

Hey Nils,

 

wo kann ich denn die Tunneltechniken deaktivieren? Einfach an den Adaptern? auf allen Servern & Clients, also dann per GPO?



#10 blub

blub

    Moderator

  • 7.605 Beiträge

 

Geschrieben 30. März 2017 - 13:42

Zumindest Kapitel 7 und 8 sollte man sich ansehen.

 

https://www.sans.org...k-defense-33904


Ein Kluger bemerkt alles, Ein Dummer macht über alles eine Bemerkung. (Heinrich Heine)


#11 NilsK

NilsK

    Expert Member

  • 12.334 Beiträge

 

Geschrieben 30. März 2017 - 13:59

Moin,

 

das kann man sich, wenn man viel Zeit hat, sicher ansehen. Aber mit welchem Ziel? Das solltest du vielleicht dazu sagen.

Für den Einstieg würde ich eher das Buch von Edward Horley empfehlen - das ist auch englisch, aber praxisnah. Es geht hier ja nicht um die Anatomie möglicher Angriffe, sondern um praktische Fragen.

 

Solange es keine Provider-Anbindung per IPv6 gibt, stellt das Protokoll keinen Einfallsweg dar. Die Tunneltechniken (6to4, ISATAP und Teredo) sollte man abschalten, was per GPO, PowerShell oder netsh geht.

 

Gruß, Nils


Nils Kaczenski

MVP Cloud and Datacenter Management
... der beste Schritt zur Problemlösung: Anforderungen definieren!

Kostenlosen Support gibt es nur im Forum, nicht privat!


#12 blub

blub

    Moderator

  • 7.605 Beiträge

 

Geschrieben 30. März 2017 - 14:18

Sag mal Nils, soll ich mir jeden Beitrag vorher von dir genehmigen lassen? Was bildest du dir eigentlich ein? :shock:  :shock:  :shock: Jedesmal geht das so!


Ein Kluger bemerkt alles, Ein Dummer macht über alles eine Bemerkung. (Heinrich Heine)


#13 NilsK

NilsK

    Expert Member

  • 12.334 Beiträge

 

Geschrieben 30. März 2017 - 14:20

(entfernt)


Bearbeitet von NilsK, 30. März 2017 - 14:31.

Nils Kaczenski

MVP Cloud and Datacenter Management
... der beste Schritt zur Problemlösung: Anforderungen definieren!

Kostenlosen Support gibt es nur im Forum, nicht privat!