ipv6

Отключение неиспользуемых протоколов туннелирования IPv6 в DirectAccess

Введение.

Если посмотреть со стороны клиента, DirectAccess сервер используется только IPv6 для подключения. Чтобы иметь возможность работать с использованием только протокола IPV4, DirectAccess использует один или несколько протоколов туннелирования IPv6 (6to4, Teredo или IP-HTTPS). Приведенные выше протоколы позволяют взаимодействовать клиенту с DirectAccess сервером по средствам протокола IPv4, находясь в публичной сети интернет.

Проблемы.

При использовании первых двух протоколов туннелирования IPV6, 6to4 и Teredo, сервер DirectAccess должен быть подключен непосредственно к сети интернет и иметь публичный IPv4 адрес. Начиная с Windows Server 2012, размещение DirectAccess сервера в публичной сети не является обязательным условием, теперь появилась возможность установить DA сервер за пограничным маршрутизатором или корпоративным брандмауэром, выполняющим преобразование сетевых адресов (NAT). При таком сценарии развертывания протоколом туннелирования IPv6 будет только IP-HTTPS. В этом случае, настоятельно рекомендуется отключить неиспользуемые протоколы туннелирования IPv6, чтобы предотвратить возможные проблемы в подключении клиентов.

Отключение неиспользуемых протоколов туннелирования IPv6.

Для отключения не используемых протоколов туннелирования IPv6 на каждом клиенте, можно воспользоваться PowerShell командами либо воспользоваться редактором групповых политик (GPO), метод GPO будет предпочтительней для больших масштабов развертывания.

Чтобы отключить неиспользуемые протоколы туннелирования IPv6 на уровне отдельно взятого компьютера  с операционной системой Windows 8 и выше, с помощью PowerShell, необходимо выполнить приведенные ниже команды:

Set-Net6to4Configuration –State disabled
Set-NetTeredoConfiguration –Type disabled
Set-NetIsatapConfiguration –State disabled

Для отключения неиспользуемых протоколов туннелирования IPv6 в среде  Windows 7, необходимо использовать network shell (netsh), откройте командную строку (CMD) и выполните следующие команды:

netsh interface 6to4 set state disabled
netsh interface teredo set state disabled
netsh interface isatap set state disabled

Чтобы отключить неиспользуемые протоколы туннелирования IPv6 с помощью групповой политики Active Directory, откройте консоль управления групповыми политиками (GPMC) и создайте новый объект групповой политики.

Отредактируйте вновь созданный объект, перейдя Конфигурация компьютера/Политики/Административные шаблоны/Сеть/ Параметры TCP/IP/Технологии туннелирования IPv6. Дважды щелкните Состояние 6to4 и включить политику, а затем выберите Отключенное состояние из выпадающего списка. Повторите эти действия для состояния Teredo и ISATAP.

Direct Access отключить 6to4 GPO

Direct Access включить 6to4 GPO

Следующим шагом необходимо настроить фильтр безопасности для объекта групповой политики и назначить группу безопасности для ваших клиентов DirectAccess.

Direct Access фильтр безопасности GPO

Итог.

Следует помнить, что шаги описанный в этой статье применимы исключительно для сценария, когда DirectAccess сервер развернут на базе Windows Server 2012 и расположен за NAT. В случае когда ваш DA сервер подключен непосредственно к публичной сети Интернет и имеет реальный IPv4 адрес, отключение этих протоколов туннелирования IPv6 не требуется.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *