locked
ISATAP aktivieren, UAG, Netz und Router RRS feed

  • Frage

  • Hi,

     

    derzeit bin ich dabei UAG fuer DA einzufuehren.

    Nun habe ich sehr viel ueber ISATAP gelesen, welches per default ja ueber die Global Query Block List gefiltert wird. Dafuer gibt es ja auch Gruende:

    Two commonly deployed protocols are particularly vulnerable to this type of takeover: the Web Proxy Automatic Discovery Protocol (WPAD) and the Intra-site Automatic Tunnel Addressing Protocol (ISATAP). Even if a network does not deploy these protocols, clients that are configured to use them are vulnerable to the takeover that DNS dynamic update enables. To help prevent such a takeover, the DNS server role in Windows Server 2008 includes a global query block list that can help prevent a malicious user from taking over DNS names that have special significance.

    Nun soll man das ja fuer UAG und DA aktivieren:
    http://blogs.technet.com/b/tomshinder/archive/2010/10/01/is-isatap-required-for-uag-directaccess.aspx
    http://technet.microsoft.com/en-us/library/ee649158(WS.10).aspx

    In meinem Szenario stehen die DNS Server sowie Ressourcen wie Exchange in 10.10.10.0/24 und die UAGs in 192.168.50.0/24 in einem Perimeternetz.

    Die Server in 10.10.10.0/24 benutzen 2003R2/2008/2008R2, alle Clients nutzen Win7 Enterprise.

    Stutzig macht mich nun folgendes:
    http://blog.concurrency.com/infrastructure/uag-sp1-directaccess-internal-and-external-dns/

    Effects of Enabling ISATAP

    Once an ISATAP router can be found in your environment you will start to notice that some of your computers will start to respond to pings and other network traffic from IPv6 addresses. This is “normal” and by design as Windows Server 2008, R2 and Vista and Windows 7 are built to prefer IPv6. In fact, even if you uncheck the TCP/IPv6 protocol from your network adapter you’ll still see this behavior. This is because these operating systems will use a virtual ISATAP network adapter.

    If you really don’t want this to happen or if it is causing a problem on one of your servers, you can do one of two things on that machine to force IPv4. That computer will then only be able to use IPv4 and DirectAccess clients will rely on the NAT64 and DNS64 features of UAG to reach that machine (if it needs to).
    1.Disable IPv6 using the Registry
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\TCPIP6\Parameters]
    “DisabledComponents”=dword:ffffffff

    OR

    2.Disable just the ISATAP adapter using NetSh
    netsh interface ipv6 isatap set state disabled

    Was heisst das fuer mich? An IPv6 Einstellungen wurde nirgends etwas vorgenommen. Die ganzen Netze nutzen IPv4 intern. Faengt dann nun etwas an IPv6 zu sprechen in meinen Netzen? Irgendwie steh ich heir gerade auf dem Schlauch.

    Vielen Dank

    LG


    • Bearbeitet teccy Mittwoch, 14. September 2011 12:43
    Mittwoch, 14. September 2011 12:42

Antworten

  • Hi,

    wenn Du die GlobalDNS Blocklist auf den DNS Server fuer ISATAP deaktivierst und einen A REcord im DNS Auf den Namen ISATAP erstellst, welcher auf Deinen UAG Server zeigt, aktiviert jeder Windows Vista und hoeher Client (ab Server 2008) sein ISATAP Interface und registriert zusaetzlich zu seiner IPv4 Adresse noch eine IPv6 Adresse. der DA Client kann dann ueber den UAG mit den ISATAP "Clients" kommunizieren. Fuer nicht ISATAP faehige Clients macht der UAG Server dann NAT64 und DNS64 als Router (das unterscheidet u. a. UAG auch vom DA in Windows Server 2008 R2, wo Du keinen NAT64/DNS64 Router hast). Du kannst auch statt ISATAP global zu aktivieren in den HOSTS Dateien der Rechner die vom DA Client erreicht werden sollen einen Eintrag ISATAP erstellen, welcher auf den UAG Server zeigt, dann hast Du bessere Kontrolle.


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
    • Als Antwort vorgeschlagen Marc.Grote Donnerstag, 15. September 2011 05:35
    • Als Antwort markiert teccy Donnerstag, 15. September 2011 11:28
    Mittwoch, 14. September 2011 17:14

Alle Antworten

  • Hi,

    wenn Du die GlobalDNS Blocklist auf den DNS Server fuer ISATAP deaktivierst und einen A REcord im DNS Auf den Namen ISATAP erstellst, welcher auf Deinen UAG Server zeigt, aktiviert jeder Windows Vista und hoeher Client (ab Server 2008) sein ISATAP Interface und registriert zusaetzlich zu seiner IPv4 Adresse noch eine IPv6 Adresse. der DA Client kann dann ueber den UAG mit den ISATAP "Clients" kommunizieren. Fuer nicht ISATAP faehige Clients macht der UAG Server dann NAT64 und DNS64 als Router (das unterscheidet u. a. UAG auch vom DA in Windows Server 2008 R2, wo Du keinen NAT64/DNS64 Router hast). Du kannst auch statt ISATAP global zu aktivieren in den HOSTS Dateien der Rechner die vom DA Client erreicht werden sollen einen Eintrag ISATAP erstellen, welcher auf den UAG Server zeigt, dann hast Du bessere Kontrolle.


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
    • Als Antwort vorgeschlagen Marc.Grote Donnerstag, 15. September 2011 05:35
    • Als Antwort markiert teccy Donnerstag, 15. September 2011 11:28
    Mittwoch, 14. September 2011 17:14
  • Hi,

    vielen Dank fuer die Antwort.

    Dies bestaetigt mir gerade mein vorgehen. Ich werde es erst mal mit der HOSTS machen, da ich auf IPv6 Kommunikation unter den Hosts keine Lust. Wenn ich das richtig sehe wuerden dann ja auch die Server untereinander anfangen IPv6 zu sprechen oder?

    VG

    Donnerstag, 15. September 2011 05:02
  • Hi,

    ueber IPv6 sprechen die Server nur miteinander, wenn die entsprechenden Applikationen / Protokolle / Schnittstellen etc. fuer IPv6 aktiviert sind und die Network Bindings so eingestellt sind, das IPv6 als erstes verwendet wird. Ein offensichtliches IPv6 Erlebnis ist, wenn Du von einem IPv6 aktivierten Rechner einen Ping ausfuehrst


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
    Donnerstag, 15. September 2011 05:34
  • Hi Teccy,

    beachte auch, dass du die ISATAP Geschicte nur brauchst, wenn du im internen Netzwerk kein IPv6 hast und ein Manage-Out haben willst. Unter Manage-Out versteht man das Szenario, dass ein interner PC auf einen externen DA Client zugreifen möchte (e.g. Remote Assistant o.ä.). Sind es nur wenige inerne PCs die diesen Zugriff brauchen, dann ist die HOSTS Datei sicherlich die bessere Wahl...

    Für alles andere kannst du prima das von Marc erwähnte NAT64/DNS64 Szenario verwenden....

    -Kai


    This posting is provided "AS IS" whithout any warranties. Kai Wilke | ITaCS GmbH | GERMANY, Berlin | www.itacs.de
    Donnerstag, 15. September 2011 12:43