Anbingung an Exchange SBS2003 funktioniert nicht...

[Jvo]

Liebe Community

Ich stehe am Rande der Verzweiflung. Als eingefleischte BlackBerry-Fan habe ich mir erstmals ein Samsung Galaxie S3 gekauft (Android 4.1.2). Über die letzten Jahre war ich mit BlackBerry eigentlich sehr zufrieden da alle neuen Geräte sehr einfach in die vorhandene SBS2003 Umgebung einfach zu integrieren war. Jetzt wollte ich mal was Neues haben und habe mir wie gesagt ein Samsung zugelegt.

Diesem Samsung steht ein 2,50 m Flug bis zur nächsten Bürowand bevor. Ich will offen sein und bekenne mich als ITler. Das schützt mich allerdings anscheinend nicht davor alle Probleme allein gelöst zu bekommen. Deshalb bräuchte ich eure Hilfe. Android war bisher noch nie in meinen Händen gelegen. Ich habe mittlerweile sehr viel hier in diesem Forum gelesen, doch keines der hier vorgeschlagenen Ansätze bzw. Teillösungen konnte ich für mich verwerten, bzw. brachte mich zum Ziel

Deshalb meine riesengroße bitte, mir bei meinen vielleicht kleinem Problem zu helfen. Ich habe sowohl das E-Mail-Programm was mit ausgeliefert wurde, wie auch das Mailprogramm von TouchDown im Einsatz. Die Konfiguration innerhalb des Netzwerkes funktioniert auf beiden Anwendungen anstandslos. Wechsel ich jedoch die interne IP-Adresse gegen DynDns Adresse aus, funktioniert gar nichts mehr. Wie bei allen anderen auch gibt es natürlich ein Problem mit dem Zertifikat.

Ich habe mittlerweile alles erdenkliche getan (neue Zertifikate angestellt, einen neuen OMA Ordner erstellt und so ziemlich überall dran rum gedreht, wo man dran rum drehen konnte. Mit OWA und dem typischen Zertifikatsfehler funktioniert es (auch extern) bloß mit meinem Samsung geht da gar nichts. Sobald ich mich von außen Anfälle bekomme ich im Programm TouchDown die Fehlermeldung

Zertifikat wird überprüft...Checking to see if server is self-signed :https://xyz.xyz
Server cert not trusted, setting accept all certsActiveSync wird mit SSL überprüft...
ActiveSync location returned HTTP code 403 : Forbidden
ActiveSync version check returned negative, but still trying for 12.1

Im Netz findet man allerdings nicht sehr viel über dieses Problem. Und wenn immer nur Sachen die nicht zu Ende geführt sind (niedergeschrieben wurden). Das Tool von Microsoft zum Testen der ActiveSync von außen gibt natürlich auch immer wieder diesem Zertifikatsfehler.

Da ich so ziemlich mit meinen eigenen Ideen am Ende finden, würde ich mich freuen, wenn mich jemand weiterhelfen könnte. Ich wäre auch gerne bereit ein Erfolgshonorar zu bezahlen.
Vielleicht sollte ich hier kurz niederschreiben was mein Ziel sein soll.

Ich möchte gerne mit meinem Samsung Galaxie meine E-Mails, Aufgaben, Kalender im so genannten Push- Verfahren synchronisieren. Das ganze soll dann auch noch von unterwegs aus funktionieren. Die Sicherheit der Verbindungs soll natürlich so hoch wie möglich sein, aber ich denke das dieses alleine durch die Funktion des SBS2003 in Verbindung mit dem Samsung Galaxie S3 nicht gehen wird.

Ich hoffe ihr könnt mir weiterhelfen………

 

[Jvo]

Nachklatsch.......


nachdem ich heute auch ein neues Zertifikat erstellt habe, kappt es intern anscheinend jetzt auch mit Zerti.

Zertifikat wird überprüft...Checking to see if server is self-signed :https://x.y.z.a
Server cert not trusted, setting accept all certs
Server is Microsoft-IIS/6.0
ActiveSync was found
ActiveSync Version :Versions:Microsoft-IIS/6.0,1.0,2.0,2.1,2.5


Trying activesync protocol 25...
ActiveSync provisioning returns HTTP:200
ActiveSync provisioning success
Folgende Richtlinien wurden angefordert:


Refreshing AS folders
Enabling PUSH


Sollte man sich überlegen ein andres Zerti zu verwenden......anstatt das von MS.

 

[Jvo]

Hallo

kann mir hier wirklich keiner weiterhelfen

 

[frank_m]

Wo genau ist denn dein Problem? Nach Post #2 bin ich davon ausgegangen, dass es nun funktioniert.

 

[Jvo]

Hallo Frank

es funktioniert leider nur intern. Sobal ich den Dyndns Eintrag mache kommt die MeldungActiveSync ERROR : 403
SSL=443 wird auf den SBS weitergeleitet. Intern ist das ok.

Auch der Onboard Mailer funktioniert von außen nicht.

Genauer gesagt Active Sync geht nicht ....manuell oder nach Zeit abrufen geht von extern........., dann hat man aber nicht die älteren Mails bzw Kalendereinträge und die sind für mich wichtig

Wo genau ist denn dein Problem? Nach Post #2 bin ich davon ausgegangen, dass es nun funktioniert.

 

[frank_m]

Wie greifst du auf den Exchange Server zu? Über Mobilfunk? Über WLAN von innen auf deine eigene Portfreigabe? Oder von außen aus einem anderen WLAN?

Ich gebe dabei folgendes zu bedenken:

• Viele Mobilfunkverträge verhindern einige Dienste, z.B. Mail oder Exchange. Vor allem Port 443 wird häufig auf Websurfen reduziert. Das könnte ein Problem beim Zugriff von außen über Mobilfunk sein.
• Zugriffe auf Portweiterleitungen aus dem eigenen Netz heraus sind eine potentielle Sicherheitslücke und werden von vielen Routern eingeschränkt. Das könnte ein Problem sein, wenn du aus deinem eigenen Netz auf deine dyndns Adresse zugreifst
• Auch in vielen öffentlichen WLANs werden Dienste oder Ports blockiert.

Stelle also zunächst sicher, dass es keinerlei der oben aufgeführten Probleme gibt, bevor du weiter testest.

Das nächste ist natürlich das Zertifikat. Ein unsigniertes Zertifikat ist für Exchange immer kritisch, und wenn dann die Kennwerte des Zertifikates auch nicht zum Server passen, dann kann ich mir das durchaus als Problem vorstellen. Das scheint ja bei deinem dyndns Zugang der Fall zu sein.

 

[Snowrisk]

Da stimme ich Frank zu. Das Zertifikat Deines Exchange muss auf den Namen lauten,
den Du im Mailclient als Mailserver-Namen eingibst.
Wenn Du dort den DynDNS-Namen eingegeben hast und das
Zertifikat lautet nicht auf den Namen, dann geht's nicht oder es gibt zumindest Probleme.

Ich habs so gelöst, das ich eine Subdomain erstellt habe, die per
DNS-Umleitung auf meinen DynDNS umgeleit wird und somit
auf meinem Ex2010 zu hause landet. Das Zertifikat wurde auf den Namen der Subdomain
ausgestellt.

Für die Lösung musst Du aber auf die DNS-Einträge auf
Deiner Domain Zugriff haben.

Gruss,

Snowrisk

 

[Jvo]

@Frank

also von intern greife ich natürlich per WLAN zu. Von Draussen per UMTS, wo ich einen Buisinnesvertrag habe und ich denke das die keine Filterung im Portbereich machen.
Mache das ganze per OWA von extern .....alles ebenfals ok. Zwar mit dem besagten Zerti-Fehler.
Ob das allerdings per Mobilfunk geht, kann ich derzeitig mals an Mobilfunk (hier=0) nicht prüfen. Wird aber sicherlich auch gehen

was meinst Du mit "Portweiterleitungen aus dem eigenen Netz heraus", das mache ich nicht, da ich direkt die IP des SBS eintrage. Als Router habe ich eine Lancom.....wird Dir sicherlich was sagen.

Ich komme ja auch auf dem Server an, so steht es im LOG vom WebSRV SBS

Ich denke das es mit dem Zerti zu tun hat. Ich habe natürlich das Zerti von MS. Soll ich mal ein andres erstellen, ich meine mit einer anderen Software (welche?). Oder soll ich noch mal ein neues MS Zerti und dann mit dem folstendign DynDNS Pfad so wie @Snowrisk das vorgeschlagen hat, erstellen.

Was gibt es noch für andere Möglichkeiten Zertis zu erstellen, die ich dann ohne Probleme im WEB-Server integrieren kann?

