Pourquoi mon contrôleur de domaine oblige-t-il mon routeur à envoyer des publicités pour des adresses locales uniques?

12

J'évalue actuellement Server 2012 pour servir de contrôleur de domaine dans un petit réseau hétérogène de postes de travail et serveurs Linux et Windows, qui seraient tous éventuellement joints au domaine. Il s'agit d'un réseau 100% dual stack; chaque appareil a une connectivité IPv4 et IPv6. Le routeur est un serveur Linux exécutant radvd 1.9.1 et diverses autres nécessités.

Je viens d'installer le premier contrôleur de domaine; son nom de domaine est ad.businessname.com(où businessname.comest géré par des serveurs DNS externes; le domaine a également le site Web public, le courrier électronique, etc. et ceux-ci ne seront pas joints au domaine pour le moment). Il s'agit d'un Server Core installé avec des rôles AD DS et DNS. Tout semble aller bien et je suis sur le point de configurer le deuxième DC et de commencer à rejoindre les ordinateurs, mais ...

Maintenant, mon réseau a des publicités supplémentaires sur le routeur IPv6, qui annoncent des adresses locales uniques . Il annonce également le préfixe IPv6 natif que le routeur réel annonce. Au début, je pensais que ces RA provenaient du contrôleur de domaine, car ils ont disparu lorsque je l'ai éteint, mais après avoir exécuté Wireshark, je vois qu'ils provenaient de mon routeur IPv6 réel. Wireshark montre que cette version de la RA suit très peu de temps une sollicitation de voisin pour fd4a: e7ab: 34a5 :: 1 provenant du DC.

Étrangement, le routeur envoie également l'annonce de route d'origine qu'il envoie normalement lorsque le contrôleur de domaine n'est pas présent sur le réseau. Cette version de la RA correspond /etc/radvd.conf(une copie est ci-dessous). Une session rapide avec Wireshark a confirmé que les deux versions de la publicité du routeur proviennent de l'adresse MAC du routeur Linux en cours d'exécution radvd.

Jusqu'à présent, cela semble inoffensif, car ma connectivité IPv6 n'a pas été interrompue par la présence de la RA supplémentaire. Mais comme j'ai déjà une connectivité IPv6 mondiale, les ULA semblent inutiles et indésirables.

J'ai passé une grande partie de la nuit dernière et aujourd'hui à parcourir Internet pour essayer de comprendre ce qui se passe, mais j'ai trouvé peu de choses à expliquer au-delà d'un indice qu'il pourrait avoir quelque chose à voir avec le service d'assistance IP (et de vagues avertissements à ne pas désactiver). Mais pour autant que je l'ai jamais entendu, il devrait être sûr de désactiver ce service lorsque l'IPv6 natif est disponible.

Mes questions sont donc:

  • Pourquoi Windows envoie-t-il une sollicitation de voisin pour un réseau ULA?
  • Pourquoi ces RA sont-elles envoyées, apparemment en réponse?
  • Pourquoi publient-ils des ULA en plus de mes adresses natives?
  • Cela ne causera-t-il pas un problème avec le routage IPv6 plus tard?
  • Dois-je supporter cela, ou comment puis-je faire en sorte que Windows et radvd se comportent?

Diverses informations de configuration suivent:

Voici une RA capturée qui a été envoyée (comme le montre l' radvdumpIMO plus facile à lire que la sortie de wirehark). Vous pouvez voir qu'il annonce à la fois l'ULA et le préfixe public (masqué ici). Et lorsque j'arrête le contrôleur de domaine, cette version de la RA cesse d'apparaître sur le réseau.

#
# radvd configuration generated by radvdump 1.9.1
# based on Router Advertisement from fe80::20c:29ff:fef4:66f1
# received by interface eth0
#

interface eth0
{
        AdvSendAdvert on;
        # Note: {Min,Max}RtrAdvInterval cannot be obtained with radvdump
        AdvManagedFlag off;
        AdvOtherConfigFlag on;
        AdvReachableTime 0;
        AdvRetransTimer 0;
        AdvCurHopLimit 0;
        AdvDefaultLifetime 1800;
        AdvHomeAgentFlag off;
        AdvDefaultPreference medium;
        AdvSourceLLAddress on;
        AdvLinkMTU 1500;

        prefix fd4a:e7ab:34a5::/64
        {
                AdvValidLifetime 86400;
                AdvPreferredLifetime 86400;
                AdvOnLink on;
                AdvAutonomous on;
                AdvRouterAddr off;
        }; # End of prefix definition


        prefix 2001:db8:16:bf::/64
        {
                AdvValidLifetime 86400;
                AdvPreferredLifetime 86400;
                AdvOnLink on;
                AdvAutonomous on;
                AdvRouterAddr off;
        }; # End of prefix definition


