Jump to content

Windows Server und IPv6 - Gründe


Recommended Posts

Hallo zusammen,

 

ich habe hinterfragt, warum wir IPv6 deaktivieren. Dann kam, weil wir es nicht nutzen, die Server untereinander dann sprechen und am Ende kam Multicast Problem im geswitchen Netzwerk.

Was ich weiß, Microsoft empfiehlt es und hier gab es kurz eine Diskussion dazu: IPV6 per GPO deaktivieren - Active Directory Forum - MCSEboard.de

 

Könnte mir einer noch mal Quellen oder Tipps geben, warum IPv6 aktiv zu haben gut ist, bzw. was wir dann falsch gemacht haben, durch den Multicast "ansturm".

 

Würde es gerne einfach wirklich begreifen und dann vielleicht noch mal klären.

Danke Euch.

Grüße

Link to post

IPv6 wird meiner Meinung nach von Technikern deaktiviert die auf dem Feld nicht so fit sind und damit denken, dass sie damit potentielle Fehlerquellen ausschließen.

 

Nils hatte in seiner Antwort damals folgendes verlinkt, dass auch heute noch gilt: // DFS Referrals and IPv6: Outta site! - Microsoft Tech Community

Zitat

It’s a common misconception that unchecking IPv6 disables the protocol when in fact all it does is introduce transient errors. Windows Vista and later operating systems heavily rely upon IPv6 for internal operation, which means the protocol cannot be disabled or uninstalled entirely. Unchecking IPv6 on the adapter settings only unbinds the protocol from the NIC and the OS can still attempt to send remote traffic to the NIC where it never hits the wire.

 

Das sollte Argumentation genug sein :-)

Edited by MurdocX
  • Like 1
Link to post

Obwohl MurdocX grundsätzlich Recht hat - insbesondere auch wegen dem Mangel an Know-How - gibt es wenig sinnvolle Argumente für IPv6 UND Ipv4 in einem internen Netz. Für den Umsetzungsdienst Teredo schon gar nicht. Da man intern selten einen Mangel an IPv4 Adressen haben dürfte, gibt es eigentlich auch keinen Grund zwei Infrastrukturen zu pflegen. Insbesondere Firewall-Technisch ist das mühsam, da gibt eine doch schon genug zu tun.

 

Windows kann aktuell immer noch beides. Dürfte auch noch lange so bleiben, weil einfach viel zu viele reine IPv4 Geräte unterwegs sind. Insbesondere in der Industrie. IPv4 wird also dringend gebraucht. Aber wozu beides pflegen? Wozu intern überhaupt IPv6 wenn IPv4 insgesamt pflegeleichter und weniger komplex ist? Ich persönlich sehe das nicht ein. Gibt mehr Arbeit, mehr Fehlerpotential und ist mühsamer in der Fehlersuche und mehr tippseln muss ich meistens auch. Zumal es eine gewisse Tendenz zum Wildwuchs mit zusätzlichen IPs auf Adaptern zu geben scheint.

 

Ausser man "soll" und es ist die Zukunft, konnte mir auf alle Fälle noch niemand stichhaltige Gründe nennen warum ich mir tatsächlich den Mehraufwand mit IPv6 antun sollte. Sobald Cloud-Services von MS genutzt werden, könnte das unter Umständen notwendig werden. Sofern eben die Umsetzung z.Bsp. via Router nicht genügt.  =)

 

Aber eben, jeder hat da seine eigene Sichtweise drauf. Manchmal ist das alte für manche einfach gut genug und man schlägt sich erst damit rum wenn es eben notwendig wird. :smile2:

 

Aber: Die Deaktivierung muss auch "durchgängig" sein. Registry-Deaktivierung, Netzadapter-Protokoll Deaktivierung, Loopbackkonfiguration, IPv4 Priorisierung, evtl. aktiv IPv6 in Firewall blocken, evtl. Subdienst IPv6 deaktivieren usw. Ansonsten gibt es sehr schnell Performance-Probleme oder es tut nix mehr.

  • Like 1
Link to post

Hallo,

 

die Aussage von Microsoft dazu ist hier recht klar:

https://docs.microsoft.com/en-US/troubleshoot/windows-server/networking/configure-ipv6-in-windows

 

Zitat

Internet Protocol version 6 (IPv6) is a mandatory part of Windows Vista and Windows Server 2008 and newer versions. We do not recommend that you disable IPv6 or its components. If you do, some Windows components may not function.

 

We recommend using Prefer IPv4 over IPv6 in prefix policies instead of disabling IPV6.


Die Begründung ist hier auch recht einfach: Microsoft testet ihre Software ausgiebig - aber eben nicht mit deaktiviertem IPv6. 

