IPv6 und LLDP deaktivieren

By Marc

Vor kurzem hatte ich die Anfrage eines Kunden, wie man denn am Besten all die ungeliebten Protokolle in den Netzwerkeinstellungen von Windows 7 abschalten kann. Bisher hat der Kunde alles, was er nicht kannte, von Hand abgeschaltet und wollte bei der anstehenden Migration nicht alles noch einmal machen müssen. Dadurch ergab sich eine Diskussion darüber, was denn nun auf der Netzwerkkarte eines Windows PCs (und eines Servers) überhaupt eingeschaltet sein sollte – und was nicht.

Also habe ich mal zusammengestellt, was Sinn macht und was man auch wie am Besten deaktiviert.

Schauen wir uns also einfach mal meine (zugegebenermaßen nicht ganz standardmäßigen) WLAN Verbindung an:

Adapter Eigenschaften

Wie man sieht, habe ich auf meinem Windows 8.1 natürlich Hyper-V installiert, damit ist das Ganze etwas unübersichtlich. Aber wofür gibt es denn PowerShell? Mit den Befehlen Get-NetAdapter und Get-NetAdapterBinding bekommen wir eine feine Übersicht, die man auch lesen kann:

Get-NetAdapter_Get-NetAdapterBinding

Folgende Bindungen haben wir hier:

  • Hyper-V – erweiterbarer virtueller Switch
    Ist nur vorhanden, wenn Hyper-V installiert ist. Wenn an einen physikalischen Adapter ein virtueller Switch gebunden wird, wird eine neue virtuelle Netzwerkkarte erstellt, auf dem physikalischen Adapter werden alle Bindungen, außer dieser hier entfernt.
  • Microsoft-Multiplexorprotokoll für Netzwerkadapter
    Den Multiplexor benutzt Windows für das neue Netzwerkkarten Teaming.
  • Antwort für Verbindungsschicht-Topologieerkennung
    und
  • E/A-Treiber für Verbindungsschicht-Topologieerkennungszuordnung
    und
  • Microsoft-LLDP-Treiber
    sind zusammen die Microsoft Implementierung des Link Layer Discovery Protocols (siehe Wikipedia), die in Netzwerken vom Typ Domäne oder Arbeitsplatz automatisch deaktiviert sind. Um das Verhalten in der Domäne genau zu kontrollieren, gibt es eine entsprechende Gruppenrichtline unter “Computer Configuration, Administrative Templates, Network, Link-Layer Topology Discovery” (siehe Technet).
  • QoS-Paketplaner
    Der QoS Paketplaner priorisiert ein- und ausgehende Datenpakete der Netzwerkkarte anhand von QoS. Es gibt im Internet immer wieder Berichte, dass der QoS-Paketplaner 20% der Bandbreite reserviert, die einem dann “verloren” gehen, das ist allerdings nicht so. Im Unternehmenseinsatz würde ich diese Bindung nicht entfernen, um Applikationen die Möglichkeit zu geben, QoS zu nutzen.
  • Client für Microsoft-Netzwerke
    Diese Bindung sollte man auf Domänen Clients und Servern auf keinen Fall entfernen. Dahinter verstecken sich wichtige Dienste, wie der Arbeitsstationsdienst, Netlogon oder der RPC Locator (siehe Microsoft). Einzige Ausnahme (die mir gerade einfällt) sind iSCSI Verbindungen.
  • Datei- und Druckerfreigabe für Microsoft-Netzwerke
    Auf Servern und Clients eigentlich unverzichtbar. Für den Zugriff auf Freigaben, Daten und Drucker, auch bei Clients. Die Remote Installation von Software beispielsweise benötigt in einigen Fällen beispielsweise den Zugriff auf die administrativen Freigaben C$ oder Admin$. Also: nicht abschalten.
  • Internetprotokoll Version 4 (TCP/IPv4)
    Dazu brauche ich nicht wirklich was zu sagen, oder … ?
  • Internetprotokoll Version 6 (TCP/IPv6)
    Über IPv6 diskutiere ich mit den Kunden wohl am Meisten. Aktiviert lassen? Deaktivieren? Was bringt es oder stört es sogar? Aus Microsofts Sicht und aus der vieler Insider (z.B. Frank Carius) sollte man IPv6 nicht deaktivieren, auch wenn im Netz noch keine entsprechenden Komponenten etabliert sind.
    Wenn man allerdings IPv6 deaktiviert, sollte man es richtig tun, so dass auch die Protokollreihenfolge und die Tunnel-Adapter abgeschaltet werden:

    Windows Registry Editor Version 5.00
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TCPIP6\Parameters]
    "DisabledComponents"=dword:000000ff

    Einen sehr guten Artikel dazu findet ihr im TechNet Wiki.

Im Endeffekt könnte man in einem Unternehmensnetzwerk einfach alles auf Default lassen, ohne irgendwelche negativen Effekte zu erleiden. LLDP ist im Unternehmensnetz nicht aktiv, IPv6 hält sich ohne aktive Netzwerkkomponenten im Hintergrund und die restlichen Bindungen werden sowieso gebraucht. Also warum nicht die Standardeinstellungen beibehalten, zumindest wenn wir von “normalen” Client / Server Verbindungen reden? Bei iSCSI, Hyper-V, usw. zählt das natürlich nicht … 😉

Loading