 

[Snowrisk]

Du kannst Dir ein offizielles SSL-Zertifikat besorgen (Thawte, Commoda usw.).

Die Zertifikate die Du mit der Zertifizierungsstelle auf Deinem Server erstellst, sind "self-signed". Daher kommt der Zertifikatsfehler.

Die Blackberrys sind doch immer über einen BES-Server an einen Exchange
angebunden und nicht direkt über EAS, oder?

Btw. Du musst Portweiterleitungen in Deinem Router haben. Mindestens Port 443.
Egal ob Lancom, Netgear, Fritzbox oder Cisco.
Oder steht Dein Exchange ohne Firewall / Router direkt im Netz mit allen Ports offen?

Gruss,

Snowrisk

 

[Jvo]

richtig, das ist ja gerade das geile daran. Ich habe Netze mit 15 BBs laufen. Selbst wenn eines ausfällt und der Anbieter ein neues schickt ist die Integration kein Problem.

aber jetzt schreien die Kunden immer mehr nach Samsung und Iphone. Ich mache das aber nur, wenn es eine sicher Anbindung hat.

Aber irgendwie zweifel ichh hier an Sicherheit und einfache Handharbung. Läuft das bei Euch alles anstandslos.........so richtig mit Zerti und SSL?

Ich komm mir so blöd vor, wenn man sich wahrscheinlich aufschalten würde sind meine Probleme rein Anfängerprobleme. Ich kann nicht glauben, das alle Samsungs und Iphones da draussen ohne Schutz angebunden sind. Mein IPAD ist per VPN dran....kein Problem, man muss ja auch nicht damit telefonieren....

Nein der Port 443 wird von der Lancom direkt auf den SBS geleitet

Ich hoffe ich finde einen Lösung.....

Du kannst Dir ein offizielles SSL-Zertifikat besorgen (Thawte, Commoda usw.).

Die Zertifikate die Du mit der Zertifizierungsstelle auf Deinem Server erstellst, sind "self-signed". Daher kommt der Zertifikatsfehler.

Die Blackberrys sind doch immer über einen BES-Server an einen Exchange
angebunden und nicht direkt über EAS, oder?

Gruss,

Snowrisk

 

[frank_m]

Von Draussen per UMTS, wo ich einen Buisinnesvertrag habe und ich denke das die keine Filterung im Portbereich machen.

Das ist keinerlei Hinweis. Gerade die günstigen Business Verträge sind eingeschränkt. Überprüfe das noch mal in der Leistungsbeschreibung.

was meinst Du mit "Portweiterleitungen aus dem eigenen Netz heraus", das mache ich nicht, da ich direkt die IP des SBS eintrage.

Ja, innen. Aber von außen hat der SBS ja keine direkte öffentliche IP, oder? Da gehst du ja über dyndns auf die öffentliche IP des Routers und von da per Portweiterleitung auf den Server.
Wenn du ein festes öffentliches Subnetz hast, brauchst du ja kein dyndns, und dann stellt sich ja die Frage mit den Zertifikaten auch nicht.

Als Router habe ich eine Lancom.....wird Dir sicherlich was sagen.

Hat der sowas wie Application Layer Gateways (ALGs)? Die können gerade im Umgang mit Zertifikaten auch gerne mal Ärger machen.

 

[Jvo]

ich werde morgen mal bei Vodafone anfragen.........aber ich denke da gibt es keine Probleme. Dann dürften eigentlich auch meine ganzen VPN's nicht laufen, das wird auch oft von den Providern geblockt

ich habe aber was interessantes festgestellt

gebe ich den Dyndns Namen ohne "s" ein, lande ich bei meiner Lancom
gebe ich es mit "s" ein kommt "Sie haben nicht die erforderliche Berechtigung, um die Seite anzuzeigen"

erst wenn ich DynDns/exchangeserver/Benutzer eingebe komme ich auf die OWA

eignetlich müßte doch beim DynDns direkt auf die OWA gehen....oder?

Das ist keinerlei Hinweis. Gerade die günstigen Business Verträge sind eingeschränkt. Überprüfe das noch mal in der Leistungsbeschreibung.


Ja, innen. Aber von außen hat der SBS ja keine direkte öffentliche IP, oder? Da gehst du ja über dyndns auf die öffentliche IP des Routers und von da per Portweiterleitung auf den Server.
Wenn du ein festes öffentliches Subnetz hast, brauchst du ja kein dyndns, und dann stellt sich ja die Frage mit den Zertifikaten auch nicht.


