bill_mustermann 1 Geschrieben 6. Mai 2014 Melden Teilen Geschrieben 6. Mai 2014 Hallo, ich würde unseren Mitarbeitern gerne die Möglichkeit geben sich von extern per iPhone oder Android auf den Exchange 2013 zu verbinden. Das Einrichten des Kontos auf demm iPhone funktioniert aber ich bekomme keine mails mit dem Fehler: Keine Verbindung zum Server möglich. gruesse Zitieren Link zu diesem Kommentar
Daniel -MSFT- 129 Geschrieben 6. Mai 2014 Melden Teilen Geschrieben 6. Mai 2014 Wie hast Du denn den Exchange nach aussen publiziert? Autodiscover und Zertifikate stimmen? Zitieren Link zu diesem Kommentar
bill_mustermann 1 Geschrieben 6. Mai 2014 Autor Melden Teilen Geschrieben 6. Mai 2014 (bearbeitet) Hi, da fängt es schon an :) Wie publiziere ich den nach aussen? Das Testergebnis sieht wie folgt aus: Die Microsoft-Verbindungsuntersuchung testet Exchange ActiveSync. Fehler beim Testen von Exchange ActiveSync. Weitere Details Verstrichene Zeit: 3541 ms. Testschritte Es wird versucht, den AutoErmittlungs- und Exchange ActiveSync-Test durchzuführen (falls angefordert). Fehler beim Testen der AutoErmittlung für Exchange ActiveSync. Weitere Details Verstrichene Zeit: 3541 ms. Testschritte Es wird versucht, alle Methoden zum Herstellen einer Verbindung mit dem AutoErmittlungsdienst zu verwenden. Der AutoErmittlungsdienst konnte mit keiner Methode erfolgreich kontaktiert werden. Weitere Details Verstrichene Zeit: 3540 ms. Testschritte Es wird versucht, die mögliche AutoErmittlungs-URL https://abc.eu/AutoDiscover/AutoDiscover.xml zu testen. Fehler beim Testen dieser potenziellen AutoErmittlungs-URL. Weitere Details Verstrichene Zeit: 1858 ms. Testschritte Es wird versucht, den Hostnamen abc.eu im DNS aufzulösen. Der Hostname wurde erfolgreich aufgelöst. Weitere Details Zurückgegebene IP-Adressen: 46.165.212.97 Verstrichene Zeit: 296 ms. Es wird getestet, ob TCP-Port 443 auf Host abc.eu überwacht wird/geöffnet ist. Der angegebene Port ist blockiert, wird nicht überwacht oder sendet nicht die erwartete Antwort. Weitere Informationen zu diesem Problem und zu möglichen Lösungen Weitere Details Es ist Netzwerkfehler bei der Kommunikation mit dem Remotehost aufgetreten. . Verstrichene Zeit: 1561 ms. Es wird versucht, die mögliche AutoErmittlungs-URL https://autodiscover.abc.eu/AutoDiscover/AutoDiscover.xml zu testen. Fehler beim Testen dieser potenziellen AutoErmittlungs-URL. Weitere Details Verstrichene Zeit: 1016 ms. Testschritte Es wird versucht, den Hostnamen autodiscover.abc.eu im DNS aufzulösen. Der Hostname wurde erfolgreich aufgelöst. Weitere Details Zurückgegebene IP-Adressen: xxx.xxx.xxx.xxx Verstrichene Zeit: 341 ms. Es wird getestet, ob TCP-Port 443 auf Host autodiscover.abc.eu überwacht wird/geöffnet ist. Der Port wurde erfolgreich geöffnet. Weitere Details Verstrichene Zeit: 259 ms. Die