IPv6 und Microsoft

Beachten Sie dazu auch die Seite IPv6 im LAN über eine exemplarische Einführung von IPv6 im internen LAN.

IPv6-Day und Testseiten
http://test-ipv6.com/
http://omgipv6day.com/
http://netalyzr.icsi.berkeley.edu

IPv6-Migrationsleitfaden für öffentliche Verwaltungen.
http://www.ipv6.bva.bund.de
http://www.bit.bund.de/BIT/DE/Beratung/IPv6/node.html
"Kochbuch" für die IPv6-Einführung
http://www.bva.bund.de/cln_341/nn_2260316/DE/Aktuelles/Pressemitteilungen/2013/PM__Forschungsprojekt__IPv6__pdf.html
Migrationsleitfaden
http://www.bit.bund.de/cln_321/nn_2256370/BIT/DE/Shared/Publikationen/IPv6/fue__migrationsleitfaden.html
Profilhandbuch
http://www.bit.bund.de/cln_321/nn_2256370/BIT/DE/Shared/Publikationen/IPv6/fue__profildokument.html
Sicher auch für Firmen durchaus interessante Quellen.

OnlineKurs: openHPI: IPv6 in modernen Netzwerken
https://open.hpi.de/courses/ipv6-2018

Podcast zu IPv6 "RFCE014: IPv6" (wurde schon 2012 erstellt)
https://requestforcomments.de/archives/412 bzw. https://cre.fm/cre197-ipv6
Fast 5h Podcast zu IPv6 von Clemens Schrimpe

The new, larger version of the Internet: IPv6
https://www.youtube.com/watch?v=-Uwjt32NvVA

Bis IPv6 in den lokalen Netzwerken aktiv Einzug erhält, vergehen nach meiner Einschätzung noch einige Jahre. Das hindert aber Hersteller natürlich nicht daran, IPv6 schon heute in ihre Systeme einzubauen, da die Lebensdauer von Servern aber auch Druckern etc. oft mehrere Jahre beträgt. Ich kann mich noch gut daran erinnern, wie früher viele Druckerserver ausschließlich das damals dominierende Serversystem "NetWare" bedient haben und die ersten Server mit TCPIP und LPR-Unterstützung noch sehr teuer waren. Fakt ist, dass Windows Vista und Windows 2008 IPv6 per Default enthalten und gar nicht deinstalliert werden kann, da IPv4 und IP6 den gleichen Code verwenden und Exchange 2007 mit SP1 auch schon IPv6 unterstützt.

Generell "stört" IPv6 nicht und die weiter unten aufgezeigten Wege IPv6 zu deaktivieren, sind meist nicht erforderlich.
Hinderlich ist es aber, wenn wenn die verschiedenen Clients IPv6 im DNS eintragen aber die Router dazwischen IPv6 nicht vermitteln. Der Fallback dauert etwas Zeit. Dann ist es aber eine Option, einfach IPv4 vorzuziehen, so dass IPv6 weiter verfügbar ist aber IPv4 zuerst genutzt wird.

The Argument against Disabling IPv6 It is unfortunate that some organizations disable IPv6 on their computers running Windows Vista or Windows Server 2008, where it is installed and enabled by default. Many disable IPv6-based on the assumption that they are not running any applications or services that use it. Others might disable it because of a misperception that having both IPv4 and IPv6 enabled effectively doubles their DNS and Web traffic. This is not true. From Microsoft's perspective, IPv6 is a mandatory part of the Windows operating system and it is enabled and included in standard Windows service and application testing during the operating system development process. Because Windows was designed specifically with IPv6 present, Microsoft does not perform any testing to determine the effects of disabling IPv6. If IPv6 is disabled on Windows Vista, Windows Server 2008, or later versions, some components will not function. Moreover, applications that you might not think are using IPv6—such as Remote Assistance, HomeGroup, Direct Access, and Windows Mail—could be. Therefore, Microsoft recommends that you leave IPv6 enabled, even if you do not have an IPv6-enabled network, either native or tunnelled. By leaving IPv6 enabled, you do not disable IPv6-only applications and services (for example, HomeGroup in Windows 7 and Direct Access in Windows 7 and Windows Server 2008 R2 are IPv6-only) and your hosts can take advantage of IPv6-enhanced connectivity.
Quelle: http://technet.microsoft.com/en-us/magazine/2009.07.cableguy.aspx

Achtung:
Die Bedeutung von IPv6 wird zunehmen und ich erwarte, dass in kurzer Zeit alle Firmen intern zusätzlich auch IPv6 betreiben werden. für viele neue Dienste (z.B.: Windows Direct Fileaccess) ist dies sogar erforderlich.

