当只有动态(而非静态) IPv6前缀可用时，配置Active和域控制器的正确方法是什么？

Question

当供应商独立的地址空间或ISP分配的静态前缀都不可用时，委托前缀(通过DHCPv6)是唯一的选项…。

配置Active和域控制器以支持IPv6的“最佳实践”是什么？

Answer 1

我从来没有收到过这方面的答复，也没有在内部管道上找到任何其他东西，所以我想我会用我自己的设置/经验来回答这个问题。

ISP: Comcast with a delegated prefix via DHCPv6
Router: pfSense 2.3.3

路由器的广域网接口配置为DHCPv6，前缀提示为/56。(您的提示可能需要根据您的CPE和位置而有所不同。)

LAN接口设置为“跟踪”WAN接口。

您需要确保您的防火墙规则配置为允许您的局域网接口上的IPv6流量。

没有启用pfSense上的pfSense服务器，网络上也没有其他服务器。

LAN接口上的路由器广告被配置为“非托管”，我填写的唯一其他选项是“域搜索列表”。

在DNS Resolver上，我使用DC的内部IPv4地址为AD域配置了域重写。

在我的内部DNS服务器上，我为分配给我的局域网接口的IPv6网络创建了一个反向区域。(这是可行的，但我必须密切关注它，以防前缀委托发生更改。)

所有这些…的最终结果

Windows计算机根据路由器的RAs为自己分配IPv6地址。但是，由于Windows不支持RFC6106，所以它只能从DHCPv4获得DNS地址。在这种情况下，这实际上是一件好事，因为IPv6前缀不是静态的，并且可能在没有通知的情况下更改，因此更改了IPv6服务器的地址。

Windows计算机也在那里注册AAAA和PTR记录，以记录它们的IPv6地址。

当前缀发生变化时会发生什么？

没有多少，现有的连接继续使用“折旧”前缀工作，新连接是用新前缀创建的。

我认为我没有为我的DC/DNS服务器分配静态v6地址，这违反了“最佳实践”，但它似乎工作得很好。(希望能对此提供一些信息。)

当前缀发生变化时，我唯一需要做的就是在DNS中创建相应的反向查找区域。(我可能应该写一个PS脚本来为我做这件事。)

如果康卡斯特提供静态前缀，这将使事情变得更干净一些。