Gültigkeit des SSL-Zertifikats wird überprüft. Fehler bei mindestens einem Zertifikatüberprüfungstest für das SSL-Zertifikat. Weitere Details Verstrichene Zeit: 415 ms. Testschritte Die Microsoft-Verbindungsuntersuchung versucht, das SSL-Zertifikat vom Remoteserver autodiscover.abc.eu an Port 443 zu erhalten. Die Microsoft-Verbindungsuntersuchung hat das Remote-SSL-Zertifikat erfolgreich abgerufen. Weitere Details Antragsteller des Remotezertifikats: CN=mx.abc.eu, Aussteller: CN=mx.abc.eu. Verstrichene Zeit: 379 ms. Der Zertifikatsname wird überprüft. Zertifikatsnamen erfolgreich überprüft. Weitere Details Der Hostname autodiscover.abc.eu wurde im Eintrag für den alternativen Antragstellernamen des Zertifikats gefunden. Verstrichene Zeit: 0 ms. Zertifikatsvertrauensstellung wird überprüft. Fehler bei der Überprüfung der Vertrauenswürdigkeit des Zertifikats. Testschritte Die Microsoft-Verbindungsuntersuchung versucht, Zertifikatketten für Zertifikat CN=mx.abc.eu zu erstellen. Für das Zertifikat konnte keine Zertifikatkette erstellt werden. Weitere Informationen zu diesem Problem und zu möglichen Lösungen Weitere Details Das Ende der Zertifikatkette war kein vertrauenswürdiger Stamm. Stamm = CN=mx.abc.eu Verstrichene Zeit: 14 ms. Es wird versucht, mit der HTTP-Umleitungsmethode eine Verbindung mit dem AutoErmittlungsdienst herzustellen. Fehler beim Verbindungsversuch mit der AutoErmittlung mit der HTTP-Umleitungsmethode. Weitere Details Verstrichene Zeit: 396 ms. Testschritte Es wird versucht, den Hostnamen autodiscover.abc.eu im DNS aufzulösen. Der Hostname wurde erfolgreich aufgelöst. Weitere Details Zurückgegebene IP-Adressen: xxx.xxx.xxx.xxx Verstrichene Zeit: 8 ms. Es wird getestet, ob TCP-Port 80 auf Host autodiscover.abc.eu überwacht wird/geöffnet ist. Der Port wurde erfolgreich geöffnet. Weitere Details Verstrichene Zeit: 138 ms. Die Microsoft-Verbindungsuntersuchung überprüft die AutoErmittlung von Host abc.eu für die HTTP-Umleitung zum AutoErmittlungsdienst. Die Microsoft-Verbindungsuntersuchung konnte keine HTTP-Umleitungsantwort für die AutoErmittlung abrufen. Weitere Details Die Antwort „HTTP 403 Verboten“ wurde empfangen. Die Antwort scheint von Unknown zu stammen. Antworttext: HTTP-Antwortkopfzeilen: X-FEServer: ELZAR Content-Length: 0 Date: Tue, 06 May 2014 11:56:18 GMT Server: Microsoft-IIS/8.0 X-Powered-By: ASP.NET Verstrichene Zeit: 249 ms. Es wird versucht, mit der DNS-SRV-Umleitungsmethode eine Verbindung mit dem AutoErmittlungsdienst herzustellen. Die Microsoft-Verbindungsuntersuchung konnte mit der DNS-SRV-Umleitungsmethode keine Verbindung mit dem AutoErmittlungsdienst herstellen. Weitere Details Verstrichene Zeit: 137 ms. Testschritte Es wird versucht, den SRV-Datensatz _autodiscover._tcp.abc.eu im DNS zu finden. Der SRV-Eintrag für die AutoErmittlung wurde nicht