Por que meu controlador de domínio está fazendo com que meu roteador envie anúncios para endereços locais exclusivos?

12

Atualmente, estou avaliando o Server 2012 para servir como controlador de domínio em uma pequena rede heterogênea de estações de trabalho e servidores Linux e Windows, os quais eventualmente se uniriam ao domínio. Esta é uma rede 100% de pilha dupla; todo dispositivo tem conectividade IPv4 e IPv6. O roteador é um servidor Linux executando o radvd 1.9.1 e várias outras necessidades.

Acabei de instalar o primeiro controlador de domínio; seu nome de domínio é ad.businessname.com(onde businessname.comé tratado por servidores DNS externos; o domínio também possui o site público, o email etc., e eles não serão ingressados ​​no domínio no momento). É um núcleo de servidor instalado com funções de AD DS e DNS. Tudo parece bem e estou prestes a montar o segundo CD e começar a ingressar nos computadores, mas ...

Agora, minha rede possui anúncios extras de roteador IPv6, anunciando endereços locais exclusivos . É também anunciar o prefixo IPv6 nativo que o roteador real é a publicidade. No começo, pensei que esses RAs eram originários do controlador de domínio, pois desapareceram quando eu o desliguei, mas depois de executar o Wireshark, vejo que eles vieram do meu roteador IPv6 real. O Wireshark está mostrando que esta versão do RA segue muito em breve uma Solicitação de Vizinho para fd4a: e7ab: 34a5 :: 1 vinda do DC.

Estranhamente, o roteador também está enviando o anúncio de rota original que normalmente envia quando o controlador de domínio não está presente na rede. Esta versão do RA corresponde/etc/radvd.conf (uma cópia está abaixo). Uma sessão rápida com o Wireshark confirmou que as duas versões do anúncio do roteador são provenientes do endereço MAC do roteador Linux em execução radvd.

Até agora, isso parece inofensivo, pois minha conectividade IPv6 não foi interrompida pela presença do RA extra. Mas como eu já tenho conectividade IPv6 global, os ULAs parecem desnecessários e indesejados.

Passei boa parte da noite passada e hoje vasculhando a Internet para tentar descobrir o que está acontecendo, mas encontrei pouco para explicar qualquer coisa além de uma dica de que isso pode ter algo a ver com o Serviço IP Helper. (e avisos vagos para não Desligue isso). Mas, tanto quanto eu já ouvi, deve ser seguro desativar esse serviço quando o IPv6 nativo estiver disponível.

Então, minhas perguntas são:

  • Por que o Windows está enviando uma solicitação de vizinho para uma rede ULA?
  • Por que esses RAs estão sendo enviados, aparentemente em resposta?
  • Por que eles anunciam ULAs além dos meus endereços nativos?
  • Isso não causará um problema no roteamento IPv6 posteriormente?
  • Preciso tolerar isso ou como posso fazer com que o Windows e o radvd se comportem?

Várias informações de configuração a seguir:

Aqui está um RA capturado que foi enviado (como mostra a radvdumpIMO, mais fácil de ler do que a saída do wireshark). Você pode ver que está anunciando o ULA e o prefixo público (obscurecido aqui). E quando eu desligo o controlador de domínio, esta versão do RA para de aparecer na rede.

#
# radvd configuration generated by radvdump 1.9.1
# based on Router Advertisement from fe80::20c:29ff:fef4:66f1
# received by interface eth0
#

interface eth0
{
        AdvSendAdvert on;
        # Note: {Min,Max}RtrAdvInterval cannot be obtained with radvdump
        AdvManagedFlag off;
        AdvOtherConfigFlag on;
        AdvReachableTime 0;
        AdvRetransTimer 0;
        AdvCurHopLimit 0;
        AdvDefaultLifetime 1800;
        AdvHomeAgentFlag off;
        AdvDefaultPreference medium;
        AdvSourceLLAddress on;
        AdvLinkMTU 1500;

        prefix fd4a:e7ab:34a5::/64
        {
                AdvValidLifetime 86400;
                AdvPreferredLifetime 86400;
                AdvOnLink on;
                AdvAutonomous on;
                AdvRouterAddr off;
        }; # End of prefix definition


        prefix 2001:db8:16:bf::/64
        {
                AdvValidLifetime 86400;
                AdvPreferredLifetime 86400;
                AdvOnLink on;
                AdvAutonomous on;
                AdvRouterAddr off;
        }; # End of prefix definition


