simonak 10 Geschrieben 21. November 2008 Melden Teilen Geschrieben 21. November 2008 Hab mal wieder ein Smartphone - Exchange-Verbindungsproblem. Haben bei einem Kunden einen Windows 2003 R2 64-bit Standard Server mit Exchange 2007 laufen. An diesen Exchangeserver soll nun ein Nokia E71 über Internet angebunden werden. Ich selbst habe ein Nokia N95 8GB um dies zu testen, sollte genauso wie mit dem E71 funktionieren. Habe die aktuelle Version von Mail for Exchange auf meinem Handy installiert und die Zugangsdaten soweit ich denke richtig eingetragen. Das Handy baut die Verbindung auf und meldet: Diese Seite hat ein unbeglaubigtes Zertifikat gesendet. Trotzdem fortfahren? Diese Meldung bestätige ich natürlich. Dann meldet das Handy: Ihr Konto ist m.d. akt. Einstellungen nicht zu Synchronis. berechtigt. Wenden Sie sich an den Administrat. OWA funktioniert und ist von außen zu erreichen. Das benutzte Zertifikat ist direkt vom Exchange 2007 automatisch erstellt worden und nicht geändert. Ich weiß noch von einem Windows 2003 Standard Server und der Verbindung mit dem Iphone, dass einige Einstellungen im IIS gemacht werden mussten, damit alles funktioniert. Siehe Link Methode 2: Verbindungen über Exchange ActiveSync oder Outlook Mobile Access nicht möglich, wenn SSL oder formularbasierte Authentifizierung für Exchange Server 2003 erforderlich sind Gibt es so eine Anleitung auch für den Exchangeserver 2007? Die Anleitung vom 2003er kann ich leider nicht umsetzen. Oder hat jemand eine andere Idee? Zitieren Link zu diesem Kommentar
NorbertFe 2.104 Geschrieben 21. November 2008 Melden Teilen Geschrieben 21. November 2008 Habe die aktuelle Version von Mail for Exchange auf meinem Handy installiert und die Zugangsdaten soweit ich denke richtig eingetragen. Das Handy baut die Verbindung auf und meldet: Diese Seite hat ein unbeglaubigtes Zertifikat gesendet. Trotzdem fortfahren? Diese Meldung bestätige ich natürlich. Dann meldet das Handy: Es wäre besser, wenn du dir erstmal ein praktischeres Zertifikat zulegen würdest. Dessen Root-Zertifikat mußt du dann aufs Handy kopieren oder dir gleich ein Zertifikat anschaffen, das Nokia bereits kennt. Bye Norbert Zitieren Link zu diesem Kommentar
simonak 10 Geschrieben 21. November 2008 Autor Melden Teilen Geschrieben 21. November 2008 Benötige ich das Zertifikat überhaupt für das Nokia? Wenn ja, welches Format? Habe das momentane Zertifikat nämlich als .cer exportiert und wollte es auf das Nokia aufspielen, doch das hat nichts damit anfangen können. Wie lege ich mir ein neues Zertifikat im Exchangeserver 2007 an? Habe es gestern mit SelfSSL versucht, da hat es mir dann aber das Autodiscover und das OWA zerhaun. Jeder Rechner in der Firma hat beim Öffnen des Outlooks ein Zertifikatsfehler gebracht. Da hab ich dann lieber wieder das Alte eingespielt. Zitieren Link zu diesem Kommentar
NorbertFe 2.104 Geschrieben 21. November 2008 Melden Teilen Geschrieben 21. November 2008 Benötige ich das Zertifikat überhaupt für das Nokia? Ja. Wenn ja, welches Format? Weiß ich nicht. Ein Grund, warum ich meinen Kunden empfehle sich ein Zertifikat zu kaufen. Es spart diese ganze "Bastelei". Habe das momentane Zertifikat nämlich als .cer exportiert und wollte es auf das Nokia aufspielen, doch das hat nichts damit anfangen können. Dann versuch doch mal ein anderes Format. Wie lege ich mir ein neues Zertifikat im Exchangeserver 2007 an? Certificate Use in Exchange Server 2007 Habe es gestern mit SelfSSL versucht, da hat es mir dann aber das Autodiscover und das OWA zerhaun. Jeder Rechner in der Firma hat beim Öffnen des Outlooks ein Zertifikatsfehler gebracht. Da hab ich dann lieber wieder das Alte eingespielt. SelfSSL kann auch keine SAN Zertifikate. Bye Norbert Zitieren Link zu diesem Kommentar
