Group Policy ile IPv6 disable etme

Merhabalar,

Bu GPO örneğinde, fazlaca araştırılan bir konu olan IPv6 disable etme konusunu özetleyeceğim.

Modern windows client ve server işletim sistemleri, varsayılan olarak, IPv6’yı enable etmekte ve varsayılan network protokolü olarak kullanmaktadırlar. Dolayısıyla IPv6, tercih edilecek ve network iletişiminde öncelikli kullanılacaktır.

Çeşitli sebeplerden dolayı siz IPv6’yı kapatmak isteyebilirsiniz. Belki ağınız IPv6 desteklemiyor olabilir ve siz kullanılmayan tüm protokolleri devre dışı bırakmak isteyebilirsiniz.

Birçok kişi, (ki test ortamları oluştururken ben de buna dahilim) Internet Protocol Version 6 (TCP/IPv6) kutucuğunun işaretini kaldırarak IPv6 kullanımını devre dışı bırakmakta.

Bu metod, sadece o network kartı üzerinde IPv6’yı disable etmektedir. Fakat sunucu sistemlerinde ya da client’larda birden fazla network kartı olabilir ve siz tüm kartlar üzerinde bunu yapmak da isteyebilirsiniz. Böyle bir durumda her sunucu, her client üzerinde az önceki işlemi tekrarlamanız gerekmekte. Bunun yerine GPO üzerinden bu işlemi otomatik hale de getirebilirsiniz.

IPv6’yı tamamen disable etmek için, registry üzerinde şu değeri kullanmanız gerekmektedir.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\DisabledComponents (DWORD)

Normalde DisabledComponents (32-bit REG_DWORD) değeri yoktur o lokasyonda. Eğer bu değer yoksa ya da varsa bile değer olarak 0 (sıfır) atanmışsa, tüm network kartları üzerinde IPv6 enable demektir. Bu değeri oluşturup 1 yazarsanız tüm kartlar için disable etmiş olursunuz.

DisabledComponents = 0 > IPv6 enable anlamındadır.

DisabledComponents = 1 > IPv6 disable anlamındadır.

IPv6’yı yapılandırmak için, Min / Max arasında vereceğiniz değerlere göre aşağıdaki kayıt defteri değerini değiştirin.

Yani siz, 0 veya 1 değeri yerine, farklı değerler de belirterek, IPv6’yı komple kapatmak yerine, belli ihtiyaçlar için kapatılmasını, belli ihtiyaçlar için ise kullanılır olmasını sağlayabilirsiniz. Microsoft, bunu tamamen kapatmak yerine, IPv4’ü tercih edilebilir kılarak kullanmanızı da tavsiye etmektedir. Hani giriş bölümünde bahsetmiştim ya normal olarak IPv6’yı tüm network iletişimi için kullanacaklar diye. Işte burada tüm iletişim için IPv4 tercih edilmesi de önerilmektedir. Tercih size kalmış…

Hangi değeri verirseniz, ne şekil bir çalışma olacağını da aşağıdaki tablodan görebilirsiniz.

Microsoft’un KB article 929852 makalesinde, registry üzerinden nasıl disable edileceğine dair kaynaklara ulaşabilirsiniz. Ayrıca bu makalede şunu da demektedir : “Yöneticilerin, Min / Max değerlerini uygulamak için bir .admx dosyası oluşturmaları gerekir.”

Şimdi bu işlemi gerçekleştireceğiz.

Download dosyası: IPv6Configuration.zip

Linkteki zip dosyasını indirerek, hazır yönetimsel şablon dosyalarını kullanabilirsiniz. İlerleyen zamanda, bir GPO yönetim şablonunun nasıl hazırlanacağına dair de makale yazacağım. Şimdilik bu şekilde devam edelim.

Bu zip dosya içerisinde .admx ve .adml uzantılı iki dosya bulunmakta. Bu dosyaları şu lokasyonlara kopyalayın.

IPv6Configuration.admx > %SYSTEMROOT%\PolicyDefinitions

IPv6Configuration.adml > %SYSTEMROOT&\PolicyDefinitions\en-US (işletim sisteminizin yüklü olduğu dil klasörü olmalıdır bu path)

Şimdi IPv6 konfigürasyonlarını belirlemek üzere Group Policy Management Console açıyoruz.

Domain bazlı bir işlem olmasını istediğim için Default Domain Policy üzerinde bu işlemleri yapıyorum. Sağ tıklayıp edit seçiyoruz.

Computer Configuration > Policies > Administrative Templates > Network > IPv6 Configuration altında az önce kopyaladığımız yeni şablonumuzu bulabiliriz.

Ayarlarını açıp enable duruma getirdiğimizde alt tarafta açılan menüden, nasıl bir kullanım şekli olacağını belirlemiş olacaksınız. Seçimi yapıp OK tuşu ile işlemi bitiriyoruz.

Burada yapabileceğiniz ayarlar şu şekilde

  • Enable all IPv6 components (Windows default)
  • Disable all IPv6 components (the setting you probably want)
  • Disable 6to4
  • Disable ISATAP
  • Disable Teredo
  • Disable Teredo and 6to4
  • Disable all tunnel interfaces
  • Disable all LAN and PPP interfaces
  • Disable all LAN, PPP and tunnel interfaces
  • Prefer IPv4 over IPv6

Komple kapatacağımızı düşünelim, bu durumda aşağıdaki gibi bir seçim yapmalıyız. (Microsoft bunu tavsiye etmemektedir. IPv4 tercih edilebilir hale getirmenizi önerir. Bu durumda son seçenek olan “Prefer IPv4 over IPv6” seçilebilir.)

Hepsi bu kadar, gpupdate yaptıktan sonra tüm domain geneline bu ayarlar uygulanacaktır.

Yararlı olması dileğiyle.

Yusuf İşleyen