 

  • Like 2
Link to post

Danke Euch. Hatte ich auch so mitgegeben, war aber dann relativ egal. Andere empfehlen auch Dinge die man manchmal nicht umsetzt. Hauptargument war Multicast. Nutzen tun wir IPv6 auch nicht wirklich. Haben es auch per Registry deaktiviert. Jetzt hab ich halt keine Argumente mehr, da auf die Gründe oben keinen "Wert" gelegt wird.

  • Confused 1
Link to post
vor 2 Minuten schrieb v-rtc:

Haben es auch per Registry deaktiviert. 


Vollständig deaktiviert oder mittels "prefer IPv4 over IPv6 in prefix policies" konfiguriert?

Link to post
vor 13 Minuten schrieb Lian:


Vollständig deaktiviert oder mittels "prefer IPv4 over IPv6 in prefix policies" konfiguriert?

Gute Frage, hab beim Durchsehen nun Toredo deaktiviert und den RegKey DisabledComponents gefunden. (Darf nur Lesen) Oder was genau meinst Du noch?

Link to post

Sage ich ja auch, plump deaktivieren gibt Ärger. Entweder richtig mit allem Pipapo oder eben bleiben lassen. Entweder IPv6 korrekt durchkonfigurieren und alles doppelspurig fahren oder eben soweit möglich abschalten. Hauptproblematik ist die Priorisierung. Insbesondere des Loopbacks. Ist auch der häufigste Fehler den viele machen. Da werden meist nur die Komponenten und die Protokolle der Adapter deaktiviert.

 

MS testet durchaus auch mit reinen IPv4. Auch wenn mein aktuelles Interna ein paar Jahr her ist, denke ich, dass das noch immer gültig ist. Bei Grossfirmen war es sogar möglich, reines IPv4 als supported absegnen zu lassen.

 

Es muss im Grunde auch total wurscht sein, weil die Kommunikation gemäss dem Schwerpukt bzw. Prefixpolicy des IP-Stacks von Windows erfolgt. Die Programme selbst benutzen den Stack nur. Am Stack vorbei geht meines wissens nach nichts. Standardmässig ist einfach IPv6 priorisiert, wodurch es zu massenhaft Verzögerungen kommt, wenn es nicht richtig deaktiviert wird. (Auch wenn es nicht zu 100% inaktiv ist)

Bei Problemen ist es einfach so, das MS eventuell das aktivieren von IPv6 erforderlich macht. Egal ob es Hand und Fuss hat oder nicht. Das erreicht man z.Bsp. mittels Script + Reboot.

  • Like 2
Link to post

Windows „spricht“ intern seit Server 2008R2 nur IPv6

Richtig abschalten geht nur über Reg-Key

Es kann im Support-Fall passieren (erlebt!) das MS den Call deswegen ablehnt

Ich habe aus Redmond mitbekommen, das dies nur durch einen Senior Engineer im 3rd-Level bestätigt abschalten soll.

 

Wir fahren in unserer Umgebung IPv6 im Stateless-Mode und haben keinerlei Probleme

 

My 2 Cents

  • Like 3
Link to post
vor 11 Stunden schrieb Nobbyaushb:

Windows „spricht“ intern seit Server 2008R2 nur IPv6

Das ist eben nicht wirklich korrekt. Windows spricht standardmässig priorisiert IPv6 und IPv4 wenn IPv6 nicht funktioniert. Nimmt man die Prio weg, spricht es priorisiert IPv4, solange es verfügbar ist. Wenn nicht versucht es die Kommunikation mit IPv6. Ist das eingeschränkt (Komponenten deaktiviert etc.) dann versucht es Windows meistens gar nicht erst. Das Chaos verursacht dann 6to4/Teredo.

 

Deine Aussage beweist es ja: Ein Level X kann IPv6 durch MS supprted abschalten, auch wenn es dadurch grundsätzlich auch nicht zu 100% aus ist. Welches Level aktuell dafür benötigt wird, ist mir nicht bekannt. Aber es ist wohl immer noch supported möglich. Meist dürfte MS aber den support ablehnen wenn man keine triftigen Gründe hat.

 

Ich blocke IPv6 meist auch in der Windows-Firwall. In der Filter-Engine sieht man nach korrekter IPv4 Priorisierung/IPv6 Deaktivierung dann sehr gut wo Windows tatsächlich noch versucht hat trotz allem per IPv6 zu kommunzieren. Das ist ab und wann mal ein Loopback, mehr nicht. Und auch diese sind sehr selten. Wird die Priorisierung nicht gemacht, dann massenhaft geblockten Traffic und lausige Performance.