simonak 10 Geschrieben 21. November 2008 Autor Melden Teilen Geschrieben 21. November 2008 Dann versuch doch mal ein anderes Format. Geht leider nicht, das Standardzertifikat das der Exchange automatisch angelegt hat kann ich nur als .cer exportieren, auch nur ohne privaten Schlüssel. Ich denke mit dem werde ich nicht weiter kommen. Danke für den Link. Werde ich am Montag testen und wieder berichten. Zitieren Link zu diesem Kommentar
Manji 11 Geschrieben 21. November 2008 Melden Teilen Geschrieben 21. November 2008 Hatte das Problem ebenso .. einfach .cer hier hochladen und dann den link auf Deinem Nokia öffnen Upload CA Certificate for Symbian Based Phones Zitieren Link zu diesem Kommentar
simonak 10 Geschrieben 24. November 2008 Autor Melden Teilen Geschrieben 24. November 2008 @Manji bei dir hat das mit dem automatisch erstellten Zertifikat vom Exchange ohne privaten Schlüssel geklappt über diesen Link? Zitieren Link zu diesem Kommentar
NorbertFe 2.104 Geschrieben 24. November 2008 Melden Teilen Geschrieben 24. November 2008 @Manji bei dir hat das mit dem automatisch erstellten Zertifikat vom Exchange ohne privaten Schlüssel geklappt über diesen Link? Hi, nur um es mal zu schreiben. Auf einem Mobilen Gerät hat der private Schlüssel eines Exchangeservers genau nichts zu suchen. Dabei ist es unabhängig, ob das ein privates oder ein kommerzielles Zertifikat ist. Bye Norbert Zitieren Link zu diesem Kommentar
simonak 10 Geschrieben 24. November 2008 Autor Melden Teilen Geschrieben 24. November 2008 Stimmt, das ist natürlich richtig. Der hat darauf wirklich nichts zu suchen. Zitieren Link zu diesem Kommentar
simonak 10 Geschrieben 25. November 2008 Autor Melden Teilen Geschrieben 25. November 2008 So, wollte nun ein neues Zertifikat erstellen nach Anleitung von NorbertFe. Wäre der Befehl so richtig, der Servername ist auch winsrv? Aber muss ich nicht noch irgendwie den Namen einbringen von dem das OWA extern zu erreichen ist? Dies geht nämlich nur über eine direkte IP-Adresse. Was muss ich an dem Code noch ändern? New-ExchangeCertificate -GenerateRequest -SubjectName "c=DE, o=WINSRV, cn=winsrv" -IncludeAcceptedDomains -privatekeyexportable $true -Path c:\output.req Zitieren Link zu diesem Kommentar
NorbertFe 2.104 Geschrieben 25. November 2008 Melden Teilen Geschrieben 25. November 2008 Wäre der Befehl so richtig, der Servername ist auch winsrv? Aber muss ich nicht noch irgendwie den Namen einbringen von dem das OWA extern zu erreichen ist? Dies geht nämlich nur über eine direkte IP-Adresse. Was muss ich an dem Code noch ändern? New-ExchangeCertificate -GenerateRequest -SubjectName "c=DE, o=WINSRV, cn=winsrv" -IncludeAcceptedDomains [color="Red"] -DomainName owa.deineexternedomai.de,mail.deineexternedomain.de[/color] -privatekeyexportable $true -Path c:\output.req MSXFAQ.DE - E2K7:Zertifikate sollte weiterhelfen. Bye Norbert PS: Ich weiß nicht, ob Nokia mit SAN Zertifikaten klarkommt. Zitieren Link zu diesem Kommentar
simonak 10 Geschrieben 26. November 2008 Autor Melden Teilen Geschrieben 26. November 2008 Sodala. Hab jetzt folgenden Befehl ausgeführt: New-ExchangeCertificate -SubjectName "o=WINSRV, cn=winsrv.domain.lokal" -IncludeAcceptedDomains -DomainName mobile.domain.de,winsrv.domain.lokal -privatekeyexportable $true -Path c:\mobile.domain.de.req Dann bin ich auf https://localhost/certsrv gegangen und habe den Inhalt der Datei mobile.domain.de.req unter dem Punkt "Reichen Sie eine Zertifikatanforderung ein, die eine Base64-codierte CMD- oder PKCS10-Datei verwendet, oder eine Erneuerungsanforderung, die eine Base64-codierte PKCS7-Datei verwendet, ein." eingefügt und als Zertifikatsvorlage "Webserver" ausgewählt. Das dürfte soweit OK sein oder hätte ich was anderes als "Webserver" auswählen müssen? Dann habe ich das Zertifikat noch mit folgendem Befehl aktiviert: Enable-ExchangeCertificate -Thumbprint <C227A382393D2DBA8ADA5F147C4AC92AE1494F50> -Services SMTP,IMAP,POP,IIS Habe mir das Zertifikat dann heruntergeladen und so versucht auf dem Handy zu installieren, hat er