Microsoft 365 und IPv6

Im Bereich IPv6 im Netzwerk beschreibe ich die Nutzung von IPv6 On-Premises und auf IPv6 und MS die Besonderheiten im Microsoft Umfeld. Durch den Wechsel auf  Glasfaser in Hövelhof habe ich nun auch IPv6 Native und IPv4 nur über Carrier Grade dank (FTTH mit IPv6 (DG)) So langsam sollte ich mich dann auch mit Office 365/Microsoft 365 und IPv6 beschäftigen.

Microsoft arbeitet auch an Office 365 an der Unterstützung von IPv6. Aber noch sind nicht alle Dienste IPv6 fähig oder per Default freigeschaltet.

MC498417 IPv6 coming to Azure AD ( 17. Jan. 2023)
https://admin.microsoft.com/AdminPortal/home#/MessageCenter/:/messages/MC498471
Rollout 31. März 2023 - Anfang Juli 2023
Prüfen Sie, ob sie ggfls. Conditional Access Locations aktualisieren müssen

IPv6 in der Liste

Microsoft veröffentlicht auf mehreren Seiten die für Microsoft 365/Office 365 erforderlichen Verbindungsziele und Ports als Webseite und als WebService

So langsam kommen hier auch neue IPv6-Adressen hinzu.

Status (Stand Okt 2020)

Ich gebe hier meine eigenen Erfahrungen zuhause und bei Kunden wieder und zitiere Dokumentationen von Microsoft.

Informationen können aber veraltet sein. Wenn Sie andere Erfahrungen gemacht haben, dann bitte ich um einen Hinweis.

Hier mein Zwischenstand

Produkt

Status

IPv6 Verhalten

ADFS
(OnPrem)

If you use Active Directory Federation Services (AD FS) with Office 365, advertising your AD FS network endpoint to Office 365 using IPv6 is not supported. You should not include AAAA records in the AD FS DNS entry when using Exchange Online.
Quelle: https://docs.microsoft.com/en-us/microsoft-365/enterprise/ipv6-support?view=o365-worldwide

Exchange Online

Wenn der Client per IPv6 einen Namen anfragt, bekommt er auch IPv6-Adressen.

C:\>nslookup outlook.office365.com
Server:  fritz.box
Address:  fd00::2e91:abff:fe49:d7c9

Nicht autorisierende Antwort:
Name:    AMS-efz.ms-acdc.office.com
Addresses:  2603:1026:204::2
          2603:1026:206:1::2
          2603:1026:c03:3032::2
          2603:1026:c03:581a::2
          52.97.201.114
          52.97.144.2
          40.101.121.2
          52.97.176.2
Aliases:  outlook.office365.com
          outlook.ha.office365.com
          outlook.ms-acdc.office.com

SharePoint Online

SharePoint Online kann wohl IPv6 aber es ist nicht per Default aktiviert:

2603:1061:1300::/40
2620:1ec:8f8::/46
2620:1ec:908::/46
2a01:111:f402::/48

Public multi-tenant cloud Microsoft enables SharePoint Online IPv6 at your request. You need to provide the CIDR notated IP addresses for your organization's DNS infrastructure. Keep in mind that this DNS infrastructure can't be shared by other organizations for IPv6 to be enabled for your tenant. After IPv6 is enabled, if the program that you use to connect to SharePoint Online supports IPv6, it uses IPv6 by default.
Quelle: https://docs.microsoft.com/en-us/microsoft-365/enterprise/ipv6-support?view=o365-worldwide

Skype for Business Online

IPv6 Support seit Anfang 2023

2603:1027::/48
2603:1037::/48
2603:1047::/48
2603:1057::/48
2603:1063::/39
2620:1ec:6::/48
2620:1ec:40::/42

Teams Client

Eigentlich sollte Teams als relativ junges Produkt mit IPv6 umgehen können.

