IPv6 unter Windows 8 & Server 2012, Teil 1

31. Mai 2013

Zu den Themen, die IT-Profis bereits seit einigen Jahren beschäftigen, gehört ohne Zweifel das Protokoll IPv6: Mit an Weltuntergang erinnernden Prophezeiungen berichten Medien seit Jahren darüber, dass die Zahl der unter IPv4 zur Verfügung stehenden Netzwerkadressen gegen Null geht und das neue Protokoll kommen muss. Obwohl sich dieses Schreckensszenario noch nicht erfüllt hat, ist es für Administratoren und IT-Verantwortliche sicher gut, auf den Einsatz von IPv6 vorbereit zu sein: John Howie zeigt in diesem zweiteiligen Artikel, wie das Protokoll unter Windows 8 und auf dem Windows Server 2012 unterstützt wird und was bei Betrieb und Einsatz von IPv6 zu beachten ist.

Bild 1. Reicht nicht aus, um IPv6 von einem System zu entfernen: Auf diese Weise wird zwar die Verbindung zwischen Netzwerkkarte und Protokoll „entbunden“, aber im Netzwerkstack ist IPv6 immer noch aktiv!

Die Firma Microsoft unterstützt das IPv6-Protokoll schon eine ganze Weile – das geht zurück bis zu Windows 2000. Da ist es keine Frage, dass eine entsprechende Unterstützung auch in den aktuellen Client- und Server-Betriebssystemversionen Windows 8 und Windows Server 2012 zu finden ist.

Anzeige
CS espresso series

Wir geben in diesem zweiteiligen Artikel (der zweite Teil erscheint in unserem nächsten E-Paper, das Ende Juni hier bereitstehen wird) einen Überblick darüber, wie Microsoft dieses Protokoll in den neuen Betriebssystemen implementiert hat und welche Bereiche ein Administrator dabei als mögliche Problemfelder beachten sollte. Dabei werden wir allerdings weniger darauf eingehen, wie IPv6 grundsätzlich arbeitet, da dies in bereits in diversen Artikeln auch hier auf NT4Admins eingehend erläutert wurde.

Das Protokoll IPv6: Ein Überblick

Wohl jeder Administrator und Anwender hat schon davon gehört, dass es bald nicht mehr genug IPv4-Adressblöcke für all die vielen Internet-fähigen Geräte auf der Welt geben wird. Die American Registry for Internet Numbers (ARIN) besitzt nach eigenen Angaben noch ungefähr 44 Millionen freie IP-Adressen, die von der ARIN in Blöcken abgegeben werden können. Obwohl das zunächst einmal als eine relativ große Zahl erscheint, handelt es sich dabei gerade einmal um 0,01 Prozent der theoretisch möglichen maximalen Anzahl von IPv4-Adressen.

In Europa, Zentral-Asien, dem asiatischem Pazifikraum und im mittleren Osten sieht die Lage allerdings noch etwas kritischer aus: Die nationalen Verwalter (Regional Internet Registries – RIRs) für die Bereiche Europa – RIPE NCC (Reseaux IP Europeans Network Coordination Center) – und den asiatischen Pazifikraum – APNIC (Asia-Pacific Network Information Centre) – können insgesamt nur noch weniger als 16 Millionen verbleibende freie IP-Adressen ausgeben.

Heute kann eine Firma, die IPv4-Adressen benötigt, diese zwar in der Regel noch von ihrem Internet Service Provider oder direkt vom RIR bekommen, wenn sie die entsprechenden Voraussetzungen erfüllt: Allerdings besteht kein Zweifel daran, dass die Zukunft des Internets auf IPv6 aufgebaut ist. So existiert bereits eine Reihe von neuen Diensten und Produkten, die nur im Zusammenhang mit dieser Variante des IP-Protokolls eingesetzt werden können oder aber wenigstens IPv6 standardmäßig verwenden. So ist der Einsatz von IPv6 beispielsweise die Standardeinstellung sowohl unter Windows 7 und den nachfolgenden Client-Versionen als auch auf dem Windows Server 2008 und den darauf folgenden Server-Releases.

Wo liegen nun die Hauptunterschiede zwischen der Version 4 und der Version 6 des Internet-Protokolls? Zu den zwei wichtigsten Punkten zählt dabei zunächst einmal die Länge der IP-Adressen: Unter IPv6 sind sie 128 Bit lang, während unter IPv4 nur 32 Bit zur Verfügung stehen. Ein weiterer wichtiger Punkt ist das Adressierungsschema und damit der Aufbau der IP-Adressen – dies unterscheidet sich bei IPv6 komplett vom Vorgänger.

