IPv6 versus IPv4 - Comment prioriser les flux IPv4 dans Windows

 

1. Introduction

Dans le cadre du déploiement de stations de travail Windows Vista et/ou 7 et de serveurs Windows Server 2008 et/ou 2008 R2, IPv6 est installé par défaut. Pour autant votre infrastructure n’est pas forcément prête pour IPv6. Aussi seuls les plans d'adressage IPv4 sont en place dans l'environnement réseau. Vous avez la tentation de neutraliser IPv6. Cet article a pour but de définir quels sont les impacts et limites (au niveau du support) de désactiver IPv6, d'une part, ou comment prioriser les flux IPv4 par rapport à ceux IPv6, d'autre part.

2. Laisser ou retirer IPv6 ?

2.1    Position officielle de Microsoft sur la supportabilité d'IPv6

Microsoft ne recommande pas la désactivation du protocole IPv6, lorsque décoché dans les options d'une interface réseau, ou lorsque IPv6 est désactivé dans le registre (clé HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\TCPIP6).
Depuis Windows Vista et Windows Server 2008, IPv6 fait partie intégrante du système d'exploitation. De plus, le groupe produit n'a pas testé la désactivation d'IPv6.

Certains composants utilisent nativement IPv6 :
- Remote Assistance
- Windows Meeting Space (P2P)
- Homegroup
- DirectAccess
- Client Side Caching (offline files) et BranchCache (Windows Server 2008 R2 et Windows 7)

Ainsi en cas de désactivation d'IPv6, le support Microsoft sera limité. La première action demandée par le support est … la réactivation d'IPv6.

Par ailleurs certaines applications, autres que Microsoft, peuvent aussi avoir des prérequis sur IPv6.

2.2    Fonctionnement d'IPv6

Formation d'une adresse IPv6 : contrairement à IPv4, il n'existe pas d'adresse APIPA, mais une adresse IPv6 peut être formée soit à partir d'informations locales (adresse MAC de l'interface), soit par un bail DHCPv6, soit par un préfixe attribué par un équipement réseau.

  • Configuration automatique par l'hôte d'une adresse 'local-link' pour chaque interface :
    • Découverte des routeurs (sollicitation des routeurs et analyse des messages d'annonce des routeurs) qui permet de déterminer les adresses des routeurs voisins, les adresses 'stateless', les préfixes 'on-link' et autres paramètres de configuration.
    • Trois types de configuration :
      • STATELESS : la configuration de l'adresse IPv6 est basée sur la réception des messages d'annonce des routeurs :
        • Managed Address Configuration : flag à 0
        • Other Stateful Configuration : flag à 0
        • Une ou plusieurs informations de préfixes
        • Autonomous : flag à 1
      • STATEFUL : la configuration est basée sur le protocole de configuration des adresses, comme DHCPv6, qui permet d'obtenir les paramètres de configuration. Un hôte utilise l'auto configuration STATEFUL quand il reçoit un message d'annonce d'un routeur (ou sans routeurs sur un lien local) :
        • sans option d'information de préfixe
        • Managed Address Configuration : flag à 1
        • Other Stateful Configuration : flag à 1
      • BOTH : la configuration de l'adresse IPv6 est basée sur la réception des messages d'annonce des routeurs :
        • Managed Address Configuration : flag à 1
        • Other Stateful Configuration : flag à 1
        • Autonomous : flag à 1
    • Statut des adresses auto configurées :
      • Tentative : en cours de vérification si cette adresse est bien unique, pendant ce temps l'adresse peut recevoir des messages multicast
      • Valid : l'adresse peut être utilisée pour recevoir du trafic unicast.
      • Preferred : l'adresse est valide et unique et peut être utilisée pour tout type de communication. Cette adresse reste dans ce statut le temps définit par le champ "preferred lifetime" correspondant à l'option d'information du préfixe du message d'annonce du routeur, ou l'option d'adresse DHCPv6 IA
      • Deprecated : Cette adresse est valide et unique. Elle n'est pas utilisée prioritairement pour les nouvelles communications. Les communications existantes continuent de transiter par cette interface.
      • Invalid : l'adresse n'est valide et ne peut pas être utilisée. La transition s'effectue lorsque la période définie par le flag 'lifetime' expire.
    • Processus d'auto configuration :
      • Tentative d'adresse locale (local-link) dérivée du préfixe local FE80::/64 et de l'identifiant EUI-64 dérivé de l'interface.
      • Vérification s'il n'existe pas de dupliqua de l'adresse avec envoi d'un message "Neighbor Solicitation"
      • Si un message "Neighbor advertisement" est reçu (réponse au "Neighbor Solicitation") ceci indique qu'un autre hôte est dans le même processus et donc le processus d'auto configuration s'arrête. Dans ce cas il faut procéder à une configuration manuelle.
      • Si pas de message "Neighbor advertisement" reçu l'adresse est considérée comme unique et valide. Cette adresse est enregistrée pour l'adaptateur.