in DNS gefunden. Weitere Informationen zu diesem Problem und zu möglichen Lösungen Weitere Details Verstrichene Zeit: 137 ms. Es wird überprüft, ob in DNS ein CNAME-AutoErmittlungseintrag für Ihre Domäne "abc.eu" für Office 365 vorhanden ist. Fehler bei der Überprüfung des CNAME-AutoErmittlungseintrags in DNS. Wenn sich Ihr Postfach nicht in Office 365 befindet, können Sie diese Warnung ignorieren. Weitere Informationen zu diesem Problem und zu möglichen Lösungen Weitere Details Es gibt keinen CNAME-Eintrag der AutoErmittlung für Ihre Domäne 'abc.eu'. Verstrichene Zeit: 132 ms. gruesse bearbeitet 6. Mai 2014 von bill_mustermann Zitieren Link zu diesem Kommentar
Daniel -MSFT- 129 Geschrieben 6. Mai 2014 Melden Teilen Geschrieben 6. Mai 2014 (bearbeitet) Ich fürchte, dafür ist das Forum der falsche Ort. Such Dir doch einen Dienstleister, der Dir das einrichtet. Du brauchst dafür eine feste IP extern, ein entsprechendes UC-Zertifikat und eine korrekte DNS-Konfiguration für Autodiscover. Alternativ lass den Exchange Server extern betreiben. Bei Exchange Online zum Beispiel ist das alles mit drin und vorkonfiguriert. bearbeitet 6. Mai 2014 von Daniel -MSFT- Zitieren Link zu diesem Kommentar
bill_mustermann 1 Geschrieben 6. Mai 2014 Autor Melden Teilen Geschrieben 6. Mai 2014 (bearbeitet) Hi, also wie du anhand des Testergebnisses sehen kannst liegts eigentlich nur noch an dem hier: Das Ende der Zertifikatkette war kein vertrauenswürdiger Stamm. Stamm = CN=mx.abc.eu Ansonsten funktioniert ja das einrichten des Kontos. Sprich autodiscover hat funktioniert...das Konto ist eingerichtet. Nur wenn ich mails empfangen will kommt halt "keine verbindung zum server möglich" was wohl an dem Zertifikat liegt (self-signed). Wenn ich die Beiträge hier im Forum richtig gelesen habe gibt es 2 Möglichkeiten: 1. Zertifikat auf dem iphone installieren 2. Ein Zertifikat von einer Zertifizierungsstelle wie Verisign oder so kaufen. beides kommt eigentlich nicht in Betracht da 1. zu aufwendig für 50 user und 2. zu teuer :) was kann ich noch tun? wenn ich die ssl fehler beim testen ignoriere (da kann man ein häkchen setzen) knallt es zum schluss bei einem befehl: Es wird versucht, den Befehl „FolderSync“ in der Exchange ActiveSync-Sitzung auszuführen. Fehler beim Testen des Befehls „FolderSync“. Weitere Informationen zu diesem Problem und zu möglichen Lösungen Weitere Details Exchange ActiveSync hat die Antwort „HTTP 500“ zurückgegeben (interner Serverfehler). HTTP-Antwortkopfzeilen: request-id: 3cf52a44-9fa0-4a73-ba79-d2f3efd6dc4b X-CalculatedBETarget: elzar.abc.local MS-Server-ActiveSync: 15.0 X-MS-RP: 2.0,2.1,2.5,12.0,12.1,14.0,14.1 MS-ASProtocolVersions: 2.0,2.1,2.5,12.0,12.1,14.0,14.1 MS-ASProtocolCommands: Sync,SendMail,SmartForward,SmartReply,GetAttachment,GetHierarchy,CreateCollection,DeleteCollection,MoveCollection,FolderSync,FolderCreate,FolderDelete,FolderUpdate,MoveItems,GetItemEstimate,MeetingResponse,Search,Settings,Ping,ItemOperations,Provision,ResolveRecipients,ValidateCert X-MS-BackOffDuration: 0 X-MS-Diagnostics: &Log=PrxFrom:%3a%3a1_V120_HH:mx.abc.eu_SmtpAdrs:ror%40abc.ag_NMS1_Ssnf:T_St:F_Sk0_Srv:19a0c0d0s0e0r0A0sd_Ers1_Cpo18828_Fet20000_ExStk:H4sIAAAAAAAEAOVWzY7bNhC%2bB%2bg7zNEBtIKdbS4%2bFFAsbSqgXi8spwVySWlybLGhSJWkNlaeLbe8WIeWJXmR7ba7QYD%2b6CJyyJn55pezlNwaZ3Y%2bzg68ZHqPcSJt0Wre%2f2%2fQVkyj9nQBay%2bNhouLix9g%2bSVnyjyLU2mRe2PbOElXNVoWWAbeOSTcy1uE4RqY%2fhLsmFQogFavUAu0ccXse9QVlvYDWh8rw5mKYVNKB2itsUALbTxY9FayrcIYEiFkEMYUSL0zhL1T%2b7bZW7nbwS2SLLkP4r57dsIiBiwWXW20wzlMu%2b%2flHArkmbVzSIs8vZhezl6%2bmGWzCGprSGEF30%2bnlzDJr4s3V1fvksUiK4p36%2fz1j5vieQSCPALTZ53HitZ5rEYHFWhvJUcX31jjDTfKjWf3eS5FGxzT%2bI%2b0IDt2nz%2ftPWjJSw%2bfP22JKCSSY8hqcp4iOurebkdyS49kMwBsUf4dMD8JVi%2bM1nSB9Me0dN423K9PTprk2l%2b%2bgAqdY3vMRQSBY0A%2bBjYCYmmUT5QKHqbVpq0xgo2ssKiZJuLvDTof9qvGR%2fDKGIVEx974lT6dPf8KAwpKqnWnaTKwnQg9hPtBmXPFf534NwG%2beJL2ux5U57sIrhulQpb%2fOgOuJJVkIQUWyCwvTygjyI85LX1bcPI%2fsPNdBAXVid4DlZFCm1N9PMasJA2EgsId7MkOyBuPSyPkTvIjwt48Kvztb8QEBNG2Efy5uf3NnKreyr2ksg15NMS%2fqn3b3TipXY0FMV6TLjSqzhSqNMioeQCVAHUAj5Z6FySN06ykTPWsRnUslg%2bMlw35ghie7IOE8LYfcTjOQlOa3Bd%2b4MPyIX%2bMkoZmKyhsXaF545lah1aHrqfZbrvSIf3R%2fufC%2ba805enQC3aLI0hJDZdpjhsT6BTyTDcVdYOuBdADRK3BH5Ohh7Vta%2bbcz0xJwR6P5Nr4wWMJpS8VT7xu9Nk7PjlbAxNnvWlMx3ZhGv1wvxxGjDTF0LSXTNMLYuOFReaxe5XDhe6UqsgzqdFOejOPavLd1XFe%2bDZ1%2fw0gPknT0mxJQncyea3MlvKQ%2bjbsh2UE2YFCieEJAEeSCgonSTjyU2wCfcwQGgr4%2bytjl%2bzQCT3LnjuYI1jSf2sOp9yE6s72H27S12NfmIrmXhG%2fqUUIePoQ3kcJpH%2bt0J8ckHDC62hmCT96myePkvWLoQHZbkryiwicNNLeM3TP5v%2fHofsPuyGHltsMAAA%3d_S111_Error:ADOperationException1%3aActive+Directory+operation+failed+on+Bender.abc.local.+This+error+is+not+retriable.+Additional+information%3a+Zugriff+verweigert.%0d%0aActive+directory+response%3a+00000005%3a+SecErr%3a+DSID-031521E1%2c+problem+4003+(INSUFF%5FACCESS%5FRIGHTS)%2c+data+0%0a_Mbx:ELZAR.abc.local_Dc:Bender.abc.local_Throttle0_SBkOffD:0_DBL7_DBS1_CmdHC-1477255686_TmRcv14:18:31.314928_TmSt14:18:31.314928_TmFin14:18:32.3618036_TmCmpl14:18:51.189925_ActivityContextData:ActivityID%3d3cf52a44-9fa0-4a73-ba79-d2f3efd6dc4b%3bDbl%3aSTCPU.T%5bELZAR.5aa88de6-ff80-4424-ac24-cddf7fbec4d3%5d%3d75%3bDbl%3aST.T%5bELZAR.5aa88de6-ff80-4424-ac24-cddf7fbec4d3%5d%3d68%3bDbl%3aMBLB.T%5bELZAR.5aa88de6-ff80-4424-ac24-cddf7fbec4d3%5d%3d20737%3bDbl%3aBudgUse.T%5b%5d%3d1046.87561035156%3bDbl%3aRPC.T%5bELZAR.5aa88de6-ff80-4424-ac24-cddf7fbec4d3%5d%3d71%3bI32%3aRPC.C%5bELZAR.5aa88de6-ff80-4424-ac24-cddf7fbec4d3%5d%3d80%3bI32%3aMAPI.C%5bELZAR.5aa88de6-ff80-4424-ac24-cddf7fbec4d3%5d%3d172%3bI32%3aROP.C%5bELZAR.5aa88de6-ff80-4424-ac24-cddf7fbec4d3%5d%3d1633294%3bDbl%3aMAPI.T%5bELZAR.5aa88de6-ff80-4424-ac24-cddf7fbec4d3%5d%3d71%3bI32%3aADW.C%5bBender