Unter IPv4 sehen sich Administratoren und Anwender mit verschiedenen Adressenklassen, speziellen Adressen, die für den nicht-öffentlichen Gebrauch bestimmt sind und noch einigen weiterer „Spezialitäten“ konfrontiert. Diese Erweiterungen wurden zumeist dann eingeführt, wenn neue Internet-Techniken und –Geräte auf dem Markt kamen. Unter IPv6 haben die Entwickler mit einer ganzen Reihe solche Inkonsistenzen aufgeräumt, so dass auch die Adressierung weitaus leichter zu durchschauen ist.

Allerdings wurde den Beteiligten schon bei der Entwicklung von IPv6 klar, dass die Systeme dazu in der Lage sein mussten, die beiden Protokollversionen gleichzeitig nebeneinander zu betreiben. Zudem muss ein System, das nur unter IPv6 läuft, Mittel an die Hand bekommen, mit denen es auch auf reine IPv4-Systeme zugreifen kann. Wir werden in den nächsten Abschnitten noch detaillierter darauf eingehen, wie diese Forderung unter Windows 8 und Windows Server 2012 erfüllt wird. Weiterhin wurde es schon während der Entwicklungsphase klar, dass die Firmen und Anwender eine Möglichkeit benötigen würden, mit deren Hilfe sie den Wechsel auf IPv6 bewältigen können, ohne dass sie dazu ihre gesamte vorhandene Netzwerk-Hardware ersetzen müssen.

An dieser Stelle melden sich dann immer wieder die Sicherheitsexperten mit den Bedenken, die sie bei einer solchen Migration haben: Auch auf diesen Aspekt werden wir im Verlauf dieser Artikel noch näher eingehen.

Bild 2. Arbeitet unspektakulär und schnell: Mit Hilfe eines „Fix-IT“-Programms von Microsoft kann IPv6 von einem Rechner entfernt (und später auch wieder installiert) werden.

Windows 8 und Windows Server 2012: IPv6-Support direkt eingebaut

Grundsätzlich unterstützen beide aktuellen Betriebssysteme Windows 8 und Windows Server 2012 direkt nach der Installation IPv6. Das Server-Release stellt den Administratoren dabei noch ein paar weitere Mittel bereit:

  • Unterstützung des Dynamic Host Configuration Protocol for IPv6 (DHCPv6),
  • IPv6-Adressen im DNS-Server,
  • Übergangstechniken wie etwa Network Address Translation for IPv6 to IPv4 (NAT64) und DNS for IPV6 to IPv4 (DNS64). Diese beiden Techniken kommen beim Einsatz von Direct Access unter Windows Server 2012 zu Verwendung. Das Direct Access-Feature basiert weitgehend auf IPv6-Technik.

Administratoren können die IPv6-Unterstützung zwar weder unter Windows 8 noch unter Windows Server 2012 aus dem System entfernen, sie besitzen aber die Möglichkeit, diese Technik auszuschalten. Aus der Praxiserfahrung heraus würden wir jedem Administrator und IT-Verantwortlich grundsätzlich raten, die Unterstützung für IPv6 auf den Geräten und in der eigenen IT-Infrastruktur auch so lange abzuschalten, bis die IT-Administration dazu bereit ist, die Geräte entsprechend zu konfigurieren und unter IPv6 zu verwenden. In einer professionellen IT-Umgebung innerhalb eines Firmennetzwerkes kann dies durch Eingriffe in die Registry oder über eine Gruppenrichtlinie mit entsprechenden Scripts geschehen, die von den Administratoren entwickelt wurden.

Eine weitere Möglichkeit ist der Einsatz von Microsofts Fix-It-Programmen, die dann allerdings auf jeder Maschine ausgeführt werden müssen, auf der IPv6 ausgeschaltet werden soll. Viele Anwender meinen, dass sich durch eine Unterbrechung zwischen dem IPv6-Protokoll und dem physikalischen Netzwerkadapter im Netzwerk- und Freigabe-Center des Windows-Systems (Bild 1) das Protokoll entfernen lasse: Das ist so nicht der Fall, denn IPv6 ist auch danach weiterhin im Netzwerk-Stack aktiv. Es kann also immer noch dazu verwendet werden, IPv6-Sites über IPv4 zu verbinden!