Exemple :

Wireless LAN adapter Wireless Network Connection:

Connection-specific DNS Suffix . : Description . . . . . . . . . . . : Intel(R) WiFi Link 5300 AGN Physical Address. . . . . . . . . : 00-21-6A-15-89-46 DHCP Enabled. . . . . . . . . . . : Yes Autoconfiguration Enabled . . . . : Yes IPv6 Address. . . . . . . . . . . : 2a01:e35:2f31:a90:8c9a:89e0:c75f:5ada(Preferred) => Ceci est une adresse IPv6 publique Temporary IPv6 Address. . . . . . : 2a01:e35:2f31:a90:b4f5:1d4c:3801:97d8(Preferred) Link-local IPv6 Address . . . . . : fe80::7c9a:89e0:c75f:5adb%11(Preferred) IPv4 Address. . . . . . . . . . . : 192.168.100.25(Preferred) Subnet Mask . . . . . . . . . . . : 255.255.255.0 Lease Obtained. . . . . . . . . . : Monday, March 14, 2011 08:46:29 Lease Expires . . . . . . . . . . : Tuesday, March 15, 2011 02:46:29 Default Gateway . . . . . . . . . : fe80::224:d4ff:fead:6c9a%11 192.168.100.254 DHCP Server . . . . . . . . . . . : 192.168.100.254 DNS Servers . . . . . . . . . . . : 192.168.100.254 NetBIOS over Tcpip. . . . . . . . : Enabled

Ethernet adapter Local Area Connection:

Connection-specific DNS Suffix . : contoso.com Description . . . . . . . . . . . : Intel(R) 82567LM Gigabit Network Connection Physical Address. . . . . . . . . : 00-22-68-10-42-61 DHCP Enabled. . . . . . . . . . . : Yes Autoconfiguration Enabled . . . . : Yes Link-local IPv6 Address . . . . . : fe80::c0e:3ae3:e603:a029%10(Preferred) => Ceci est une adresse 'privée' non routable, non enregistrable dans le DNS IPv4 Address. . . . . . . . . . . : 8.8.7.11(Preferred) Subnet Mask . . . . . . . . . . . : 255.255.255.128 Lease Obtained. . . . . . . . . . : Sunday, March 13, 2011 11:04:29 Lease Expires . . . . . . . . . . : Tuesday, March 15, 2011 14:14:41 Default Gateway . . . . . . . . . : 8.8.7.1 DHCP Server . . . . . . . . . . . : 8.8.7.9 DHCPv6 IAID . . . . . . . . . . . : 234889832 DHCPv6 Client DUID. . . . . . . . : 00-01-00-01-14-76-C7-5E-00-22-68-10-43-61

DNS Servers . . . . . . . . . . . : 8.8.7.3 8.8.7.8 NetBIOS over Tcpip. . . . . . . . : Enabled

  • Tableau des préfixes IPv6 :

Prefix

Name

Use

Comment

FE80::/64

Link local Unicast

Not routable

Always present

2000:/3

Global Unicast

Fully routable

Must be assigned by router, DHCPv6 or manually

2002::/16

6to4 Unicast

(Global)

Fully Routable

Only present when 6to4 router is available or on host with public IPv4 address. The 6to4 prefix contains the IPv4 address of the 6to4 host

2001::/32

Teredo Unicast

(Global)

Fully Routable

Only present with a private IPv4 address and Teredo servers “visible”

FC00::/8

Unique Local

(Global in usage)

Routable on Private network

A centrally assigned “private” address which behaves like a global address but only within a private network

FD00::/8

Unique Local

Routable on Private network

A locally assigned “private” address which behaves like a global address but only within a private network.

2001:db8::/16

Global Unicast

Routable

For documentation only

FF00::/8

Multicast

Depends on type

IPv6 multicasts are “scoped” FF0 means “well known multicast” the 4th character indicates scope.

EXAMPLES in the next 4 rows of this table

FF02::/8

“Well known”Link Local Multicast

Link Local

Not routable multicast registered at www.iana.org e.g. FF02::2 is all routers on this link

FF12::/16

“locally assigned” Link Local Multicast

 

Link local only but assigned locally – not registered.