Issues After Disabling IPv6 on Your NIC on SBS 2008
http://blogs.technet.com/sbs/archive/2008/10/24/issues-after-disabling-ipv6-on-your-nic-on-sbs-2008.aspx

IPv6 Support mit Exchange 2010
http://technet.microsoft.com/en-us/library/gg144561.aspx

IPv6 und Exchange 2007 SP1/SP2 nur auf Windows 2008
http://technet.microsoft.com/de-de/library/bb629624(EXCHG.80).aspx

Exchange 2007 auf Windows 2008 DC
Mehrere Hinweise im Internet weisen darauf hin, dass einige Exchange 2007 Dienste auf einem Windows 2008 DC nicht starten, wenn IPv6 deaktiviert ist.
RPC/HTTP hat umgekehrt mit Problemen zu kämpfen, wenn er die IPv6 Adresse erreichen will aber NSPI nicht auf IPv6 lauscht.
Aktuell scheint der beste Kompromiss die Aktivierung von IPv6 und ändern der Reihenfolge auf "IPv4 first" zu sein.
Siehe auch http://blogs.technet.com/b/exchange/archive/2008/06/20/449053.aspx

ITFreeTraining.com:Internet Protocol Version 6
http://itfreetraining.com/70-680/internet-protocol-version-6/

Microsoft zu IPv6

Nach allem, was ich so vernommen habe, ist Microsoft zu 100% auf IPv6 eingestellt. Das bedeutet nicht nur, dass Intern selbst IPv6 eingesetzt wird, sondern das es klare Aussagen gibt wie z.B.

IPv6 solves numerous connectivity issues and issues that are associated with IPv4 address depletion. All Microsoft server products are required to support both IPv6 and IPv4. In addition, all server products are required to be configurable to run in dual-stack (IPv4 and IPv6) or IPv6-only modes.
http://www.microsoft.com/cec/en/us/cec-overview.aspx#data-ipv6

It’s a common misconception that unchecking IPv6 disables the protocol when in fact all it does is introduce transient errors. Windows Vista and later operating systems heavily rely upon IPv6 für internal operation, which means the protocol cannot be disabled or uninstalled entirely. unchecking IPv6 on the adapter settings only unbinds the protocol from the NIC and the OS can still attempt to send remote traffic to the NIC where it never hits the wire.
Quelle: Ask the Directory Services Team : DFS Referrals and IPv6: Outta site!] http://blogs.technet.com/askds/archive/2009/10/28/dfs-referrals-and-ipv6-outta-site.aspx

Exchange 2010 hat z.B. in der Tabelle dazu ein "G"

Sondern wenn ich es richtig interpretiere, dann betreibt Microsoft seine eigenen Server alle mit IPv4 und IPv6 aktiviert. Zwar unterstützt Microsoft auch Installationen, bei denen z.B. per Regedit der IPv6 Support beschränkt wurde, aber empfohlen wird dies nicht. Einzig das Deaktivieren von IPv6 auf allen Netzwerkkarten bringt Probleme. Tun Sie dies daher besser nicht.

IPv6 Argumente

Da stellt sich die Frage, für wen IPv6 interessant ist und warum ?. Ohne nun die Whitepapers von Bücher und Wikis zu wiederholen, sind ein paar Faktoren einfach zu erläutern:

  • IP-Adressen (128 Bit)
    Analog zu den Ölvorkommen wird auch ein Ende der verfügbaren IP-Adressen schon länger vorhergesagt. Während man beim Öl vielleicht noch das ein oder andere Vorkommen fördern kann (auch wenn das Ende da auch nicht mehr allzu fern liegt), ist die Anzahl der nutzbaren Adressen zwischen 0.0.0.0 bis 255.255.255.255 klar umschrieben und wird nicht ausreichen, wenn neben den PCs auch noch Mobiltelefone, Fernseher, Schalter und andere Geräte miteinander vernetzt werden sollen. Sicher helfen NAT und Proxies, um intern "private Adressen" zu verwenden aber IPv6 ist sicher der Weg, um eine Knappheit zu umgehen.
    "2 hoch 128" Adressen sind rund 340.000.000.000.000.000.000.000.000.000.000.000.000 verschiedene Adressen dar. Mehr als Sandkörner auf der Erde und sicher auch dann lange genug Adressen, wenn man nur Bruchteile davon verwendet.
  • Schnelle Konfiguration
    Aber auch für die Firma selbst kann IPv6 echte Vorteile haben. Die Konfiguration kann ohne DHCP auskommen und sehr schnell passieren (weniger als eine Sekunde) Sicher wird es noch etwas dauern, bis Staplerfahrer mit Tempo 200 durch mehrere WiFi-Zonen flitzen und dabei immer neue IP-Adressen bekommen sollen, aber sie brauchen Sie keine Gedanken mehr über IP-Adressen machen, da die MAC-Adresse mit eingeht und der PC quasi seine Adresse kennt, sobald er ein Paket im Subnetz empfangen hat, aus dem er sich die Netzwerkadresse holt.
  • Sicherheit
    Aber auch bei der Authentifizierung und Verschlüsselung hat sich natürlich etwas getan. So sind die Funktionen von IPSec nun Bestandteil des Protokolls und kein Aufsatz mehr.
  • Performance und Leitwege
    Auch für die Internet Router verbessert sich das Verhalten, da nun sehr viele Netzwerkblöcke gruppiert werden können und so die Routingtabellen überschaubarer werden. Hinzu kommt, dass auch die Felder eine fixe Größe haben und damit die Software effektiver arbeiten kann. Solche Probleme sind dem normalen Anwender und Admin eigentlich nicht geläufig aber bei Internet Providern aktuelles Gesprächsthema. Daher ist anzunehmen, dass die Backbones des Internets oder große Firmen doch den parallelen Weg von IPv6 gehen werden.

Das sind bei weitem nicht alle Argumente, aber soll ihnen einen ersten Eindruck geben, ob IPv6 in ihrer Umgebung erforderlich ist. Aber auch wenn Sie eigentlich kein IPv6 verwenden wollen oder ihre Router IPv6 noch nicht unterstützen, dann haben die meisten Firmen unabsichtlich schon IPv6 im Netzwerk, weil es per Default bei Windows 2008 oder Vista aktiv ist

IPv6 im Betriebssystem

Folgende IPv6 Konfigurationen sind bei Windows

Betriebssystem Installation

Windows 95/98NT4

Offiziell nicht verfügbar
Frühere Module auf http://research.microsoft.com/msripv6/
Dritthersteller z.B. www.trumpet.com.au/products.html

Windows 2000

Offiziell nicht verfügbar
Frühere Module auf http://research.microsoft.com/msripv6/

Windows XP RTM

Nicht verfügbar

Windows XP SP1

Hinzufügen und Entfernen als Netzwerkprotokoll. Bezeichnung lautet aber "Microsoft IPv6 Developer Edition". Ist aber produktiv nutzbar.

Windows XP (SP2+)

Hinzufügen und Entfernen als Netzwerkprotokoll.

Windows XP Embedded SP1

Unterstützt

Windows 2003

Hinzufügen und Entfernen als eigenes Netzwerkprotokoll

Windows Vista

Aktiv per Default, kann nicht deinstalliert werden, da IP-Stack sowohl V4 und V6 beinhaltet

Windows 2008

Aktiv per Default, kann nicht deinstalliert werden, da IP-Stack sowohl V4 und V6 beinhaltet

Windows 2012

Aktiv per Default, kann nicht deinstalliert werden, da IP-Stack sowohl V4 und V6 beinhaltet

Die Unterstützung in Windows bedeutet nur, dass die Plattform die entsprechenden APIs bereit stellt. Damit ist gesagt, dass die entsprechenden Anwendungen auch nutzen.