2603:1063::/39
2603:1027::/48
2603:1037::/48
2603:1047::/48
2603:1057::/48
2603:1063::/39
2620:1ec:6::/48
2620:1ec:40::/42

The Microsoft Teams service and client support both IPv4 and IPv6

Das stimmt aber so nicht ganz, denn Teams Clients nutzen SharePoint und da ist IPv6 per Default nicht aktiv

Teams Direct Routing

Aktuell ist es für die Verbindung per SIP erforderlich, dass ihr Session Border Controller eine IPv4-Adresse nutzt.

"Microsoft Teams Direct Routing only supports IPv4."
Quelle: https://docs.microsoft.com/en-us/microsoft-365/enterprise/ipv6-support?view=o365-worldwide

EOP

Der Versand und die Einlieferung von Mails über IPv6 ist supported

Intune

Informationen muss ich noch ermitteln

Azure

Informationen muss ich noch ermitteln

RMS

IPv6 does not support some Rights Management Services (RMS) scenarios.
https://docs.microsoft.com/en-us/microsoft-365/enterprise/ipv6-support?view=o365-worldwide

Billing

The public subscription service does not support purchase by credit card over IPv6.
https://docs.microsoft.com/en-us/microsoft-365/enterprise/ipv6-support?view=o365-worldwide

IPv6 Only und weniger Only

Wenn man IPv6 testet, dann sollte man genau hinschauen, was man eigentlich testet und welche Hilfsmittel durch den Netzbetreiber mitgeliefert werden. Es gibt hier mehrere Fälle:

  • Client hat kein IPv6 mehr
    Das ist heute unwahrscheinlich, da meist private IPV4-Adressen genutzt werden. Es ist aber denkbar, wenn ein Client vom Provider gar keine IPv4-Adresse mehr bekommt oder im Firmennetzwerk irgendwann auch auf die privaten IPv4-Adressen verzichtet wird. Dann muss allerdings das Routing und die Namensauflösung per IPv6 erfolgen. Das bedeutet aber nicht, das die Gegenstelle auch über IPv6 erreichbar ist. Das Übertragungsnetz kann mit DNS64/NAT64 durchaus auch IPv4-Only-Systeme per IPv6 erreichbar machen und sollte es auch sein.
  • IPv6 Transfer
    Ein anderes Szenario ist, dass der Client zwar noch (private) IPv4-Adressen hat aber das Übertragungsnetzwerk nur noch IPv6 bereitstellt. Der Client kann das aber nicht wissen und frage natürlich weiterhin per DNS über IPv4 nach Namen. Auch hier ist es das Netzwerk der Schlüssel oder Blockierer. Wen ein Netzwerk eine IPv4-Adresse vergibt, sollte es auch einen IPv4-DNS-Service bereitstellt. Der DNS-Server selbst löst externe Namen dann weiter auf und hier kann er bei IPv6Only im WAN z.B. die Anfrage per IPv6 absetzen und die Antwort dann umschreiben.
    Denkbar sind auch "Tunnel", mit denen IPv4-Pakete über ein IPv6-Netzwerk übertragen werden um so weiter öffentlichen IP-4 Adressen erreichbar zu machen.

Die IPv6-Welt könnte so einfach sein, wenn nicht die Koexistenz mit IPv4 zu berücksichtigen wäre.

Wenn Sie tatsächlich auf dem Client nur IPv6-Adressen haben und es kein NAT64/DNS64, kein 6to34, kein Teredo oder sonst keine dazu passende Infrastruktur gibt, dann werden die Dienste nur dann funktionieren. wenn Sie ein durchgängige IPv6-Umgebung vom Client bis zum Server haben.

Für einen einfachen Test reicht es daher nicht, mal schnell IPv4 auf dem eigenen LAN-Adapter zu deaktivieren. Sie müssen schon sicherstellen, dass das Netzwerk sich korrekt verhält und Umsetzungen anbietet. Genau diese 100% Nutzung von IPv6 wird in vielen Tests aber durchgespielt und alle Zwischenschritte sind nur temporär. Wenn Sie also IPv6 Only aktivieren und es funktioniert etwas nicht, dann muss es nicht zwangsweise an Microsoft liegen.