FF05::/16

Well-known site Local multicast

 

Routable within this site and registered at www.iana.org

FF0E::/16

Well-known global multicast

 

Fully routable multicast registered at www.iana.org (limited support on the internet for this)

FEC0::/10   

Site local   

Routable within a site

A private routable address prefix – now deprecated i.e. DO NOT USE

Estimation de l'impact d'avoir des adresses IPv6 :
- il y aura plus de requêtes DHCP liées à IPv6.
- Il n'est pas possible de désactiver la mécanique de recherche de serveur DHCP v4 par rapport à v6. Autrement dit, il n'est pas possible de débrayer uniquement DHCPv6.

2.3    Comment prioriser les flux IPv6 ?

Si IPv6 n'est pas utilisé (sur les réseaux internes, et non pas dans la zone Internet), il est possible d'optimiser le fonctionnement de Windows en priorisant par exemple IPv4. Ceci ne désactive pas IPv6, mais son utilisation devient secondaire (résolution DNS, etc.).

Pour cela il faut modifier sur les postes de travail Windows Vista et Windows 7, mais aussi sur les serveurs Windows Server 2008 et Windows Server 2008 R2 :

  • la valeur DisabledComponents à 0x20
  • dans la clé HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\TCPIP6\Parameters, comme décrit dans l'article KB929852.

A noter que ces paramètres peuvent être positionnés via une stratégie de groupe (un exemple est disponible au chapitre 5).
Attention ce changement n’est pris en compte qu’après le premier redémarrage de la machine.

2.4    Comment bloquer les enregistrements IPv6 dans les zones DNS ?

Pour bloquer un enregistrement AAAA dans les zones DNS (correspondant à une adresse IPv6) :

  • Sur une interface réseau, éditer les propriétés IPv6
  • Cliquer ensuite sur le bouton Advanced.
  • Décocher l'option "enregistrer cette adresse de connexion dans le DNS" (Register this connection's address in DNS), puis sur OK    

Note : les adresses avec un préfixe FE80::/64 sont des adresses automatiques 'local link', non routables, et qui ne s'enregistrent pas dans le DNS.

2.5    Impact d'IPv6 ?

En synthèse :

  • Contrairement à IPv4, les adresses IPv6 en fonction de leur préfixe, sont routables ou pas. Pour être plus précis, certaines adresses sont routables uniquement pour des réseaux internes, et d'autres vers des réseaux externes (voir tableau des préfixes IPv6).
  • Par défaut toute machine avec le protocole IPv6 activé aura automatiquement une adresse commençant par FE80:: si les routeurs, commutateurs, ou DHCPv6 ne sont pas configurés pour IPv6. Cette adresse n'est pas routable. Elle n'est pas enregistrée dans le DNS.
  • Si aucun scope DHCPv6 n'est configuré pour IPv6, alors aucune adresse IPv6 ne sera délivrée aux utilisateurs. Toutefois, par un mécanisme de découverte des clients, en fonction de certains équipements réseau, type routeurs, des adresses IPv6 peuvent être constituées par les clients.
  • Les autres composants liés à IPv6 sont :
  • Impact sur la volumétrie des flux, si IPv6 n'est pas implémenté au niveau des équipements réseau : faible, lié essentiellement aux requêtes DHCPv6 (non débrayable) et aux messages "Neighbor Solicitation".

 

2.6    Comment paramétrer les machines Vista/7/2008/2008R2 pour prioriser IPv4

2.6.1    Modification du registre sur les machines (Vista / 7 / 2008 / 2008 R2)

Aller dans HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\TCPIP6\Parameters
Créer une valeur REG_DWORD : DisabledComponents à 0x20
Ne pas oublier que ceci est pris en compte au redémarrage de la machine.

2.6.2    Utilisation des stratégies de groupe Active Directory

Utiliser les fichiers contenus dans l'archive :

  • Ajout des modèles de stratégie sur un contrôleur de domaine 2008 / 2008 R2
    • IPv6Configuration.admx – Copier ce fichier dans %SYSTEMROOT%\PolicyDefinitions sur le PDC Emulator
    • .\en-US\IPv6Configuration.adml – Copier ce fichier dans %SYSTEMROOT&\PolicyDefinitions\en-US sur le PDC Emulator
    • .\fr-FR\IPv6Configuration.adml – Copier ce fichier dans %SYSTEMROOT&\PolicyDefinitions\fr-FR sur le PDC Emulator