IPv6 und Exchange

Exchange unterstützt erst mit Exchange 2007 SP1 auch IPv6. Alle vorherigen Versionen können IPv6 nicht nutzen, aber stören sich auch nicht daran, solange IPv4 noch parallel aktiv ist. Aber auch Exchange 2007 SP1 benötigt weiterhin IPv4,da nicht alle Funktionen IPv6-tauglich sind.

Version IPv6-Tauglichkeit

Exchange 5.5

Nein

Exchange 2000

Nein, Nutzt kein IPv6
Kann aber parallel zu IPv4 installiert sein

Exchange 2003

Nein, Nutzt kein IPv6
Kann aber parallel zu IPv4 installiert sein

Exchange 2007

Nein, Nutzt kein IPv6
Kann aber parallel zu IPv4 installiert sein

Exchange 2007 SP1

Nutzt IPv6 und IPv4
IPv4 muss zwingend aktiv sein. IPv6 ist optional. Nicht alle Dienste nutzen IPv6

Exchange 2010

Vollständig IPv6, Theoretisch sogar IPv6 Only Mode (Ausnahme UM-Rolle)
Aber es gibt Windows Dienst, auf denen Exchange aufsetzt, die noch IPv4 benötigen, so dass eine IPv6Only-Umgebung nicht möglich ist.

Exchange 2013/2016/2019

Vollständig IPv6.

Aktuell scheint bei Exchange 2010 nur noch Exchange Unified Messaging auf IPv4 aufzubauen. Das ist aber auch schon daher klar, weil die Anzahl der VoIP-Gateways mit IPv6 Support noch sehr gering ist.

Auch wenn Exchange 2007 SP1 mit der IPv6-tauglichkeit wirbt, so ist diese nur partiell gegeben. Auf IPv4 kann auf keinen Fall verzichtet werden und selbst im Bereich IPv6 sind nur einige Komponenten nutzbar. So unterstützt die Unified Communication Rolle noch kein IPv6 und selbst der Transport erlaubt über IPv6 noch keine RBL-Listen oder SenderID-Filterung, was aber erst wichtig wird, wenn der Server auch per IPv6 installiert wird.

IPv6 und Lync

Erst mit Lync 2013 ist der vollständige IPv6 Support verfügbar. Da allerdings noch viele VoIP Gateways und Gegenstelle (Stichwort, Edge, ICE und Kandidaten) noch nicht IPv6 komplette durchgängig unterstützen, ist ein Parallelbetrieb von IPv4 aus meiner Sicht anzuraten.

IPv6 und DNS

Den ein oder anderen Support Case haben wir auch schon bezüglich IPv6 gehabt. Häufig sind es nämlich die DNS-Server, die sich nicht immer kooperativ verhalten. Es ist dabei nicht relevant, ob der DNS-Server selbst schon eine IPv6-Adresse hat oder nicht, sondern eher, wie er z.B. auf Anfragen nach "AAAA"-Adressen reagiert.

Wenn ein Exchange Server z.B. den MX-Record abfragen möchte, dann tut er dies, indem er einen entsprechenden DNS-Query erstellt. Die meisten DNS-Server liefern ihm dann nicht nur den Namen des MX-Records zurück, sondern auch gleich die IPv4-Adresse, so diese bekannt ist. So erspart man dem Client eine zweite Anfrage. Die IPv6-Adresse wird nicht zurück gegeben, damit alte Clients nicht verwirrt werden.

dnscmd /config /EnableIPv6 1

Unterstützt das Betriebssystem selbst IPv6, dann muss es nun noch mal gezielt nach dem Hostnamen und "AAAA" fragen. Ein DNS-Server sollte dann darauf mit einem leeren Eintrag antworten. Es gibt einige DNS-Server, die mit einem "Fehler" antworten, worauf das Betriebssystem dann von einem Fehler ausgeht und die Mails nicht mehr versendet.

