IPv6 deaktivieren - Das Protokoll, nicht die Bindung
Die meisten meiner Kunden haben den Wunsch IPv6 zu deaktivieren. Es gibt sehr gute Gründe dafür. Das BSI und das CIS haben es auf der Liste der Dinge, die es zu konfigurieren gilt. Als Fazit und Commone Sense lässt sich sagen: Entweder es wird richtig konfiguriert und sauber gepflegt, oder man schaltet es ab.
Don't Panic: Wer IPv6 über die Registry ausschaltet, kann es immer über denselben Weg wieder aktivieren!
IPv6 ist kein grundsätzliches Problem, sondern eins das auftaucht, weil es nicht abgesichert und konfiguriert wird. Dadurch entstehen unter Umständen sogenannte Schattennetzwerke. Netzwerke von denen man garnicht wusste das es Kommunikation zwischen Segmenten gibt, da IPv4 untersagt ist. Der Router lässt aber eventuell IPv6 zu und damit wird das ganze IPv4 Regelwerk über IPv6 umgangen. Ebenfalls gibt es starke Bedenken aus Datenschutz/Privatssphäre Sicht, da IPv6 aufgrund der Summe der Adressen eine Eindeutigkeit des einen Objekts machbar macht.
BSI: IPv6: Nutzen, Fallstricke und Lösungen
MSXFAQ.de: IPv6 statt Cookie-Tracking
In meiner beruflichen Praxis habe ich sehr viele Probleme mit IPv6 gehabt. Die Replikation der DCs bei der Migration alter Netzwerke (2003 zu 2008/12/16) wurde nicht gestartet wenn IPv6 aktiv war und andere seltsame Phänomene, z.B.: werden DCs in der MMC als Offline dargestellt, obwohl man auf diesen per RDP verbunden ist. Die Fehler enstehen oft durch das Entfernen der Bindung an der Netzwerkkarte. Der Administrator wollte IPv6 deaktiviereb, hat es aber flasch umgesetzt.
Ich gehöre zu denen die IPv6 immer und sowohl im Deployment, als auch auf Domänen Ebene deaktivieren. Somit gilt das für alle meine Systeme. Es gibt aktuell keinen technisch zwingenden Grund für IPv6, ausser Direct Access. Das "IPv6 VPN" von Microsoft ist mittlerweile zu Legacy erklärt worden, die Kunden haben es nicht angenommen. Sie wollten ihre funktionierende IPv4 Umgebung nicht für ein VPN umbauen. Deswegen wurde DA durch AlwaysOn ersetzt. Ein IPv4 SSL VPN. FunFact, leider obsolet: Die Microsoft Heimnetzgruppe benötigte IPv6 für den Beitritt, nicht für den Betrieb, aber die ist mit 1709 abgeschafft worden.
Wenn ihr es ausschaltet, dann dürft ihr niemals die Bindung an der Netzwerkkarte deaktiveren, das verursacht die Phänomene, wie oben beschrieben. Das Deaktivieren der Bindung deaktiviert nur die Verwendung von IPv6 an dieser Netzwerkkarte. Der IPv6 Stack ist aber weiterhin intern aktiv. Ein simples "ping localhost" zeigt euch, das das System weiterhin mit ::1 antwortet. Die Probleme entstehen nun, weil das System IPv6 intern weiterhin nutzt, es grundsätzlich auch generell nutzen möchte, es aber über die Netzwerkkarte nicht kann.
Der Weg führt über die Registry, über die Parameter des TCP/IP v6 Treibers.
Der dazughörige Microsoft Artikel beschreibt es genau. Ihr könnt das IPv6 Protokoll in der Priorität verändern, Teile deaktivieren oder es komplett ausschalten: Guidance for configuring IPv6 in Windows for advanced users
IPv6 deaktivieren:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\
DisabledComponents= 0xFF (REG_DWORD)
Es gibt 3 Möglichkeiten den Registry Wert an die System zu verteilen.
1. Ihr nutzt die Group Policy Preferences Registry und verteilt den Wert. Aus reinen Performance Argumenten vermeide ich mittlerweile alles was mit Preferences zu tun hat, wenn ich alternative Techniken habe. Die GPP Registry ist vielleicht der einfachste Weg, den jeder Administrator man schnell nachvollziehen kann.
2. Ihr schreibt den Registry Wert direkt in die registry.pol Datei, die von dem Bereich der Administrativen Vorlagen einer vorhandenen Gruppenrichtlinien genutzt wird. Dafür bräuchte es eigentlich ein ADM/ADMx Template. Es funktioniert aber auch über die Powsershell. Der Vorteil ist, es ist schnell editiert und geändert. Der Nachteil ist, der Wert kann nur über die Powershell geändert werden, nicht per Klick , mangels ADMx. Die Powershell nutzt dieselbe Schnittstelle und benötigt die GPMC .
Set-GPRegistryValue -Name "IPv6 deaktivieren" -Key "HKLM\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters" -ValueName DisabledComponents -Value 255 -Type DWord
3. Der beste Weg ist ein ADM/ADMx. Dieses ist über den GPEditor schön zu administrieren und es nutzt die registry.pol als Speicherort, was performanter ist, als das XML der Group Policy Preference. Es gibt ein fertiges ADMx von Jeff Guillet - @expta
Download:
How to Configure IPv6 Using Group Policy, bzw. direkt als Zip: IPv6Configuration.zip
Computerkonfiguration\Administrative Vorlagen\Netzwerk\IPv6 Configuration
"IPv6 Configuration Policy"= "Disable All IPv6 Components"