        RDNSS fd4a:e7ab:34a5::1
        {
                AdvRDNSSLifetime 86400;
        }; # End of RDNSS definition


        DNSSL businessname.com
        {
                AdvDNSSLLifetime 1800;
        }; # End of DNSSL definition

}; # End of interface definition

Aqui está o anúncio original do roteador, que corresponde ao do roteador /etc/radvd.confe ainda está sendo enviado para a rede, alternando com o descrito acima:

#
# radvd configuration generated by radvdump 1.9.1
# based on Router Advertisement from fe80::20c:29ff:fef4:66f1
# received by interface eth0
#

interface eth0
{
        AdvSendAdvert on;
        # Note: {Min,Max}RtrAdvInterval cannot be obtained with radvdump
        AdvManagedFlag off;
        AdvOtherConfigFlag off;
        AdvReachableTime 0;
        AdvRetransTimer 0;
        AdvCurHopLimit 64;
        AdvDefaultLifetime 1800;
        AdvHomeAgentFlag off;
        AdvDefaultPreference medium;
        AdvSourceLLAddress on;

        prefix 2001:db8:16:bf::/64
        {
                AdvValidLifetime 86400;
                AdvPreferredLifetime 14400;
                AdvOnLink on;
                AdvAutonomous on;
                AdvRouterAddr off;
        }; # End of prefix definition


        RDNSS 2001:4860:4860::8888 2001:4860:4860::8844
        {
                AdvRDNSSLifetime 600;
        }; # End of RDNSS definition

}; # End of interface definition

A lista de funções / recursos instalados no controlador de domínio:

[dc1]: PS C:\Users\Administrator\Documents> Get-WindowsFeature | where {$_.InstallState -eq "Installed"}

Display Name                                            Name                       Install State
------------                                            ----                       -------------
[X] Active Directory Domain Services                    AD-Domain-Services             Installed
[X] DNS Server                                          DNS                            Installed
[X] File And Storage Services                           FileAndStorage-Services        Installed
    [X] File and iSCSI Services                         File-Services                  Installed
        [X] File Server                                 FS-FileServer                  Installed
    [X] Storage Services                                Storage-Services               Installed
[X] .NET Framework 4.5 Features                         NET-Framework-45-Fea...        Installed
    [X] .NET Framework 4.5                              NET-Framework-45-Core          Installed
    [X] WCF Services                                    NET-WCF-Services45             Installed
        [X] TCP Port Sharing                            NET-WCF-TCP-PortShar...        Installed
[X] Group Policy Management                             GPMC                           Installed
[X] Remote Server Administration Tools                  RSAT                           Installed
    [X] Role Administration Tools                       RSAT-Role-Tools                Installed
        [X] AD DS and AD LDS Tools                      RSAT-AD-Tools                  Installed
            [X] Active Directory module for Windows ... RSAT-AD-PowerShell             Installed
[X] Windows PowerShell                                  PowerShellRoot                 Installed
    [X] Windows PowerShell 3.0                          PowerShell                     Installed
[X] WoW64 Support                                       WoW64-Support                  Installed

A configuração IPv6 da interface Ethernet, conforme solicitado no bate-papo:

[dc1]: PS C:\Users\Administrator\Documents> netsh interface ipv6 show interface interface=Ethernet