Microsoft stellt einen Support-Artikel unter dem Titel So deaktivieren Sie IPv6 oder bestimmte IPv6-Komponenten in Windows bereit. In diesem Artikel finden Sie auch die Download-Links zu den jeweiligen Fix-It-Programme für das Entfernen oder auch wieder Hinzufügen die einzelnen IPv6-Komponenten.

Bild 3. Automatische Konfiguration: Auch wenn das Windows-System keine IPv6-Adresse von einem Router bekommen kann, legt es eine sogenannte verbindungslokale IPv6-Adresse an.

Die Adressenkonfiguration unter IPv6

Die Betriebssysteme Windows 8 und Windows Server 2012 können eine ganze Reihe unterschiedlicher Techniken nutzen, um IPv6-Adressen für jede Netzwerkkarte in einem System zu bekommen. Auch wenn ein Windows-System nicht dazu in der Lage ist, eine IPv6-Adresse von einem Router zu bekommen, konfiguriert es sogenannte verbindunglokale IPv6-Adressen, wie der Screenshot in Bild 3 auf einem Windows Server 2012 zeigt.

Es existiert kann praktischer Weg, das Anlegen einer solchen verbindungslokalen Adresse zu unterbinden – zudem sollte Administratoren das auch nicht tun, da diese Adressen zur Kommunikation zwischen Host-Systemen und zwischen Hosts und Routern verwendet werden. Standardmäßig setzt Windows keine verbindungslokalen IPv6-Adressen zur Kommunikation ein.

Aber Administratoren sollten wissen, dass diese Art von IP-Adressen vom System eingesetzt werden können und dass es sogar möglich ist, dass sie standardmäßig immer verwendet werden: Dieser Fall kann eintreten, wenn die Systemverwalter wirklich wollen, dass Windows diese Art von Adressen verwendet oder wenn sie eine signifikante Zahl von Fehlern bei der Netzwerkkonfiguration ihres Windows-Netzwerks gemacht haben.

Wenn die IT-Fachleute im eigenen Netzwerk keine Netzwerkinfrastruktur für IPv6 installiert haben, sind Windows 8 und der Windows Server 2012 trotzdem in bestimmten Situationen dazu in der Lage, IPv6 einzusetzen beziehungsweise IPv6-Adressen zu konfigurieren. Das gilt für die folgenden Situationen:

1. Fall: Es existieren Home-Anwender mit öffentlichen IP-Adressen. In diesen Situationen wird das Windows-System versuchen über die IPv6-Übergangstechnik Teredo eine Verbindung aufzubauen. Allerdings wird Teredo nur dann funktionieren, wenn die entsprechende Maschine keiner Domäne beigetreten ist und einen Zugang zum Internet via UPD besitzt, bei dem keine Pakete via Firewall geblockt werden.

2. Fall: Home-Anwender mit öffentlicher IP-Adresse, bei dem der Toredo-Einsatz nicht funktioniert. In dieser Situation wird Windows automatisch zu einer anderen Übergangstechnik nämlich 6to4 wechseln. Der Einsatz dieser Technik setzt lediglich das Vorhandensein einer öffentlich zu routenden IP-Adresse voraus.

3. Fall: Windows kann den Namen mit Hilfe des Intra-Site Automatic Tunneling Adressing Protocol (ISATP) via DNS oder Namen-Broadcast auflösen. In solchen Fällen wird das Windows-System davon ausgehen, dass es sich bei dem Host-System um einen ISATP-Server handelt, der dazu in der Lage ist, in IPv4-Paket gekapselte IPv6-Pakete anzunehmen. Er wird dann diese Pakete an die IPv6-Host-Systeme weiterleiten, Antworten wieder entsprechend in IPv 4-Pakete „einpacken“ und sie zurücksenden.ISATP kann sowohl in Domänen-Umgebungen als auch bei Systemen, die keiner Domäne beigetreten sind, eingesetzt werden. Es arbeitet zudem in Adressen-Umgebungen, die nach RFC 1918 nicht zu routen sind.

Im zweiten Teil dieses Artikels, den wir in unserem E-Paper Ende Juni bereitstellen werden, befasst sich John Howie dann unter anderem mit der Problematik, die sich beim Einsatz von DHCPv6 ergeben kann und erläutert, warum der Einsatz dieser Technik nicht immer die beste Lösung in allen Situationen ist.

John Howie/ fms

Lesen Sie auch