IIS如何正确配置以支持IPv6监听和绑定？

一、现象层：IPv6访问失效的典型表征

运维人员在IIS管理器中为站点成功添加[2001:db8::1]:80绑定，但客户端使用curl -g http://[2001:db8::1]/或浏览器访问失败；执行netstat -an | findstr :80无:::80监听项；Test-NetConnection -ComputerName [2001:db8::1] -Port 80超时。该现象非IIS服务未启动所致，而是底层网络栈与HTTP.sys协同链路中断。

二、协议栈层：Windows IPv6基础能力验证

• 检查IPv6是否启用：Get-NetIPInterface | Where-Object {$_.AddressFamily -eq 'IPv6'} | Format-Table ifIndex, InterfaceDescription, ConnectionState, NlMtu
• 若ConnectionState为Disconnected或NlMtu为0，需执行：netsh interface ipv6 set interface "Ethernet" forwarding=enabled
• 组策略禁用路径：Computer Configuration → Administrative Templates → Network → TCPIP Settings → IPv6 Transition Technologies → Disable IPv6，设为Not Configured或Disabled。

三、绑定语法层：IIS中IPv6地址的合规表达

错误示例：2001:db8::1:80（被解析为IPv4映射地址+端口，触发DNS解析失败）；正确格式必须含方括号：[2001:db8::1]:80。IIS Manager UI虽允许输入不带括号的IPv6，但内部调用Microsoft.Web.Administration API时会静默丢弃非法绑定。可通过PowerShell验证：

$site = Get-IISSite "Default Web Site"
$site.Bindings.Collection | Where-Object { $_.BindingInformation -match '\[' } | Select-Object BindingInformation

四、内核驱动层：HTTP.sys的IPv6监听白名单机制

HTTP.sys默认仅监听IPv4通配符（0.0.0.0:80），即使IIS绑定IPv6地址，若未显式授权，内核将拒绝创建v6 socket。关键命令：

五、网络策略层：防火墙与NDIS筛选器干扰

Windows Defender Firewall默认规则World Wide Web Services (HTTP Traffic-In)仅含IPv4配置。需手动启用IPv6规则：

Set-NetFirewallRule -DisplayName "World Wide Web Services (HTTP Traffic-In)" -Enabled True -Profile Domain,Private,Public
# 并确认其LocalAddress包含::/0（通过Get-NetFirewallRule -DisplayName "*" | Get-NetFirewallAddressFilter）

另需排查第三方安全软件注入的NDIS轻量筛选器（如某些杀毒驱动），可用fltmc filters查看加载列表，临时禁用可疑过滤器测试。

六、诊断闭环：多维度交叉验证流程图

七、高级陷阱：双栈环境下的Happy Eyeballs掩盖问题

当客户端同时支持IPv4/IPv6时，RFC 8305算法会优先尝试IPv6，但若IPv6连接在250ms内未建立，则并行发起IPv4连接——导致用户误判“IPv6已通”。真实验证必须强制单栈：

• 客户端禁用IPv4：netsh interface ipv4 set state disabled
• 或使用ping -6 [2001:db8::1] + telnet [2001:db8::1] 80分步隔离
• 抓包分析：Wireshark过滤ip.version == 6 and tcp.port == 80确认SYN是否到达服务器网卡

八、自动化检测脚本（PowerShell）

以下脚本整合全部验证点，输出结构化诊断报告：

$diag = [PSCustomObject]@{
  IPv6_Enabled = (Get-NetIPInterface -AddressFamily IPv6).Connected
  IIS_Bindings = (Get-IISSite | ForEach-Object { $_.Bindings.Collection }) | 
                 Where-Object { $_.BindingInformation -match '\[\w' } | 
                 Select-Object -ExpandProperty BindingInformation
  HTTP_Sys_Listen = (netsh http show iplisten) -match '::'
  Firewall_Allowed = (Get-NetFirewallRule -DisplayName "World Wide Web Services*" | 
                      Get-NetFirewallAddressFilter).LocalAddress -contains '::/0'
}
$diag | ConvertTo-Json

九、生产环境加固建议

• 部署模板化：通过DSC或Ansible预置netsh http add iplisten ipaddress=::作为基线
• 监控告警：Zabbix/Prometheus采集netsh http show iplisten输出，异常时触发企业微信通知
• 文档规范：在IIS部署Checklist中强制要求“IPv6绑定必验三方”——协议栈、IIS语法、HTTP.sys白名单

十、延伸思考：IPv6-only数据中心的IIS适配演进

随着Azure Stack HCI和Windows Server 2022对IPv6-only网络的原生支持增强，未来IIS将逐步弱化IPv4依赖。微软已通过KB5007651引入httpcfg替代方案，并在.NET 6+中默认启用IPv6 DualMode Socket。建议架构师在混合云迁移中，将[::]:80绑定与SNI证书结合，构建真正面向未来的Web服务底座。