Hat der sowas wie Application Layer Gateways (ALGs)? Die können gerade im Umgang mit Zertifikaten auch gerne mal Ärger machen.

 

[Snowrisk]

Was meinst Du mit sicher?

Die Anbindung und komplette Sync läuft über SSL. Das ist Standart und
wird weltweit so benutzt.

Ich empfehle Dir die Lektüre von MSXFAQ.DE:Mobile Clients

Wirst Du nicht drumherum kommen und ist auch wichtig, weil es einige
Dinge zu bedenken und zu beachten gibt. im Grunde nicht anders als beim
BES - aber es ist halt keine Plug'n'Play-Lösung.

Einfache Handhabung ist kein Problem. Es muss nur einmal eingerichtet sein.
An den iPhones oder anderen Geräten, die ActiveSync können müssen nur der Mailserver (externe Adresse) und die
Anmeldedaten (Name / Kennwort) eingegeben werden. Der Rest läuft automatisch.

Die Zertifikate sind ja nur dafür da, das Dein Mailserver auch der ist, der er vorgibt zu sein.

Ja, bei mir privat und auch in meiner Firma und denen, die ich kenne, läuft das einwandfrei und ohne Sicherheitsprobleme.

Grundsätzlich gehts so: Der Exchange muss von aussen über den Port 443 erreichbar sein
( Portweiterleitung im Router / Firewall).
Im iPhone oder Samsung muss die externe Adresse (DynDNS) eingetragen werden.
Am Exchange müssen natürlich der IIS richtig eingerichtet sein und das Zertifikat (ausgestellt auf den externen Namen)
hinzugefügt werden.

Hier wird das komprimiert erklärt: Exchange Server - iPhone via Active Sync an Exchange Server anbinden - suche.administrator.de

Lese Dir das mal durchnund es sollte klarer werden

Noch ne dumme Frage... Du kennst Dich aber mit Exchange und IIS aus?


Gruss,

Snowrisk

Der ursprüngliche Beitrag von 21:21 Uhr wurde um 21:23 Uhr ergänzt:

eignetlich müßte doch beim DynDns direkt auf die OWA gehen....oder?

OWA ist aber nicht das, was Du haben willst, wenn ich dich richtig verstanden habe.
Du willst och mit Handy syncen, oder willst Du per Web-Browser auf Dein Postfach?

Der ursprüngliche Beitrag von 21:23 Uhr wurde um 21:24 Uhr ergänzt:

ch werde morgen mal bei Vodafone anfragen.........aber ich denke da gibt es keine Probleme. Dann dürften eigentlich auch meine ganzen VPN's nicht laufen, das wird auch oft von den Providern geblockt

Vodafone blockt da nix. Zumindest bis heute Abend nicht....

 

[Jvo]

So der letzte Beitrag für heute Abend

Ich kenne ich mich schon mit Exchange aus.....beim IIS weiß ich wo ich was finde

Aber ich würde jetzt nicht behaupten, das ich der totale Profi bin........sonst würde ich mich ja hier auch nicht outen, bin aber mittlerweile recht gut belesen. Wahrscheinlich bin ich mittlerweile "überlesen" und sehe vor lauter Bäumen den Wald nicht mehr. Frank Karius hat mich leider nicht viele weiter gebracht, werde mir aber Deine Links gleich im Bett mal weiter reinziehen.

Ich denke das es am Zerti und am IIS liegt. Wenn ich Dich aber richtig verstanden habe ist das Zerti erst mal zweitrangig?

Morgen habe ich endlich mal wieder einen Büro Tag.........vielleicht komme ich dann mal ein Stückchen weiter.

Eigentlich könnte ich es einfach haben >> VPN und fertig...ich will aber Kühe sprich eine Push Lösung. Ich denke das das auch weniger strom brauch......der Akku schein ja leider nicht der strärkste zu sein.

Ich halte Euch auf dem Laufen.

Geholfen habt Ihr mir auf alle Fälle........ich habe jetzt wieder Vertrauen, das es funktionieren muss

Hoffentlich auch bei mir......

Was meinst Du mit sicher?

Die Anbindung und komplette Sync läuft über SSL. Das ist Standart und
wird weltweit so benutzt.