%5d%3d1%3bF%3aADW.AL%5bBender%5d%3d0.7769%3bI32%3aADR.C%5bBender%5d%3d5%3bF%3aADR.AL%5bBender%5d%3d2.25416%3bI32%3aMB.C%5bELZAR.5aa88de6-ff80-4424-ac24-cddf7fbec4d3%5d%3d80%3bF%3aMB.AL%5bELZAR.5aa88de6-ff80-4424-ac24-cddf7fbec4d3%5d%3d0.8875002%3bI32%3aADS.C%5bBender%5d%3d12%3bF%3aADS.AL%5bBender%5d%3d5.267492%3bS%3aWLM.Cl%3dCustomerExpectation%3bS%3aWLM.Type%3dEas%3bS%3aWLM.Int%3dTrue%3bS%3aWLM.SvcA%3dFalse%3bS%3aWLM.Bal%3d240000%3bS%3aWLM.BT%3dEas_Budget:(D)Owner%3aSid%7eXXXXXXXXXXXXXXXXXXX%5cror%7eEas%7efalse%2cConn%3a0%2cMaxConn%3a10%2cMaxBurst%3a240000%2cBalance%3a240000%2cCutoff%3a600000%2cRechargeRate%3a360000%2cPolicy%3aGlobalThrottlingPolicy%5F9df4e8ad-86ab-463d-8066-7e0a752f5bd7%2cIsServiceAccount%3aFalse%2cLiveTime%3a00%3a00%3a20.4218723_ X-DiagInfo: ELZAR X-BEServer: ELZAR X-FEServer: ELZAR Content-Length: 6281 Cache-Control: private Content-Type: text/html; charset=utf-8 Date: Tue, 06 May 2014 14:18:51 GMT Set-Cookie: X-BackEndCookie=S-1-5-21-664795253-478839332-567892810-1248=u56Lnp2ejJqByp6ex8ebmsnSmZnHz9LLy83L0p6czcvSnJubmciZnZqcy5vMgYHPytDPydDNz87L387Lxc3HxcrO; expires=Tue, 06-May-2014 14:28:51 GMT; path=/Microsoft-Server-ActiveSync; secure; HttpOnly Server: Microsoft-IIS/8.0 X-AspNet-Version: 4.0.30319 X-Powered-By: ASP.NET Verstrichene Zeit: 20552 ms. Im Eventlog steht das dann im klartext...allerdings kann ich damit nichts anfangen :( Exchange ActiveSync verfügt nicht über ausreichende Berechtigungen zum Erstellen des Containers "CN=xxxxxxx,OU=User,DC=abc,DC=local" unter dem Active Directory-Benutzer "Active Directory operation failed on Bender.abc.local. This error is not retriable. Additional information: Zugriff verweigert. Active directory response: 00000005: SecErr: DSID-031521E1, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0 ". Stellen Sie sicher, dass der Benutzer über geerbte Berechtigungen verfügt, die 'domain\Exchange Servers' erteilt wurden, um für Objekte vom Typ "msExchangeActiveSyncDevices" die Befehle 'Inhalte auflisten', 'Untergeordnetes Objekt erstellen' und 'Untergeordnetes Objekt löschen' auszuführen, und dass der Benutzer über keine verweigerten Berechtigungen verfügt, die diese Vorgänge blockieren. gruesse bearbeitet 6. Mai 2014 von bill_mustermann Zitieren Link zu diesem Kommentar
NeMiX 76 Geschrieben 6. Mai 2014 Melden Teilen Geschrieben 6. Mai 2014 Ein SSL SAN Cert kostet bei Start SSL 59$ und wird von iPhones akzeptiert. Daran sollte es nicht scheitern ;). Zeigt den autodiscover Eintrag auf deine externe IP und ist https auf den Exchange weitergeleitet? Zitieren Link zu diesem Kommentar
NorbertFe 2.041 Geschrieben 6. Mai 2014 Melden Teilen Geschrieben 6. Mai 2014 Ein iPhone kann den als Fehler auch einfach ignorieren. Sieht eher danach aus, als wenn der Test mit einem Admin durchgeführt wird. Nimm doch mal einen normalen user. Das was du suchst nennt sich dann adminsdholder. Zitieren Link zu diesem Kommentar