Attention : dans le cadre de l'utilisation des modèles de stratégies de groupe centralisées, il faut aussi copier les fichiers ici :

    • IPv6Configuration.admx : copier ce fichier dans \\domaine\sysvol\domaine\policies\PolicyDefinitions
    • .\en-US\IPv6Configuration.adml : copier ce fichier dans \\domaine\sysvol\domaine\policies\PolicyDefinitions\en-US 
    • .\fr-FR\IPv6Configuration.adml : copier ce fichier dans \\domaine\sysvol\domaine\policies\PolicyDefinitions\fr-FR

Pour configurer la stratégie de groupe, il faut via la console de gestion des stratégies de groupe (GPMC) pour configurer les paramètres IPv6 :

    • Aller dans Configuration Ordinateur > Stratégies > Modèles d'Administration > Réseau > IPv6 Configuration
    • Editer la stratégie "IPv6 Configuration Policy"    
    • Activer la stratégie, puis dans la liste déroulante choisir "Prefer IPv4 over IPv6"    
  • Ajout des modèles de stratégie sur un contrôleur de domaine 2003
    • A partir des exemples du chaptire 5, créez le fichier adm qui correspond à la langue du contrôleur de domaine et via la GPMC :
      • Aller dans Configuration Ordinateur / Modèles d'administration puis via un clic droit, charger le fichier *.adm    
      • Ensuite dans Configuration Ordinateur / Modèles d'administration / Réseau / IPv6.
      • Dans le menu Affichage, choisir l'option Filtrage. Décocher les deux options : "afficher uniquement les paramètres de stratégie configurés" et "N'afficher que les paramètres de stratégie pouvant être entièrement gérés"    
      • Cocher l'option "activer", et dans la liste déroulante "Prioriser IPv4 par rapport à IPv6"

2.7    Interfaces 6TO4 dynamiquement créées

Lorsque nous utilisons une adresse IPv4 correspondant à une plage dite “publique” au sens RFC 1918, l’interface 6TO4 est dynamiquement créée. Attention : ces interfaces, dont l’adresse IPv6 commence avec le préfixe 2002::, s’enregsitrent dans le DNS avec des entrées HOST (AAAA). La conséquence est que les résolutions de nom se font par défaut prioritairement via IPv6 : ceci peut générer de la latence dans la résolution de nom et affecter la performance de vos applications.

Détail des plages d’adresse IPv4 considérées comme privées par la RFC 1918 :

10.0.0.0 à 10.255.255.255 Masque 255.0.0.0
172.16.0.0 à 172.31.255.255 Masque 255.255.0.0
192.168.0.0 à 192.168.255.255 Masque 255.255.255.0

Quelles sont les solutions pour bloquer, le cas échéant, les interfaces 6TO4 ?

2.7.1 Désactivation de l’interface 6to4 via une stratégie de groupe

La stratégie de groupe à paramétrer est la suivante :

- Computer configuration
   - Stratégies
      - Modèles d’administration
         - Réseau
            - Paramètres TCPIP
               - Technologies de transition IPv6
                  - Stratégie : “Etat 6to4” à positionner en “désactivé

Attention, une fois appliquée la stratégie ne sera prise en compte par les machines qu’à leur redémarrage.

2.7.2 Désactivation de l’interface 6to4 via NETSH

Il est aussi possible d’utiliser la commande NETSH suivante pour désactiver l’interface 6to4 : “netsh interface 6to4 set state disabled”. Remarque : penser à lancer cette commande à partir d’un cmd ouvert avec élévation de privilège. Attention ce paramètre requiert un redémarrage de la machine pour effectivement être pris en compte.

2.7.3 Désactivation de l’interface 6to4 via le regsitre

Il est aussi possible de créer ou modifier la valeur REG_DWORD "Enable6to4" à 3 dans la clé HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\iphlpsvc\config. Attention ce paramètre requiert un redémarrage de la machine pour effectivement être pris en compte.

3    Conclusion

Pour rester dans un environnement recommandé par le support Microsoft, il ne faut donc pas désactiver IPv6, mais plutôt prioriser les flux IPv4.

Sur des postes Windows 7, Windows Vista et les serveurs Windows Server 2008 et 2008 R2, l'activation de la valeur DisabledComponents à 0x20, suivit d'un redémarrage, permet de ne pas avoir de soucis. Pour autant certains flux IPv6 persisteront comme les messages de découvertes et les requêtes DHCPv6.