nicht angenommen. Habe das Zertifikat dann auf dem Link von Manji hochgeladen und mit dem Handy über das Internet geöffnet. So konnte ich das Zertifikat abspeichern und aktzeptieren. Die Fehlermeldung mit dem unbeglaubigten Zertifikat kommt nun nicht mehr. Hat also wahrscheinlich funktioniert? Folgende Meldung kommt aber leider immer noch: Ihr Konto ist m.d. akt. Einstellungen nicht zu Synchronis. berechtigt. Wenden Sie sich an den Administrat. Gibt es noch Einstellungen die ich am IIS oder Exchange vornehmen muss wie es beim 2003er nötig war? Was kann ich noch probieren? Zitieren Link zu diesem Kommentar
BrainStorm 10 Geschrieben 26. November 2008 Melden Teilen Geschrieben 26. November 2008 Der cn sollte im Subject immer den externen Domänennamen tragen. Als weitere Domainnames können dann auch interne Namen auftauchen. Da ich demnächst bei einem Kunden das selbe tun werde, habe ich mich durch das Internet gewühlt und bin auf folgenden interessanten Artikel gestoßen: Days in the Life of an IT Consultant: Nokia Mail For Exchange ( M4E ), Microsoft Exchange Server 2007, Multiple SAN Certificates & Making them All Work Together (NOT A PROBLEM OF MULTIPLE SAN CERTIFICATES or NOKIA SUPPORT FOR THEM) The time it worked, I had generated the CSR from ISA 2006 IIS with a single Subject Name & then MANUALLY ADDED the SANs at my CertSrv when I generated the certificate. To do this, in the Attributes field when you request a new certificate type the following (without any Spaces): SAN: DNS=mail.domain.com&DNS=autodiscover.domain.com&DNS=server.domain.local Now when you compare the certificates generated in these two different ways, they both appear pretty similar, except for 1 thing - If you look at the Details Tab of the Certificate one of them will have a Yellow Warning Triangle on the Subject Alternative Name attribute & one will have the Good Green Circle on the same attribute... Zwar nicht die feine Art ein Ex2007 Cert zu erzeugen, aber laut dem Blooger tut das so ;) Zitieren Link zu diesem Kommentar
simonak 10 Geschrieben 1. Dezember 2008 Autor Melden Teilen Geschrieben 1. Dezember 2008 @BrainStorm Bringt mir deine Anleitung eigentlich etwas bei meinem Problem? So ganz blick ich da noch nicht durch. Bei mir kommt die Fehlermeldung "A field in the handshake was out of range or inconsistent with other fields" auch gar nicht. Außerdem hab ich in meinem erstellten Zertifikat doch eigentlich alles drin oder nicht? Bringt es mir noch einmal etwas wenn ich den CN noch einmal auf die externe Adresse einstelle? Glaube aber auch fast nicht das sich dann an der Handyverbindung noch etwas ändert. Ich denke sowieso das mein Zertifikatproblem bereits gelöst ist. Das Handy bringt ja gar keine Fehlermeldung mehr bezüglich des Zertifikates seit dem ich das letzte selbst erstellte Zertifikat installiert habe. Ich habe nur noch die Fehlermeldung, siehe meinen letzten Beitrag. Muss ich nicht doch noch irgend eine Einstellung am Exchange 2007 bzw. IIS vornehmen? Dies war beim 2003 Server ja auch so. Habe hierzu aber noch nichts gefunden. Edit:/ Habe das ganze spiel auch einmal mit Roadsync probiert, einem anderen Synchronisierungsprogramm für Exchange. Dieses spuckt mir folgende Fehlermeldung aus (Auch hier kommt die Zertifikatsmeldung nicht mehr): Getting folders...Server ERROR : 403 *** Server refused connection! Please try to sync again. If this error persists, contact your IT administrator. 0x7370D02 (activeSyncErrTransactionFailed) ***Sync failed! 01.12.2008 12:05:56 Last sync:*ERROR* See log. Zitieren Link zu diesem Kommentar
ecommerce 10 Geschrieben 1. Dezember 2008 Melden Teilen Geschrieben 1. Dezember 2008 Hi! Hast Du es als Test mal ohne "sicher Verbindung" in Mail for Exchange probiert? Dann werden die eMail nicht verschlüsselt übertragen, aber der Synch funktioniert bei mir problemlos. Gruß Thorsten Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.