In vielen KMU‑Umgebungen führt die Kombination aus Windows Server, Active Directory und IPv6‑fähigen Routern zu unerwarteten Problemen. Grund: IPv6 ist routerzentriert, während IPv4 DHCP‑zentriert ist.

Diese Best Practice beschreibt eine stabile Hybridlösung:

• IPv4‑DHCP über Windows Server
• IPv6‑DHCPv6 über den Router
• IPv6‑DNS zeigt auf den Windows‑DNS
• Windows‑DHCP wird vom IPv6‑Adapter entbunden

Diese Architektur ist robust, AD‑kompatibel und für KMU leicht wartbar.

IPv6 funktioniert grundlegend anders als IPv4:

• Router bestimmen das Netzverhalten (RA, Prefix, Flags)
• Viele Router erwarten, selbst DHCPv6 zu sein
• Windows‑Clients bevorzugen IPv6‑DNS gegenüber IPv4‑DNS
• Active Directory benötigt zwingend den Windows‑DNS

Wenn Router bei IPv6 ihren eigenen DNS verteilen, entstehen sofort Probleme:

• Domänenbeitritt schlägt fehl
• GPOs werden nicht angewendet
• Kerberos fällt auf NTLM zurück
• Loginzeiten verlängern sich massiv
• DFS und Autodiscover funktionieren nicht zuverlässig

• Router ignorieren Firewallregeln, wenn sie nicht selbst DHCPv6 machen
• RA‑Flags werden falsch gesetzt (M/O‑Flags)
• Router verteilen Provider‑DNS → AD bricht
• Windows‑DHCPv6 konkurriert mit Router‑RA
• Clients nutzen IPv6‑DNS des Routers statt Windows‑DNS

• Standard‑DHCP‑Scope einrichten
• DNS‑Server = Windows‑DNS
• Gateway = Router
• Keine Besonderheiten

• Router bleibt „Chef“ für IPv6
• Router verteilt:
  • Prefix (z. B. /64)
  • RA‑Flags (M/O)
  • DHCPv6‑Optionen
• Wichtig: DNS‑Server = Windows‑DNS (AAAA‑Adresse) muss fix vergeben sein, am besten ausserhalb de s DHCP bereichs, damit keine überschneidungen entstehen

• DHCP‑Konsole → IPv6‑Binding deaktivieren
• verhindert Konflikte zwischen Router‑RA und Windows‑DHCPv6
• verhindert Rogue‑Detection‑Fehlalarme
• Windows bleibt rein IPv4‑DHCP‑Server

• Windows‑DNS muss sowohl IPv4‑ als auch IPv6‑Adresse besitzen
• Router‑DHCPv6 muss diese IPv6‑DNS‑Adresse verteilen
• Keine externen DNS‑Server an Clients

• Stabile AD‑Funktionalität
• Keine Konflikte zwischen Router und Windows
• Router‑Firewall arbeitet korrekt
• Prefix Delegation bleibt konsistent
• Wenig Komplexität → KMU‑tauglich
• Klare Verantwortlichkeiten:
  • Router = IPv6
  • Windows = DNS + IPv4

Diese Hybridlösung ist nicht „akademisch schön“, aber in der Praxis die stabilste und wartbarste Variante für KMU‑Netze mit Active Directory. Sie berücksichtigt die Eigenheiten vieler Router und stellt sicher, dass Windows‑Clients immer den korrekten DNS verwenden.

Das folgende Diagramm zeigt die Rollenverteilung zwischen Router, Windows-Server und Clients im Hybridbetrieb.