Test mit IPv6-Only

Sie können ja mal den Test machen und IPv4 auf ihrer Netzwerkkarte deaktivieren. Denken Sie dabei daran, dass ihr Client vielleicht weitere Netzwerkkarten (WLAN, Hyper-V etc.) nutzt.

Ob die Änderung korrekt umgesetzt wurde, können Sie z.B. per PING auf ein System testen, welches über IPv4 und IPv6 nativ erreichbar ist, z.B.: google.de

PS C:\> ping www.google.de -4
Ping-Anforderung konnte Host "www.google.de" nicht finden. Überprüfen Sie den Namen, und versuchen Sie es erneut.
PS C:\> ping www.google.de -6

Ping wird ausgeführt für www.google.de [2a00:1450:400e:809::2003] mit 32 Bytes Daten:
Antwort von 2a00:1450:400e:809::2003: Zeit=16ms

Microsoft Teams im Chrome-Browser merkt den Verlust der Verbindung sehr schnell.

In solchen Fällen, wenn der Client keine sprechende Fehlermeldung liefert, hilft nur ein Blick unter die Haube.

  • DNS-Cache
    Zuerst bietet es sich mal an mit "IPCONFIG /Displaydns" oder Powershell "Get-DnsClientCache" mal zu schauen, welche Namen es nicht mehr gibt
PS C:\> get-DnsClientCache -RecordType AAAA | ?{$_.status -ne 0} | ft -AutoSize

Entry                             RecordName RecordType Status    Section TimeToLive Data Length Data
-----                             ---------- ---------- ------    ------- ---------- ----------- ----
skypedataprdcolneu00.cloudapp.net            AAAA       NoRecords
spo-0004.spo-msedge.net                      AAAA       NoRecords
fc-t480s.mshome.net                          AAAA       NoRecords

Hier wird schon mal SharePoint nicht mehr aufgelöst.

  • Wireshark
    Auch ein Blick mit dem bekannten Netzwerkschnüffler zeigt eventuell Verbindungsversuche, die nicht zustande kommen. Auch die DNS-Anfragen liefern hier interessante Einblicke. Eine DNS-Anfrage, die über IPv6 an einen DNS-Server gesendet wird, sollte von diesem nie mit einer IPv4-Adresse beantwortet werden. Das kann hier aber auch die Fritz!Box sein.

    Selbst wenn SharePoint nur über IPv4 auflösbar ist, wäre es an dem Provider mit NAT64 die IPv4-Adresse in eine routbare IPv6-Adresse umsetzen.

Beide Analysen lieferten nun ein Problem mit SharePoint. Microsoft schreibt da zu selbst

Public multi-tenant cloud Microsoft enables SharePoint Online IPv6 at your request. You need to provide the CIDR notated IP addresses for your organization's DNS infrastructure. Keep in mind that this DNS infrastructure can't be shared by other organizations for IPv6 to be enabled for your tenant. After IPv6 is enabled, if the program that you use to connect to SharePoint Online supports IPv6, it uses IPv6 by default.
Quelle: https://docs.microsoft.com/en-us/microsoft-365/enterprise/ipv6-support?view=o365-worldwide

Warum auch immer sind die SharePoint Server per Default nicht per IPv6 zu erreichen und ein Administrator kann dies über die eigenen IPv6-Adresse freischalten lassen. Es ist also hier der DNS-Service von Microsoft, der dann IPv6-Adressen rausrückt, wenn die so freigeschalteten Clients per IPv6 anfragen.

Das ist natürlich keine Lösung für die ganzen Home-Office User hinter unterschiedlichsten IPv6-Adressen. Bis das Problem grundlegend gelöst ist, muss es also  auch auf Weiteres noch IPv4-Support geben.

Weitere Links