Ich empfehle Dir die Lektüre von MSXFAQ.DE:Mobile Clients

Wirst Du nicht drumherum kommen und ist auch wichtig, weil es einige
Dinge zu bedenken und zu beachten gibt. im Grunde nicht anders als beim
BES - aber es ist halt keine Plug'n'Play-Lösung.

Einfache Handhabung ist kein Problem. Es muss nur einmal eingerichtet sein.
An den iPhones oder anderen Geräten, die ActiveSync können müssen nur der Mailserver (externe Adresse) und die
Anmeldedaten (Name / Kennwort) eingegeben werden. Der Rest läuft automatisch.

Die Zertifikate sind ja nur dafür da, das Dein Mailserver auch der ist, der er vorgibt zu sein.

Ja, bei mir privat und auch in meiner Firma und denen, die ich kenne, läuft das einwandfrei und ohne Sicherheitsprobleme.

Grundsätzlich gehts so: Der Exchange muss von aussen über den Port 443 erreichbar sein
( Portweiterleitung im Router / Firewall).
Im iPhone oder Samsung muss die externe Adresse (DynDNS) eingetragen werden.
Am Exchange müssen natürlich der IIS richtig eingerichtet sein und das Zertifikat (ausgestellt auf den externen Namen)
hinzugefügt werden.

Hier wird das komprimiert erklärt: Exchange Server - iPhone via Active Sync an Exchange Server anbinden - suche.administrator.de

Lese Dir das mal durchnund es sollte klarer werden

Noch ne dumme Frage... Du kennst Dich aber mit Exchange und IIS aus?


Gruss,

Snowrisk

Der ursprüngliche Beitrag von 21:21 Uhr wurde um 21:23 Uhr ergänzt:



OWA ist aber nicht das, was Du haben willst, wenn ich dich richtig verstanden habe.
Du willst och mit Handy syncen, oder willst Du per Web-Browser auf Dein Postfach?

Der ursprüngliche Beitrag von 21:23 Uhr wurde um 21:24 Uhr ergänzt:



Vodafone blockt da nix. Zumindest bis heute Abend nicht....

 

[frank_m]

gebe ich den Dyndns Namen ohne "s" ein, lande ich bei meiner Lancom

Du hast eine Port 80 Weiterleitung auf die Konfigurations-Oberfläche des Routers eingerichtet? Das würde ich mich nichtmal bei Lancom trauen ...

gebe ich es mit "s" ein kommt "Sie haben nicht die erforderliche Berechtigung, um die Seite anzuzeigen"

Ja, das ist Port 443 auf den SBS. Das ist bei uns auch so.

erst wenn ich DynDns/exchangeserver/Benutzer eingebe komme ich auf die OWA

Mit "Benutzer"? Gut, das ist möglicherweise eine Einstellungssache. Bei uns reicht url/exchangeserver, dann wird man nach der Authentifizierung gefragt.

 

[Snowrisk]

Ich denke das es am Zerti und am IIS liegt. Wenn ich Dich aber richtig verstanden habe ist das Zerti erst mal zweitrangig?

Nene, falsch verstanden....
Das Cert ist eigentlich das wichtigste. Das muss gültig und vertrauenswürdig sein.
Und als Vertrauenswürdig bedeutet, kein self-signed Zertifikat zu benutzen.
Zumindest nicht im Produktionsbetrieb. Zum testen reichts aber (iPhone nicht auch "self-signed", Samsung weiss ich nicht.)

Schau mal, wie weit Du kommst, sonst meldest Du Dich einfach nochmal.

Gruss,

Snowrisk

 

[Jvo]

Das Leben kann manchmal doch sehr einfach sein. Man darf nur nicht hingehen und zu kompliziert denken. Ich habe das Problem gelöst. Es lag an den Zugriffsberechtigungen des Exchangeservers an sich auf die virtuellen Verzeichnisse bzw. den integrierten Webserver.

Thats it. Zertifikate, SSL Verschlüsselung alles war ordentlich und richtig eingestellt. Zu mindestens fast richtig eingestellt. Bei dem Zertifikat war noch der Fehler, dass das Zertifikat nicht auf die DynDNS Adresse ausgestellt war. Nachdem ich ein neues Zertifikat erstellt habe da auch dieser Fehler beseitigt.
Allein der Error 403 hat zu wenig Information darüber gegeben, was der eigentliche Grund gewesen ist.

Euch beiden auf jeden Fall 1000 Dank für eure Ideen und die Zeit, die ihr mir spendiert habt.

 

[Snowrisk]

Gerne.