        RDNSS fd4a:e7ab:34a5::1
        {
                AdvRDNSSLifetime 86400;
        }; # End of RDNSS definition


        DNSSL businessname.com
        {
                AdvDNSSLLifetime 1800;
        }; # End of DNSSL definition

}; # End of interface definition

Voici la publicité originale du routeur, qui correspond au routeur /etc/radvd.confet est toujours envoyée sur le réseau, en alternance avec celle ci-dessus:

#
# radvd configuration generated by radvdump 1.9.1
# based on Router Advertisement from fe80::20c:29ff:fef4:66f1
# received by interface eth0
#

interface eth0
{
        AdvSendAdvert on;
        # Note: {Min,Max}RtrAdvInterval cannot be obtained with radvdump
        AdvManagedFlag off;
        AdvOtherConfigFlag off;
        AdvReachableTime 0;
        AdvRetransTimer 0;
        AdvCurHopLimit 64;
        AdvDefaultLifetime 1800;
        AdvHomeAgentFlag off;
        AdvDefaultPreference medium;
        AdvSourceLLAddress on;

        prefix 2001:db8:16:bf::/64
        {
                AdvValidLifetime 86400;
                AdvPreferredLifetime 14400;
                AdvOnLink on;
                AdvAutonomous on;
                AdvRouterAddr off;
        }; # End of prefix definition


        RDNSS 2001:4860:4860::8888 2001:4860:4860::8844
        {
                AdvRDNSSLifetime 600;
        }; # End of RDNSS definition

}; # End of interface definition

La liste des rôles / fonctionnalités installés sur le contrôleur de domaine:

[dc1]: PS C:\Users\Administrator\Documents> Get-WindowsFeature | where {$_.InstallState -eq "Installed"}

Display Name                                            Name                       Install State
------------                                            ----                       -------------
[X] Active Directory Domain Services                    AD-Domain-Services             Installed
[X] DNS Server                                          DNS                            Installed
[X] File And Storage Services                           FileAndStorage-Services        Installed
    [X] File and iSCSI Services                         File-Services                  Installed
        [X] File Server                                 FS-FileServer                  Installed
    [X] Storage Services                                Storage-Services               Installed
[X] .NET Framework 4.5 Features                         NET-Framework-45-Fea...        Installed
    [X] .NET Framework 4.5                              NET-Framework-45-Core          Installed
    [X] WCF Services                                    NET-WCF-Services45             Installed
        [X] TCP Port Sharing                            NET-WCF-TCP-PortShar...        Installed
[X] Group Policy Management                             GPMC                           Installed
[X] Remote Server Administration Tools                  RSAT                           Installed
    [X] Role Administration Tools                       RSAT-Role-Tools                Installed
        [X] AD DS and AD LDS Tools                      RSAT-AD-Tools                  Installed
            [X] Active Directory module for Windows ... RSAT-AD-PowerShell             Installed
[X] Windows PowerShell                                  PowerShellRoot                 Installed
    [X] Windows PowerShell 3.0                          PowerShell                     Installed
[X] WoW64 Support                                       WoW64-Support                  Installed

La configuration IPv6 de l'interface Ethernet, comme demandé dans le chat:

[dc1]: PS C:\Users\Administrator\Documents> netsh interface ipv6 show interface interface=Ethernet