bill_mustermann 1 Geschrieben 7. Mai 2014 Autor Melden Teilen Geschrieben 7. Mai 2014 Hallo, adminsdholder ist genau das Problem :) Danke. Da bin ich schonmal einen Schritt weiter. Nun ist es leider so das bei uns alle User in einer Gruppe "lokale Administratoren" sind. Diese Gruppe ist mitglied von Administrator. Jeder User soll in der Lage sein auf seinem PC beliebige Software installieren zu können, daher diese Einstellung. Aber jetzt haben wir den Salat! Was kann ich jetzt tun? Was ist sinnvoll? gruesse Zitieren Link zu diesem Kommentar
Sunny61 806 Geschrieben 7. Mai 2014 Melden Teilen Geschrieben 7. Mai 2014 Der lokale Admin dürfte IMHO weniger das Problem sein, eher die Mitgliedschaft in den Domain Admins. Zitieren Link zu diesem Kommentar
bill_mustermann 1 Geschrieben 7. Mai 2014 Autor Melden Teilen Geschrieben 7. Mai 2014 Hi, so wie ich das gelesen habe werden die User in der Gruppe Administratoren auch von adminsdholder verwaltet. Und das ist das Problem. Da jeder User in dieser Gruppe ist. Ist jetzt bestimmt auch nicht ideal das jeder user in dieser Gruppe ist. Aber wie kann ich das sonst umsetzen? gruesse Zitieren Link zu diesem Kommentar
NorbertFe 2.041 Geschrieben 7. Mai 2014 Melden Teilen Geschrieben 7. Mai 2014 Du hast jeden Benutzer in die domänengruppe der Administratoren gesteckt? Zeigt nur wieder, wie wenig manche sich mit der Materie beschäftigen. Zitieren Link zu diesem Kommentar
bill_mustermann 1 Geschrieben 7. Mai 2014 Autor Melden Teilen Geschrieben 7. Mai 2014 Hi, ja habe ich. Wohl ist mir dabei auch nicht. Ich bin ja auch gewillt das nun richtig zu machen. Aber wie? Vorraussetzung ist das jeder User an jedem Rechner beliebige Software installieren kann. gruesse Zitieren Link zu diesem Kommentar
NorbertFe 2.041 Geschrieben 7. Mai 2014 Melden Teilen Geschrieben 7. Mai 2014 Weißt du, warum jeder pc eine lokale Gruppe der Administratoren besitzt? Www.gruppenrichrlinien.de hat ein how to zur zentralen berechtigungsvergabe. Zitieren Link zu diesem Kommentar
Sunny61 806 Geschrieben 7. Mai 2014 Melden Teilen Geschrieben 7. Mai 2014 so wie ich das gelesen habe werden die User in der Gruppe Administratoren auch von adminsdholder verwaltet. Und das ist das Problem. Da jeder User in dieser Gruppe ist. Ist jetzt bestimmt auch nicht ideal das jeder user in dieser Gruppe ist. Aber wie kann ich das sonst umsetzen? Was genau möchtest Du denn erreichen? Dass jeder Benutzer lokaler Admin ist? Das geht doch auf viel einfacher. In diesen Artikeln findest Du Antworten: http://www.gruppenrichtlinien.de/artikel/lokaler-administrator-install-agent-delegation-pro-computer/ http://www.gruppenrichtlinien.de/artikel/verwaltung-der-lokalen-administratoren/ Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.