De plus, afin d'anticiper une possible évolution de votre infrastructure, le fait de ne pas désactiver IPv6 permettra de minimiser les opérations lors de l'implémentation de scope DHCPv6 (par exemple) ou la mise en place de DirectAccess.

Enfin, lorsque la couche IPv6 est installée sur un poste Windows XP ou un serveur Windows Server 2003 (R2), il n’est pas possible de prioriser les flux IPv4. Ainsi les requêtes DNS se feront toujours d’abord sur des adresses IPv6 (enregistrements AAAA) puis sur des adresses IPv4 (enregistrements A) ce qui peut occasionner des latences. La valeur DisabledComponents n’existe pas pour XP ou 2003.

4    References

Concernant les préfixes IPv6, je recommande l'excellent article : https://technet.microsoft.com/en-us/library/dd392266(WS.10).aspx 
Concepts sur les passerelles IPv4/IPv6 : https://technet.microsoft.com/en-us/library/dd379548(WS.10).aspx 
Article intéressant sur la nécessité de laisser IPv6 avec Windows Server 2008 R2 : https://technet.microsoft.com/en-us/magazine/2009.07.cableguy.aspx

5. Modèles pour les stratégies de groupe

 

5.1. Windows Server 2008 et Windows Server 2008 R2 :

  • Fichier IPv6Configuration.admx :

<?xml version="1.0" encoding="utf-8"?> <!-- (c) 2006 Microsoft Corporation --> <policyDefinitions xmlns:xsd="https://www.w3.org/2001/XMLSchema" xmlns:xsi="https://www.w3.org/2001/XMLSchema-instance" revision="1.0" schemaVersion="1.0" xmlns="https://schemas.microsoft.com/GroupPolicy/2006/07/PolicyDefinitions"> <policyNamespaces> <target prefix="ConfigureIPv6" namespace="Microsoft.Policies.ConfigureIPv6" /> <using prefix="windows" namespace="Microsoft.Policies.Windows" /> </policyNamespaces> <resources minRequiredRevision="1.0" /> <supportedOn> <definitions> <definition name="SUPPORTED_VISTA" displayName="$(string.SUPPORTED_VISTA)" /> </definitions> </supportedOn> <categories> <category name="ConfigureIPv6" displayName="$(string.ConfigureIPv6)"> <parentCategory ref="windows:Network" /> </category> </categories> <policies> <policy name="ConfigureIPv6" class="Machine" displayName="$(string.ConfigureIPv6_TitleText)" explainText="$(string.ConfigureIPv6_Explain)" presentation="$(presentation.DisabledComponents)" key="SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters" valueName="DisabledComponents"> <parentCategory ref="ConfigureIPv6" /> <supportedOn ref="SUPPORTED_VISTA" /> <elements> <enum id="ConfigureIPv6" valueName="DisabledComponents" required="true"> <item displayName="$(string.EnableIPv6)"> <value> <decimal value="0" /> </value> </item> <item displayName="$(string.DisableIPv6)"> <value> <decimal value="4294967295" /> </value> </item> <item displayName="$(string.Disable6to4)"> <value> <decimal value="2" /> </value> </item> <item displayName="$(string.DisableISATAP)"> <value> <decimal value="4" /> </value> </item> <item displayName="$(string.DisableTeredo)"> <value> <decimal value="8" /> </value> </item> <item displayName="$(string.DisableTeredo6to4)"> <value> <decimal value="10" /> </value> </item> <item displayName="$(string.DisableTunnelIPv6)"> <value> <decimal value="1" /> </value> </item> <item displayName="$(string.DisableNativeIPv6)"> <value> <decimal value="16" /> </value> </item> <item displayName="$(string.DisableInterfacesIPv6)"> <value> <decimal value="17" /> </value> </item> <item displayName="$(string.PreferIPv4)"> <value> <decimal value="32" /> </value> </item> </enum> </elements> </policy> </policies> </policyDefinitions>   

 

  • Fichier fr-FR/IPv6Configuration.adml :

