marsl84 10 Geschrieben 2. November 2010 Melden Teilen Geschrieben 2. November 2010 Hallo, ich bin jetzt schon den halben Tag am suchen und herumprobieren nur leider ohne Erfolg. Ich möchte gerne iPhones und iPads mit meinem Exchange Server 2007 (Essential Business Server 2008) synchronisieren lassen. Leider bekomme ich aber keine Verbindung. Wärend meiner Suche bin ich auf die Seite http://www.testexchangeconnectivity.com gestoßen und hab den Test durchlaufen lassen. Er bricht mit folgender Fehlermeldung ab: The certificate chain did not end in a trusted root. Root = CN=firma.dyndns.org Gehe ich von extern direkt auf die Seite https://firma.dyndns.org/microsoft-server-activesync kann ich einen Benutzer und ein Passwort eingeben danach kommt aber die Fehlermeldung 403-Verboten: Zugriff verweigert. Ich nehme an, dass hier das Problem liegt. Auf dem iPhone selber denke ich ist das Zertifikat richtig installiert. Zumindest kann ich ohne Zertifikatsfehler auf Outlook Web Access zugreifen und damit arbeiten. Kann mir jemand helfen?! :) Vielen Dank schon mal im voraus. Grüße, Marsl Zitieren Link zu diesem Kommentar
NorbertFe 2.102 Geschrieben 2. November 2010 Melden Teilen Geschrieben 2. November 2010 Dann setz doch mal auf der Webseite https://www.testexchangeconnectivity.com/Default.aspx den Haken "Ignore Trust for SSL" Läuft der Test dann durch? Bye Norbert Zitieren Link zu diesem Kommentar
marsl84 10 Geschrieben 2. November 2010 Autor Melden Teilen Geschrieben 2. November 2010 Hallo Nobert, dieser Hacken ist gesetzt. Ohne den Hacken bricht er schon bei folgendem Test ab mit der gleichen Fehlermeldung: ExRCA is testing the SSL certificate to make sure it's valid. Mit dem Hacken bricht er erst bei diesem Test ab: An ActiveSync session is being attempted with the server. Ich habe aber (glaub sogar in diesem Forum) gelesen, dass man bei selbsterstellten Zertifikaten einen Fehler bei diesem Punkt bekommt. Grüße, Marsl Zitieren Link zu diesem Kommentar
NorbertFe 2.102 Geschrieben 2. November 2010 Melden Teilen Geschrieben 2. November 2010 Off-Topic:Der Hacken heißt Haken. Mit selbsterstellten Zertifikaten bekommt man möglicherweise einen Fehler, trotzdem funktioniert der Test und wird mit lauter grünen Haken markiert. Wenn das bei dir nicht so ist, müßtest du schonmal ein paar mehr Infos rausgeben, damit man analysieren kann.ByeNorbert Zitieren Link zu diesem Kommentar
marsl84 10 Geschrieben 3. November 2010 Autor Melden Teilen Geschrieben 3. November 2010 (bearbeitet) Auf welche Infos möchtest du genau hinaus? Ich bin der Meinung, dass irgendetwas mit den Einstellungen beim IIS oder beim Exchange selbst nicht in Ordnung ist. Begründung: ;) Das Zertifikat funktioniert ja. Sonst könnte ich meiner Meinung nach nicht über das iPhone auf Outlook Web Access zugreifen oder hat das damit nichts zu tun?! Oder liegt es vielleicht doch noch daran, dass ich beim TMG-Server (ISA) den Weblistener falsch eingestellt hab? Muss ich eine bestimmte Authentifizierungsmethode einstellen?! NACHTRAG: Also ich glaube, dass es auch nicht an einem falsch eingestellten Weblistener liegt. Dieser leitet meiner Meinung nach korrekt weiter. Melde ich mich mit einen User an, der im Weblistener die Berechtigung hat, komme ich auf den IIS und dieser zeigt mir die Fehlermeldung 403 Die angegebenen Anmeldeinformationen berechtigen Sie nicht dazu, dieses Verzeichnis oder diese Seite anzuzeigen. Melde ich mich mit einen User an, der keine Berechtigung im Weblistener hat, werde ich nicht auf den IIS weitergeleitet. Es erscheint eine "Standard"-Seite mit dem Fehlercode 403 Der Server hat die angegebene URL verweigert. Danke und Grüße, Marsl bearbeitet 3. November 2010 von marsl84 Nachtrag... Zitieren Link zu diesem Kommentar