                           +---------------------------+
                           |         Internet          |
                           +-------------+-------------+
                                         |
                                         |
                                 Prefix Delegation
                                         |
                           +-------------v-------------+
                           |         Router            |
                           |  - IPv6 Routing           |
                           |  - RA (M/O Flags)         |
                           |  - DHCPv6                 |
                           |  - Firewall               |
                           |  - DNS-Weiterleitung (optional)
                           +-------------+-------------+
                                         |
                                         |  IPv4 + IPv6
                                         |
                   +---------------------+----------------------+
                   |                                            |
                   |                                            |
       +-----------v-----------+                     +-----------v-----------+
       |    Windows Server     |                     |        Clients        |
       |  - IPv4 DHCP          |                     |  - IPv4 via DHCP      |
       |  - DNS (A + AAAA)     |                     |  - IPv6 via RA/DHCPv6 |
       |  - AD / GPO / Kerb.   |                     |  - DNS = Win-Server   |
       |  - DHCPv6 deaktiviert |                     |                        |
       +------------------------+                     +------------------------+

IPv4:
Client ---> Windows DHCP ----> IPv4-Adresse, Gateway, DNS

IPv6:
Router ---> RA (Prefix, Flags) ---> Client
Router ---> DHCPv6 ---------------> Client (DNS = Windows-Server)

DNS:
Client (IPv4/IPv6) ---> Windows DNS ---> AD, SRV-Records, Kerberos

Router:
 - IPv6 Routing
 - RA (Router Advertisements)
 - DHCPv6
 - Firewall
 - Prefix Delegation

Windows Server:
 - IPv4 DHCP
 - DNS (A + AAAA)
 - Active Directory
 - GPO, Kerberos, SRV-Records

Clients:
 - Beziehen IPv4 vom Windows-Server
 - Beziehen IPv6 vom Router
 - Nutzen Windows-DNS für AD-Funktionalität

 - Stabile AD-Funktionalität
 - Keine Konflikte zwischen Router und Windows-DHCPv6
 - Router-Firewall funktioniert korrekt
 - IPv6 bleibt konsistent und sauber
 - Wenig Komplexität → ideal für KMU

Für eine stabile Active-Directory-Umgebung **muss** der Windows-DNS-Server eine **fest vergebene IPv6-Adresse** besitzen, die **außerhalb des DHCPv6-Bereichs** liegt.

• DHCPv6 verteilt DNS-Server an Clients.
• Wenn der Windows-DNS eine dynamische IPv6-Adresse hätte, könnte sich diese ändern.
• Clients würden dann einen veralteten DNS-Eintrag nutzen → AD-Funktionalität bricht zusammen.
• Viele Router vergeben bei SLAAC/DHCPv6 automatisch Adressen, die sich nach Reboot ändern können.
• Nur eine statische IPv6-Adresse garantiert:
  • stabile DNS-Auflösung
  • funktionierende SRV-Record-Lokalisierung
  • zuverlässige Kerberos-Authentifizierung
  • funktionierende GPO-Verteilung

• Windows-DNS erhält eine **manuell konfigurierte IPv6-Adresse** (z. B. `2001:db8:1234:1000::53`)
• Adresse liegt **außerhalb** des DHCPv6-Pools des Routers
• Router-DHCPv6 verteilt exakt diese Adresse als DNS-Server
• Reverse-Zone (`ip6.arpa`) optional, aber empfehlenswert

                     DHCPv6-Pool (Router)
        2001:db8:1234:1000::100  ------------------>  2001:db8:1234:1000::1ff
                     |                                         |
                     |                                         |
                     |                                         |
        +------------+----------------+            +------------+------------+
        |   NICHT für statische DNS   |            |   Statische IPv6 für   |
        |         verwenden           |            |     Windows-DNS        |
        +-----------------------------+            +-------------------------+
                                                          2001:db8:1234:1000::53

• Domänenbeitritt schlägt fehl
• GPOs werden nicht angewendet
• Kerberos fällt auf NTLM zurück
• Loginzeiten steigen massiv
• DFS/Autodiscover funktionieren nicht zuverlässig
• Clients nutzen falschen DNS (Router/Provider)

Eine statische IPv6-Adresse für den Windows-DNS ist **essentiell** für jede AD-Umgebung mit aktiviertem IPv6. Sie verhindert DNS-Drift, sorgt für stabile Erreichbarkeit des Domain Controllers und garantiert eine zuverlässige Client-Authentifizierung.