<?xml version="1.0" encoding="utf-8"?> <policyDefinitionResources xmlns:xsd="https://www.w3.org/2001/XMLSchema" xmlns:xsi="https://www.w3.org/2001/XMLSchema-instance" revision="1.0" schemaVersion="1.0" xmlns="https://schemas.microsoft.com/GroupPolicy/2006/07/PolicyDefinitions"> <displayName>type the full name here</displayName> <description>type the description here</description> <resources> <stringTable> <string id="EnableIPv6">Activer tous les composants IPv6 (par défaut)</string> <string id="DisableIPv6">Désactiver tous les composants IPv6</string> <string id="Disable6to4">Désactiver 6to4</string> <string id="DisableISATAP">Désactiver ISATAP</string> <string id="DisableTeredo">Désactiver Teredo</string> <string id="DisableTeredo6to4">Désactiver Teredo et 6to4</string> <string id="DisableTunnelIPv6">Désactiver tous les tunnels sur les interfaces</string> <string id="DisableNativeIPv6">Désactiver les interfaces IPv6 natives</string> <string id="DisableInterfacesIPv6">Désactiver toutes les interfaces de tunnel IPv6</string> <string id="PreferIPv4">Prioriser IPv4 par rapport à IPv6</string> <string id="ConfigureIPv6_TitleText">Stratégie de configuration IPv6</string> <string id="ConfigureIPv6_Explain">Cette stratégie configure IPv6 sur les interfaces réseau. Par défaut, Windows 7, Windows Server 2008 R2, Windows Server 2008 et Windows Vista active et utilise IPv6 comme protocole par défaut.

Lorsque cette stratégie est activée, il est possible de spécifier comment Windows utilise IPv6. Pour prioriser les flux IPv4, sélectionner "Utiliser IPv4 au lieu de IPv6 dans les stratégies de préfixe." Les autres paramètres désactivent des fonctionnalités IPv6 sur des interfaces spécifiques.

Note: Il n'est pas possible de désactiver IPv6 sur la carte de bouclage (Loopback). Il n'est pas recommandé de désactiver IPv6.

Si cette stratégie est désactivée, IPv6 sera complètement actif sur les machines. Il n'est pas recommandé de désactiver IPv6 sur les interfaces réseau. Il est préférable de prioriser les flux IPv4 par rapport à ceux IPv6, en sélectionnant l'option "Prioriser IPv4 par rapport à IPv6"

Si cette stratégie n'est pas configurée, les paramètres IPv6 ne seront pas configurés et forcés sur les machines, et ces dernières continueront d'utiliser les paramètres locaux. Lire la note a propos des références ci-dessous.

Pour plus d'informations, regarder l'article https://support.microsoft.com/default.aspx/kb/929852</string> <string id="ConfigureIPv6">Configuration IPv6</string> <string id="SUPPORTED_VISTA">Au minimum Windows Vista / Windows Server 2008</string> </stringTable> <presentationTable> <presentation id="DisabledComponents"> <dropdownList refId="ConfigureIPv6" noSort="true">Configuration IPv6</dropdownList> </presentation> </presentationTable> </resources> </policyDefinitionResources>

 

  • Fichier en-US/IPv6Configuration.adml :

<?xml version="1.0" encoding="utf-8"?> <policyDefinitionResources xmlns:xsd="https://www.w3.org/2001/XMLSchema" xmlns:xsi="https://www.w3.org/2001/XMLSchema-instance" revision="1.0" schemaVersion="1.0" xmlns="https://schemas.microsoft.com/GroupPolicy/2006/07/PolicyDefinitions"> <displayName>type the full name here</displayName> <description>type the description here</description> <resources> <stringTable> <string id="EnableIPv6">Enable all IPv6 components (default)</string> <string id="DisableIPv6">Disable all IPv6 components</string> <string id="Disable6to4">Disable 6to4</string> <string id="DisableISATAP">Disable ISATAP</string> <string id="DisableTeredo">Disable Teredo</string> <string id="DisableTeredo6to4">Disable Teredo and 6to4</string> <string id="DisableTunnelIPv6">Disable all tunnel interfaces</string> <string id="DisableNativeIPv6">Disable all LAN and PPP interfaces</string> <string id="DisableInterfacesIPv6">Disable all LAN, PPP and tunnel interfaces</string> <string id="PreferIPv4">Prefer IPv4 over IPv6</string> <string id="ConfigureIPv6_TitleText">IPv6 Configuration Policy</string> <string id="ConfigureIPv6_Explain">This policy configures IPv6 on network interfaces. By default, Windows 7, Windows Server 2008 and Windows Vista enable and use IPv6 as the default protocol.

If you enable this policy, you can specify how Windows uses IPv6. To fully disable IPv6 functionality, select "Disable all IPv6 components." Other settings disable IPv6 on specific interfaces.

Note: You cannot disable IPv6 on the loopback adapter. It's not recommended disabling IPv6 on network interfaces. It's better to priorize IPv4 versus IPv4 selecting the option "Prefer IPv4 over IPv6".

If you disable this policy, IPv6 will be fully enabled on the computer.

