Когда нет ни независимого от провайдера адресного пространства, ни статического префикса, назначенного провайдером, а делегированный префикс (через DHCPv6) является единственным вариантом…
Каков наилучший способ настройки Active Directory и контроллеров домена для поддержки IPv6?
Я так и не получил ответа по этому поводу и не смог найти ничего другого на Intertubes, поэтому решил, что отвечу на этот вопрос сам, используя свои собственные настройки / опыт.
ISP: Comcast with a delegated prefix via DHCPv6
Router: pfSense 2.3.3
WAN-интерфейс маршрутизатора настроен для DHCPv6 с подсказкой префикса / 56. (Ваша подсказка может отличаться в зависимости от вашего CPE и местоположения.)
Интерфейс LAN настроен на «отслеживание» интерфейса WAN.
Вам нужно будет убедиться, что у вас настроено правило брандмауэра, разрешающее трафик IPv6 на вашем интерфейсе LAN.
Сервер DHCPv6 на pfSense не включен, и у меня его нет в других местах сети.
Объявления маршрутизатора на интерфейсе LAN настроены как «Неуправляемый», и единственная другая опция, которую я заполнил, - это «Список поиска домена».
На DNS-преобразователе у меня есть переопределения домена, настроенные для моего домена AD с использованием внутренних IPv4-адресов моих контроллеров домена.
На своих внутренних DNS-серверах я создал обратную зону для сети IPv6, которая назначена моему интерфейсу LAN. (Это работает, но я должен следить за этим, на случай, если делегирование префикса когда-либо изменится.)
Конечный результат всего этого ...
Компьютеры Windows назначают себе IPv6-адрес на основе RA от маршрутизатора. Однако, поскольку Windows не поддерживает RFC6106, она получает адреса DNS только от DHCPv4. В данном случае это действительно хорошо, поскольку префикс IPv6 не статичен и может измениться без предварительного уведомления, поэтому изменится IPv6-адрес DNS-серверов.
Компьютеры Windows также регистрируют там записи AAAA и PTR для своих адресов IPv6.
Что происходит при изменении префикса?
Немного, существующие соединения продолжают функционировать с использованием префикса «обесцененный», а новые соединения создаются с новым префиксом.
Я думаю, что нарушаю «передовой опыт», не назначаю статические адреса v6 своим DC / DNS-серверам, но, похоже, это работает нормально. (Хотел бы получить информацию по этому поводу.)
Единственное, что мне нужно сделать вручную при изменении префикса, - это создать соответствующую зону обратного просмотра в DNS. (Мне, вероятно, следует написать сценарий PS, чтобы сделать это за меня.)
Если бы Comcast предлагал статические префиксы, это сделало бы все немного чище.