NorbertFe 2.102 Geschrieben 3. November 2010 Melden Teilen Geschrieben 3. November 2010 Ich bin der Meinung, dass irgendetwas mit den Einstellungen beim IIS oder beim Exchange selbst nicht in Ordnung ist. Warum? Begründung: ;) Das Zertifikat funktioniert ja. Sonst könnte ich meiner Meinung nach nicht über das iPhone auf Outlook Web Access zugreifen oder hat das damit nichts zu tun?! Gegenbegründung: Das Zertifikat funktioniert ja und du kannst auf OWA zugreifen, also funktioniert der Exchange und der IIS, oder? ;) Oder liegt es vielleicht doch noch daran, dass ich beim TMG-Server (ISA) den Weblistener falsch eingestellt hab? Muss ich eine bestimmte Authentifizierungsmethode einstellen?! NACHTRAG: Also ich glaube, dass es auch nicht an einem falsch eingestellten Weblistener liegt. Dieser leitet meiner Meinung nach korrekt weiter. Melde ich mich mit einen User an, der im Weblistener die Berechtigung hat, komme ich auf den IIS und dieser zeigt mir die Fehlermeldung 403 Die angegebenen Anmeldeinformationen berechtigen Sie nicht dazu, dieses Verzeichnis oder diese Seite anzuzeigen. Melde ich mich mit einen User an, der keine Berechtigung im Weblistener hat, werde ich nicht auf den IIS weitergeleitet. Es erscheint eine "Standard"-Seite mit dem Fehlercode 403 Der Server hat die angegebene URL verweigert. Danke und Grüße, Marsl Man man man und ich schreib noch, man bräuchte ein paar mehr INfos und du rückst hier so nebenbei mit raus, dass du auch das TMG im Einsatz hast (ja ich weiß, es ist Bestandteil vom EBS). Wie wäre es denn, wenn du deine Konfiguration (ja auch den Weblistener) man beschreibst, oder soll man hier weiter raten, und eventuell irgendwann man den Treffer landen? Bye Norbert Zitieren Link zu diesem Kommentar
marsl84 10 Geschrieben 3. November 2010 Autor Melden Teilen Geschrieben 3. November 2010 Gegenbegründung: Das Zertifikat funktioniert ja und du kannst auf OWA zugreifen, also funktioniert der Exchange und der IIS, oder? Hm, weil OWA eine andere Seite und eine andere Funktion mit anderen Einstellungen/Berechtigungen wie Microsoft-Server-ActiveSync ist?! :confused::wink2: Man man man und ich schreib noch, man bräuchte ein paar mehr INfos und du rückst hier so nebenbei mit raus, dass du auch das TMG im Einsatz hast (ja ich weiß, es ist Bestandteil vom EBS). Wie wäre es denn, wenn du deine Konfiguration (ja auch den Weblistener) man beschreibst, oder soll man hier weiter raten, und eventuell irgendwann man den Treffer landen? Hast ja recht. I am sorry! :( Also im TMG gab es schon eine Microsoft Exchange Active Sync-Veröffentlichungsregel.. Die Einstellungen: Von: "Beliebig" Nach: -Diese Regel gilt für die veröffentlichte Site: "mailserver.domain.com" -Name oder IP des Computers = IP des mailservers -Ursprünglichen Hostheader anstelle des aktuellen Headers weiterleiten ist aktiviert -Bei "Anforderungen an die veröffentlichte Site weiterleiten" ist die Funktion "Ursprung der Anforderung scheint der TMG-computer zu sein" ausgewählt Datenverkehr: HTTP und HTTPS, SSL-Clientzertifikat erforderlich ist nicht aktiviert Listener: (der gleiche wie bei OWA, Remote Webarbeitsplatz und Outlook Anywhere) -Netzwerk "Extern" -Verbindungen "HTTP-Verbindungen an Port 80" und "SSL-Verinbungen an Port 443" aktiviert. Sämtlicher Datenverkehr wird von HTTP-zu-HTTPS umgeleitet -Zertifikate -> Ein eiziges Zertifikat für diesen Weblistener verwenden ist aktiviert, ausgewählt ist das selbsterstellte Zertifikat welches bei OWA etc. funktioniert. -Authentifitzierung -> Methode = HTML-Formularauthentifizierung, Methode zur Überprüfung ist "Windows (Active Directory)" - Formulare und SSO -> keine Option aktiviert Linkübersetzung: "Linkübersetzungen für diese Regel anwenden" ist aktiviert Authentifizierungsdelegierung: "Keine Delegierung, aber direkte Authentifizierung des Clients" Anwendungseinstellungen: "Anmeldetyp für Exchange Server" "Vom Benutzer ausgewählt (öffentlich oder privat) Öffentlicher Name: "Anforderungen für die folgenden Websites" ausgewählt, unter Websites und IP-Adressen steht "firma.dyndns.org" Pfade: "Externer Pfad" = "<wie intern>" "Interner Pfad" = "/Microsoft-Server-ActiveSync/*" Bridging: "Webserver" ausgewählt und "Anforderugnen an SSL-Port umleiten - 443" aktiviert Benutzer: 1 Testuser eingetragen Zeitplan: Immer so das waren die einstellungen der veröffentlichungsregel.. Im IIS ist die Site "Microsoft-Server-ActiveSync" vorhanden. Bei Authentifizierung ist Standard- und Windowsauthentifizierung aktiviert. Bei den ActiveSync Eigentschaften auf den Mailserver ist als interne url folgendes angegeben: https://mailserver.bruetting.com/Microsoft-Server-ActiveSync externe url: https://firma.dyndns.org/Microsoft-Server-ActiveSync Als Authentifizierung ist die Standardauthentifizierung aktiviert und bei Clientzertifikatsauthentifizierung die Option "Clientzertifikat akzeptieren" ausgewählt. Bei Remotedateiserver sind Unbekannte Server zugelassen und unter domänsuffixe sind keine Eintragungen vorhanden. auf dem edge-transport server muss ich denke ich mal nichts einstellen oder?! So, ich hoffe Ihr könnt euch jetzt ein bessers Bild machen und Ihr müsst euch nicht weiter auf eure Glaskugel verlassen! :wink2: Zitieren Link zu diesem Kommentar
NorbertFe 2.102 Geschrieben 3. November 2010 Melden Teilen Geschrieben 3. November 2010 Machs dir doch mal einfach. Du hast ja anscheinend auch eine OWA Veröffentlichung die funktioniert. Trag in diese doch einfach mal den Pfad für "/Microsoft-Server-ActiveSync/*" mit ein. Deaktiviere deine bisherige Active Sync Veröffentlichung und teste dann. Was passiert? Bye Norbert Zitieren Link zu diesem Kommentar
NorbertFe 2.102 Geschrieben 3. November 2010 Melden Teilen Geschrieben 3. November 2010 Als Authentifizierung ist die Standardauthentifizierung aktiviert und bei Clientzertifikatsauthentifizierung die Option "Clientzertifikat akzeptieren" ausgewählt. Nimm Clientzertifikat ignorieren. Bye Norbert Zitieren Link zu diesem Kommentar
marsl84 10 Geschrieben 3. November 2010 Autor Melden Teilen Geschrieben 3. November 2010 (bearbeitet) Hallo Norbert, ich habe die Einstellungen "wie gewünscht" konfiguriert und den Test auf http://www.testexchangeconnectivity.com laufen lassen. Es hat sich etwas getan und zwar erhalte ich nun folgende Fehlermeldung beim "Es wird versucht, einen OPTIONS-Befehl an den Server zu senden."-Test: Weitere Details Kopfzeile von MS-Server-ActiveSync and MS-ASProtocolVersions konnte nicht von ExRCA gefunden werden. Empfangene Kopfzeilen: Connection: Keep-Alive Allow: OPTIONS, TRACE, GET, HEAD, POST Public: OPTIONS, TRACE, GET, HEAD, POST Content-Length: 0 Date: Wed, 03 Nov 2010 12:40:11 GMT Set-Cookie: cadata7F254A3E70E645DEB96DC00101C7433A="2625c930d-ce57-4e70-81a9-738e4ce1f0e3EWimwPLkTF5r+/G4W03rJx1LK8diDK9K5DOXGhQhU0bddgWS4W96yP2o/w5g0VwRMpWpXisqp2yC5E8pk9IsuA4yb23L0tOgc5COh/71MvZs4xx6sa4384JYxgYTrLhwElLv03jybQR4gY9X0HhPD7Hgg997Ue5SVWv8ijbxEvHhpum1QxjKNfWOtxTPFR0j"; HttpOnly; secure; path=/ Server: Microsoft-IIS/7.0 X-Powered-By: ASP.NET Ich werde mich gleich mal ans googlen machen aber vielleicht hat jemand ja auch schon eine Lösung parat?! NACHTRAG: Kann es sein, dass das Virtuelle Verzeichnis defekt ist und ich es einfach neu erstellen muss? Vielen Dank schonmal und Grüße, Marsl bearbeitet 3. November 2010 von marsl84 Nachtrag Zitieren Link zu diesem Kommentar
marsl84 10 Geschrieben 4. November 2010 Autor Melden Teilen Geschrieben 4. November 2010 Hallo, nochmal ich. Wollte mich noch bei Norbert bedanken, dass er mich auf den richtigen Weg geführt hat. Hab das Problem jetzt löschen können. Den Fehler bei dem "Es wird versucht, einen OPTIONS-Befehl an den Server zu senden."-Test konnte ich doch das löschen und neu erstellen der Microsoft-Server-ActiveSync Site beheben. Nun kann ich mich einwandfrei mit unserem Exchange verbinden. Also nochmal vielen vielen Dank. Marsl Zitieren Link zu diesem Kommentar
NorbertFe 2.102 Geschrieben 5. November 2010 Melden Teilen Geschrieben 5. November 2010 Freut mich, dass du dein Problem lösen konntest. :) Schönes WE Norbert Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.