If you do not configure this policy, IPv6 settings will not be configured or enforced and the computer will continue to use its current configuration. Read the note about preferences below.

See https://support.microsoft.com/default.aspx/kb/929852 for more information.</string> <string id="ConfigureIPv6">IPv6 Configuration</string> <string id="SUPPORTED_VISTA">At least Windows Vista</string> </stringTable> <presentationTable> <presentation id="DisabledComponents"> <dropdownList refId="ConfigureIPv6" noSort="true">IPv6 Configuration</dropdownList> </presentation> </presentationTable> </resources> </policyDefinitionResources>

 

5.2. Windows Server 2003 (R2)

 

  • Fichier IPv6-EN.adm :

#if version <= 2 #endif

CLASS MACHINE CATEGORY !!Network CATEGORY !!IPV6

        POLICY !!IPv6Cfg KEYNAME "SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters" #if version >= 4 SUPPORTED !!SUPPORTED_WindowsVista #if version >= 3 EXPLAIN !!DisableIPv6_help #endif

        PART !!DisabledComponentsMode DROPDOWNLIST REQUIRED VALUENAME "DisabledComponents" ITEMLIST NAME !!DisabledComponentsModeEnableIPv6 VALUE NUMERIC 0 DEFAULT NAME !!DisabledComponentsModeDisableIPv6 VALUE NUMERIC 4294967295 NAME !!DisabledComponentsModeDisable6to4 VALUE NUMERIC 2 NAME !!DisabledComponentsModeDisableISATAP VALUE NUMERIC 4 NAME !!DisabledComponentsModeDisableTeredo VALUE NUMERIC 8 NAME !!DisabledComponentsModeDisableTeredo6to4 VALUE NUMERIC 10 NAME !!DisabledComponentsModeDisableTunnelIPv6 VALUE NUMERIC 1 NAME !!DisabledComponentsModeDisableNativeIPv6 VALUE NUMERIC 16 NAME !!DisabledComponentsModeDisableInterfacesIPv6 VALUE NUMERIC 17 NAME !!DisabledComponentsModePreferIPv4 VALUE NUMERIC 32 END ITEMLIST END PART END POLICY

    END CATEGORY ;; Réseau END CATEGORY ;; WindowsComponents

[strings] WindowsComponents="Windows Components" Network="Network" IPV6="IPv6" SUPPORTED_WindowsVista="At least Microsoft Windows Vista"

IPv6Cfg="IPv6 Configuration for Windows" DisableIPv6_help="This policy configures IPv6 on network interfaces. \n\nBy default, Windows 7, Windows Server 2008 and Windows Vista enable and use IPv6 as the default protocol.\n\nIf you enable this policy, you can specify how Windows uses IPv6. To fully disable IPv6 functionality, select "Disable all IPv6 components." Other settings disable IPv6 on specific interfaces.\n\nNote: You cannot disable IPv6 on the loopback adapter.It's not recommended to disable IPv6 on network interfaces. It's better to priorize IPv4 versus IPv6 slection the option 'Prefer IPv4 over IPv6'\n\nIf you disable this policy, IPv6 will be fully enabled on the computer.\n\nIf you do not configure this policy, IPv6 settings will not be configured or enforced and the computer will continue to use its current configuration. Read the note about preferences below.\n\nSee https://support.microsoft.com/default.aspx/kb/929852 for more information."

DisabledComponentsMode="IPv6 configuration for interfaces:" DisabledComponentsModeEnableIPv6="Enable all IPv6 components (default)" DisabledComponentsModeDisableIPv6="Disable all IPv6 components" DisabledComponentsModeDisable6to4="Disable 6to4" DisabledComponentsModeDisableISATAP="Disable ISATAP" DisabledComponentsModeDisableTeredo="Disable Teredo" DisabledComponentsModeDisableTeredo6to4="Disable Teredo and 6to4" DisabledComponentsModeDisableTunnelIPv6="Disable all tunnel interfaces" DisabledComponentsModeDisableNativeIPv6="Disable all LAN and PPP interface" DisabledComponentsModeDisableInterfacesIPv6="Disable all LAN, PPP and tunnel interfaces" DisabledComponentsModePreferIPv4="Prefer IPv4 over IPv6"

; These string below are used by Online Help

ADM_TITLE="IPv6 Configuration" USER="User Configuration" COMPUTER="Computer Configuration" cOMPUTER_EXPLAIN="Contains settings that may only be used to configure Computers." USER_EXPLAIN="Contains settings that may only be used to configure Users." SUPPORTEDON="Requirements:"