 

Mit dem Gegenteil, IPv4 abzuschalten hatte ich dagegen Massenhaft Ärger, mehr Verwaltungsaufwand und und und. Irgendwann dreht das vielleicht, solange das aber anders rum ist, schalte ich IPv6 ab weil ich keine Lust auf doppelte Arbeit habe.

Edited by Weingeist
  • Like 1
Link to post
Posted (edited)
vor 22 Stunden schrieb Lian:

Was ist denn bei DisabledComponents gesetzt?

0xFFFFFFFF

 

Danke für die ganzen Beteiligungen! Sehr interessant. 

Edited by v-rtc
Link to post

Hier nochmal zur Rekapitulation aller Werte:

1. Type 0 to re-enable all IPv6 components (Windows default setting).
2. Type 0xff to disable all IPv6 components except the IPv6 loopback interface. This value also configures Windows to prefer using IPv4 over IPv6 by changing entries in the prefix policy table. For more information, see Source and destination address selection.
3. Type 0x20 to prefer IPv4 over IPv6 by changing entries in the prefix policy table.
4. Type 0x10 to disable IPv6 on all nontunnel interfaces (both LAN and Point-to-Point Protocol [PPP] interfaces).
5. Type 0x01 to disable IPv6 on all tunnel interfaces. These include Intra-Site Automatic Tunnel Addressing Protocol (ISATAP), 6to4, and Teredo.
6. Type 0x11 to disable all IPv6 interfaces except for the IPv6 loopback interface.

Quelle: https://msunified.net/2016/05/25/how-to-set-ipv4-as-preferred-ip-on-windows-server-using-powershell/

 

Der Wert 0xFFFFFFFF ist eher falsch. Es müsste 0xFF statt 0xFFFFFFFF sein, da man sonst einen Boot-Delay provoziert:

https://techcommunity.microsoft.com/t5/core-infrastructure-and-security/a-5-second-boot-optimization-if-you-ve-disabled-ipv6-on-windows/ba-p/257498
Ein kleiner aber feiner Unterschied, siehe auch die Hintergründe und Screenshots dazu in dem Artikel.

 

Besser wäre 0x20 wie schon gesagt: Prefer IPv4 over IPv6.

 

  • Thanks 1
Link to post
vor 39 Minuten schrieb Lian:

Hier nochmal zur Rekapitulation aller Werte:


1. Type 0 to re-enable all IPv6 components (Windows default setting).
2. Type 0xff to disable all IPv6 components except the IPv6 loopback interface. This value also configures Windows to prefer using IPv4 over IPv6 by changing entries in the prefix policy table. For more information, see Source and destination address selection.
3. Type 0x20 to prefer IPv4 over IPv6 by changing entries in the prefix policy table.
4. Type 0x10 to disable IPv6 on all nontunnel interfaces (both LAN and Point-to-Point Protocol [PPP] interfaces).
5. Type 0x01 to disable IPv6 on all tunnel interfaces. These include Intra-Site Automatic Tunnel Addressing Protocol (ISATAP), 6to4, and Teredo.
6. Type 0x11 to disable all IPv6 interfaces except for the IPv6 loopback interface.

Quelle: https://msunified.net/2016/05/25/how-to-set-ipv4-as-preferred-ip-on-windows-server-using-powershell/

 

Der Wert 0xFFFFFFFF ist eher falsch. Es müsste 0xFF statt 0xFFFFFFFF sein, da man sonst einen Boot-Delay provoziert:

https://techcommunity.microsoft.com/t5/core-infrastructure-and-security/a-5-second-boot-optimization-if-you-ve-disabled-ipv6-on-windows/ba-p/257498
Ein kleiner aber feiner Unterschied, siehe auch die Hintergründe und Screenshots dazu in dem Artikel.

 

Besser wäre 0x20 wie schon gesagt: Prefer IPv4 over IPv6.

 

Ich nehm es mal mit :) Vielen Dank Dir. Aktuell kann ich leider nur Berichte schauen, nicht in die GPO.

  • Like 1
Link to post

"Prefer" wirkt leider nicht überall. Die Hosts untereinander kommunizieren dann zwar brav per IPv4, aber sie tragen immer noch einen über IPv6 angekündigten DNS-Server ein und fragen diesen dann auch bevorzugt an statt dem DC über IPv4.

 

In Kleinstnetzen mit einem Router, bei dem man IPv6 bzw. seine Advertisements nicht deaktivieren kann, hilft also nur "disable". (Oder das blockieren der Advertisements mit der Windows Firewall.)

 

In grösseren Netzwerken lasse ich IPv6 aktiviert. Per IPv6 ins Internet kommt aber erst ein Kunde im Testbetrieb. Viele Firewalls unterstützen zwar IPv6, aber Features wie Multi-WAN gehen damit noch nicht.

  • Like 1
Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...