Es gibt aber auch DNS-Server, die eine AAAA-Anfrage über IPv4 dennoch beantworten, z.B. Google:

Es gibt noch einige andere unschöne Fehlverhalten von DNS-Servern in Verbindung mit IPv6. Sie können aber auch bei der Nutzung von PING und NSLOOKUP in die Irre geführt werden, denn PING nutzt den Windows Name Resolver während NSLOOKUP selbst die DNS-Abfrage an einen DNS-Server stellt. Das merken Sie schon daran, dass beim PING <hostname> auch die lokale HOSTS-Datei mitgenutzt wird, die NSLOOKUP ignoriert. Wenn ich in einem IPv4-Netzwerk bin, dann kann folgendes passieren:

PING auf IPv6-Only Name

Mein Client ist in einem reinen IPv6-Netzwerk und fragt nach einem Namen, der nur auf eine IPv6-Adresse auflöst, dann finde ich den Server nicht. Das ist erwartet, denn der Resolver des Betriebssystems weiß, dass es keine IPv6-Adressen gibt und fragt nur nach einem "A-Record" und bekommt einen "Refer" zum Stammserver.

PS C:\> ping ipv6.rimscout.com
Ping-Anforderung konnte Host "ipv6.rimscout.com" nicht finden. Überprüfen Sie den Namen, und versuchen Sie es erneut.

NSLOOKUP liefert die Antwort

Wenn ich aber mit NSLOOKUP direkt an den DNS-Server sende, dann bekomme ich sehr wohl die Information über die IPv6-Adresse

PS C:\> nslookup ipv6.rimscout.com
Server: DC.MSXFAQ.DE
Address: 192.168.100.10

Name: ipv6.rimscout.com
Address: 2a01:488:42:1000:b24d:6de0:ff81:e235

Im Wireshark sehen wir aber, dass NSLOOKUP sowohl nach A als auch AAA-Records fragt.

Obwohl die DNS-Anfrage selbst über IPv4-Pakete erfolgte, liefert der DNS-Server auch IPv6-Adressen aus.

IPv6 und Office 365

Siehe dazu die Seite Microsoft 365 und IPv6

IPv6 deaktivieren

Achtung:
Führen Sie die folgenden Schritte nicht ohne Not durch. Normalerweise "stört" IPv6 nicht und sie sollten sich schon mal an die neuen Adressen gewöhnen, da Sie für viele neue Dienste (z.B.: Windows Direct Fileaccess) erforderlich sind.

Ich würde aus heutiger Sicht IPv6 nicht mehr deaktivieren. Es gibt mehr Probleme und mittelfristig werden Sie es doch wieder aktivieren müssen. Dann ist es besser schon heute sich langsam mit der Technik zu beschäftigen. Ich sehe schon die "großen Probleme, wenn der erste Geschäftsprozess zwingend IPv6 benötigt und dann in so einem Netzwerk IPv6 aktiviert werden muss.

Auch wenn man IPv6 nicht komplett deinstallieren kann, so stören den ein oder anderen schon die vielen virtuellen Netzwerkkarten beim "ipconfig /all" und die Umleitung von einen Ping auf localhost auf "::1:". Problematisch kann dies sein, wen ein IPv6-tauglicher Dienst (wie z.. RPC Proxy) über localhost auf einen nicht IPv6-Dienst zugreifen will. Wenn Sie also auch auf Windows 2008 und Vista alle IPv6 Funktionen deaktivieren wollen, dann können Sie folgende Einträge in der Registrierung machen

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters]
"DisabledComponents"=dword:0xffffffff

Regdatei zum Import
ipv6disable.reg
Firmen werden die Einstellungen sicher über eine Gruppenrichtlinie durchführen wollen.

Die Einstellung kann folgende Werte annehmen:

Wert Loopback Tunnel Native Reihenfolge

0x0 (default)

enabled

enabled

enabled

IPv6 vor IPv4

0xffffffff

enabled

disabled

disabled

IPv4 vor IPv6

0x20

enabled

enabled

enabled

IPv4 vor IPv6

0x10

enabled

enabled

disabled

IPv6 vor IPv4

0x01

enabled

disabled

enabled

IPv6 vor IPv4

0x11

enabled

disabled

disabled

IPv6 vor IPv4

Die Änderungen werden erst nach einem Neustart aktiv. Anscheinend kann das "Loopback"-Interface selbst nicht deaktiviert werden. Allerdings hilft die Reihenfolge dabei, dass man IPv4 vorziehen kann.

  • 929852 How to disable certain Internet Protocol version 6 (IPv6) components in Windows Vista, Windows 7 and Windows Server 2008
    Mit entsprechenden "FixIt"-Programmen, welche die Änderungen sehr einfach vornehmen.

Weitere Links