 

  • Fichier IPv6-FR.adm :

#if version <= 2 #endif

CLASS MACHINE CATEGORY !!Network CATEGORY !!IPV6

        POLICY !!IPv6Cfg KEYNAME "SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters" #if version >= 4 SUPPORTED !!SUPPORTED_WindowsVista EXPLAIN !!DisableIPv6_help #endif

        PART !!DisabledComponentsMode DROPDOWNLIST REQUIRED VALUENAME "DisabledComponents" ITEMLIST NAME !!DisabledComponentsModeEnableIPv6 VALUE NUMERIC 0 DEFAULT NAME !!DisabledComponentsModeDisableIPv6 VALUE NUMERIC 4294967295 NAME !!DisabledComponentsModeDisable6to4 VALUE NUMERIC 2 NAME !!DisabledComponentsModeDisableISATAP VALUE NUMERIC 4 NAME !!DisabledComponentsModeDisableTeredo VALUE NUMERIC 8 NAME !!DisabledComponentsModeDisableTeredo6to4 VALUE NUMERIC 10 NAME !!DisabledComponentsModeDisableTunnelIPv6 VALUE NUMERIC 1 NAME !!DisabledComponentsModeDisableNativeIPv6 VALUE NUMERIC 16 NAME !!DisabledComponentsModeDisableInterfacesIPv6 VALUE NUMERIC 17 NAME !!DisabledComponentsModePreferIPv4 VALUE NUMERIC 32 END ITEMLIST END PART END POLICY

    END CATEGORY ;; Réseau END CATEGORY ;; WindowsComponents

[strings] WindowsComponents="Composants Windows" Network="Réseau" IPV6="IPv6" SUPPORTED_WindowsVista="Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2"

IPv6Cfg="Configuration d'IPv6 dans Windows" DisableIPv6_help="Cette stratégie configure IPv6 sur les interfaces réseau. \n\nPar défaut, Windows 7, Windows Server 2008 R2, Windows Server 2008 et Windows Vista active et utilise IPv6 comme protocole par défaut.\n\nLorsque cette stratégie est activée, il est possible de spécifier comment Windows utilise IPv6. Pour prioriser les flux IPv4, sélectionner "Prioriser IPv4 par rapport à IPv6." Les autres paramètres désactivent des fonctionnalités IPv6 sur des interfaces spécifiques.\n\nNote: Il n'est pas possible de désactiver IPv6 sur la carte de bouclage (Loopback). Il n'est pas recommandé de désactiver IPv6 sur les interfaces. Il est toutefois possible de prioriser IPv4 par rapport à IPv6 en sélectionnant l'option 'Prioriser IPv4 par rapport à IPv6'\n\nSi cette stratégie est désactivée, IPv6 sera complètement actif sur les machines.\n\nSi cette stratégie n'est pas configurée, les paramètres IPv6 ne seront pas configurés et forcés sur les machines, et ces dernières continueront d'utiliser les paramètres locaux. Lire la note a propos des références ci-dessous.\n\nPour plus d'informations, regarder l'article https://support.microsoft.com/default.aspx/kb/929852."

DisabledComponentsMode="Configuration d'IPv6 sur les interfaces :" DisabledComponentsModeEnableIPv6="Activer tous les composants IPv6 (par défaut)" DisabledComponentsModeDisableIPv6="Désactiver tous les composants IPv6" DisabledComponentsModeDisable6to4="Désactiver 6to4" DisabledComponentsModeDisableISATAP="Désactiver ISATAP" DisabledComponentsModeDisableTeredo="Désactiver Teredo" DisabledComponentsModeDisableTeredo6to4="Désactiver Teredo et 6to4" DisabledComponentsModeDisableTunnelIPv6="Désactiver tous les tunnels sur les interfaces" DisabledComponentsModeDisableNativeIPv6="Désactiver les interfaces IPv6 natives" DisabledComponentsModeDisableInterfacesIPv6="Désactiver toutes les interfaces de tunnel IPv6" DisabledComponentsModePreferIPv4="Prioriser IPv4 par rapport à IPv6"

; These string below are used by Online Help

ADM_TITLE="Configuration d'IPv6" USER="Configuration utilisateur" COMPUTER="Configuration ordinateur" cOMPUTER_EXPLAIN="Contient des paramètres qui ne peuvent être utilisés que pour configurer des ordinateurs." USER_EXPLAIN="Contient des paramètres qui ne peuvent être utilisés que pour configurer des utilisateurs." SUPPORTEDON="Configuration requise :"