Interface Ethernet Parameters
----------------------------------------------
IfLuid                             : ethernet_7
IfIndex                            : 12
State                              : connected
Metric                             : 10
Link MTU                           : 1500 bytes
Reachable Time                     : 33500 ms
Base Reachable Time                : 30000 ms
Retransmission Interval            : 1000 ms
DAD Transmits                      : 1
Site Prefix Length                 : 64
Site Id                            : 1
Forwarding                         : disabled
Advertising                        : disabled
Neighbor Discovery                 : enabled
Neighbor Unreachability Detection  : enabled
Router Discovery                   : enabled
Managed Address Configuration      : disabled
Other Stateful Configuration       : enabled
Weak Host Sends                    : disabled
Weak Host Receives                 : disabled
Use Automatic Metric               : enabled
Ignore Default Routes              : disabled
Advertised Router Lifetime         : 1800 seconds
Advertise Default Route            : disabled
Current Hop Limit                  : 64
Force ARPND Wake up patterns       : disabled
Directed MAC Wake up patterns      : disabled
ECN capability                     : application
Michael Hampton
la source
Impressionnant. RRAS n'a pas été installé d'une manière ou d'une autre?
Shane Madden
@ShaneMadden Get-WindowsFeaturedit .. non.
Michael Hampton
Ce qui rend cela encore plus fou. Pourquoi diable ..
Shane Madden

Réponses:

9

Bien que je ne sache toujours pas exactement pourquoi cela s'est produit (et j'accueillerais volontiers des explications!), Cela semble être corrigé maintenant.


J'ai passé en revue la configuration réseau avec un peigne à dents fines et j'ai découvert à mon grand regret que la passerelle par défaut avait une faute de frappe!

[dc1]: PS C:\Users\Administrator\Documents> Get-NetRoute -PolicyStore PersistentStore -AddressFamily IPv6

ifIndex DestinationPrefix                              NextHop                                  RouteMetric PolicyStore
------- -----------------                              -------                                  ----------- -----------
12      ::/0                                           2001:db8:116:bf::1                               256 Persiste...

Oups! 116:bfdevrait être 16:bf.

J'ai donc corrigé la faute de frappe et, pour faire bonne mesure, supprimé l'adresse ULA de l'interface Ethernet, et le tour est joué, plus de RA supplémentaires, et mon réseau est à nouveau heureux.

[dc1]: PS C:\Users\Administrator\Documents> Remove-NetRoute -NextHop 2001:db8:116:bf::1

Confirm
Are you sure you want to perform this action?
Performing operation "Remove" on Target "NetRoute -DestinationPrefix ::/0 -InterfaceIndex 12 -NextHop 2001:db8:116:bf::1 -Store Active"
[Y] Yes  [A] Yes to All  [N] No  [L] No to All  [?] Help (default is "Y"): y

Confirm
Are you sure you want to perform this action?
Performing operation "Remove" on Target "NetRoute -DestinationPrefix ::/0 -InterfaceIndex 12 -NextHop 2001:db8:116:bf::1 -Store Persistent"
[Y] Yes  [A] Yes to All  [N] No  [L] No to All  [?] Help (default is "Y"): y
[dc1]: PS C:\Users\Administrator\Documents> New-NetRoute -NextHop 2001:db8:16:bf::1 -DestinationPrefix ::/0 -InterfaceIndex 12

ifIndex DestinationPrefix                              NextHop                                  RouteMetric PolicyStore
------- -----------------                              -------                                  ----------- -----------
12      ::/0                                           2001:db8:16:bf::1                                256 ActiveStore
12      ::/0                                           2001:db8:16:bf::1                                256 Persiste...
[dc1]: PS C:\Users\Administrator\Documents> Remove-NetIPAddress -AddressFamily IPv6 -IPAddress fd4a:e7ab:34a5:0:807e:e44a:7ffc:ea90 -PrefixLength 64

Confirm
Are you sure you want to perform this action?
Performing operation "Remove" on Target "NetIPAddress -IPv6Address fd4a:e7ab:34a5:0:807e:e44a:7ffc:ea90 -InterfaceIndex 12 -Store Active"
[Y] Yes  [A] Yes to All  [N] No  [L] No to All  [?] Help (default is "Y"): y

Aucun autre signe d'ULA dans les sollicitations de voisins, les publicités de routeur ou ailleurs, dit Wireshark.

Michael Hampton
la source
4

Je ne peux pas tout à fait expliquer pourquoi votre DC envoie des publicités de routage, mais vous pourriez au moins essayer de les désactiver pour l'interface en question

netsh interface ipv6 set interface interface="Local Area Connection" advertise=disabled

Ce qui devrait être le paramètre par défaut selon l'aide de netsh et ne semble pas avoir beaucoup de sens, car votre contrôleur de domaine n'est probablement pas destiné à être un routeur.

le-wabbit
la source
netshm'a dit Ok.et les publicités du routeur arrivent toujours . Même après le redémarrage.
Michael Hampton