Interface Ethernet Parameters
----------------------------------------------
IfLuid                             : ethernet_7
IfIndex                            : 12
State                              : connected
Metric                             : 10
Link MTU                           : 1500 bytes
Reachable Time                     : 33500 ms
Base Reachable Time                : 30000 ms
Retransmission Interval            : 1000 ms
DAD Transmits                      : 1
Site Prefix Length                 : 64
Site Id                            : 1
Forwarding                         : disabled
Advertising                        : disabled
Neighbor Discovery                 : enabled
Neighbor Unreachability Detection  : enabled
Router Discovery                   : enabled
Managed Address Configuration      : disabled
Other Stateful Configuration       : enabled
Weak Host Sends                    : disabled
Weak Host Receives                 : disabled
Use Automatic Metric               : enabled
Ignore Default Routes              : disabled
Advertised Router Lifetime         : 1800 seconds
Advertise Default Route            : disabled
Current Hop Limit                  : 64
Force ARPND Wake up patterns       : disabled
Directed MAC Wake up patterns      : disabled
ECN capability                     : application
Michael Hampton
fonte
Impressionante. O RRAS não foi instalado de alguma forma, certo?
Shane Madden
@ShaneMadden Get-WindowsFeaturediz .. não.
Michael Hampton
O que torna isso ainda mais louco. Por que diabos ..
Shane Madden

Respostas:

9

Embora eu ainda não saiba exatamente por que isso aconteceu (e gostaria de receber explicações!), Parece estar corrigido agora.


Examinei a configuração da rede com um pente fino e descobri para meu desgosto que o gateway padrão tinha um erro de digitação!

[dc1]: PS C:\Users\Administrator\Documents> Get-NetRoute -PolicyStore PersistentStore -AddressFamily IPv6

ifIndex DestinationPrefix                              NextHop                                  RouteMetric PolicyStore
------- -----------------                              -------                                  ----------- -----------
12      ::/0                                           2001:db8:116:bf::1                               256 Persiste...

Hum, opa! 116:bfdeveria ser 16:bf.

Corrigi o erro de digitação e, em boa medida, excluí o endereço ULA da interface Ethernet, e voila, não há mais RAs extras, e minha rede está feliz novamente.

[dc1]: PS C:\Users\Administrator\Documents> Remove-NetRoute -NextHop 2001:db8:116:bf::1

Confirm
Are you sure you want to perform this action?
Performing operation "Remove" on Target "NetRoute -DestinationPrefix ::/0 -InterfaceIndex 12 -NextHop 2001:db8:116:bf::1 -Store Active"
[Y] Yes  [A] Yes to All  [N] No  [L] No to All  [?] Help (default is "Y"): y

Confirm
Are you sure you want to perform this action?
Performing operation "Remove" on Target "NetRoute -DestinationPrefix ::/0 -InterfaceIndex 12 -NextHop 2001:db8:116:bf::1 -Store Persistent"
[Y] Yes  [A] Yes to All  [N] No  [L] No to All  [?] Help (default is "Y"): y
[dc1]: PS C:\Users\Administrator\Documents> New-NetRoute -NextHop 2001:db8:16:bf::1 -DestinationPrefix ::/0 -InterfaceIndex 12

ifIndex DestinationPrefix                              NextHop                                  RouteMetric PolicyStore
------- -----------------                              -------                                  ----------- -----------
12      ::/0                                           2001:db8:16:bf::1                                256 ActiveStore
12      ::/0                                           2001:db8:16:bf::1                                256 Persiste...
[dc1]: PS C:\Users\Administrator\Documents> Remove-NetIPAddress -AddressFamily IPv6 -IPAddress fd4a:e7ab:34a5:0:807e:e44a:7ffc:ea90 -PrefixLength 64

Confirm
Are you sure you want to perform this action?
Performing operation "Remove" on Target "NetIPAddress -IPv6Address fd4a:e7ab:34a5:0:807e:e44a:7ffc:ea90 -InterfaceIndex 12 -Store Active"
[Y] Yes  [A] Yes to All  [N] No  [L] No to All  [?] Help (default is "Y"): y

Nenhum sinal adicional de ULAs em solicitações de vizinhos, anúncios de roteadores ou qualquer outro lugar, diz Wireshark.

Michael Hampton
fonte
4

Não sei explicar por que o seu controlador de domínio está enviando anúncios de roteamento, mas você pode pelo menos tentar desativá-los para a interface em questão

netsh interface ipv6 set interface interface="Local Area Connection" advertise=disabled

Qual deve ser a configuração padrão de acordo com a ajuda netsh e parece não fazer muito sentido de outra maneira, já que seu DC provavelmente não deve ser um roteador.

o wabbit
fonte
netshme disse Ok.e os anúncios do roteador ainda estão chegando . Mesmo após a reinicialização.
Michael Hampton