ActiveSync und Exchange 2013 - SSL-Problem

[cleveroo 0]

Hallo,

 

ich habe einen Exchange 2013 -Server eingerichtet, der über OWA, ActiveSync und Outlook Anywhere von "außen" erreichbar sein sollte. (Es ist nicht mein erster Exchange-Server, ich habe es schon Paar mal gemacht :-) )

 

Als, ReverseProxy dient ein Sophos-Dients an der Firewall, die Subdomänen sind richtig am externen Nameserver eingepflegt, SSL-Zertifikat wurde bei Comodo bestellt (UCC-Exchange Zert) und richtig im Exchange und an der Firewall eingepflegt.

 

Kommunikation über OWA und Outlook Anywhere funktioniert reibungslos, ohne jegleiche SSL- und/oder Verbindgungsfehler. Autodiscover funktioniert auch prima. "Nur" das ActiveSync funktioniert nicht!!!

 

ActiveSync geht über gleiche URL wie OWA  (webmail.firma.de) , nur die Endung ist anders (OWA-> webmail.firma.de/owa , ActiveSync -> webmail.firma.de/Microsoft-Server-ActiveSync)

 

Ich kann das Konto (Postfach) sogar am mobilen Gerät einrichten (egal ob iPhone, Android etz.) , das Konto wird als eingerichtet gezeigt, meldet danach aber Verbindungsfehler und holt keine Mails ab.

 

Ein Connectivity-Test von aussen über https://testconnectivity.microsoft.com/ verläuft positiv. Wenn ich aber direkt am Exchange Server in der Konsole mit

test-activesyncconnectivity teste, bekomme ich einen Fehler zurück:

[system.Net.WebException]: Die zugrunde liegende Verbindung wurde geschlossen: Für den geschützten SSL/TLS-Kanel konnte keine Vertrauensstellung hergestellt werden.. Interner Fehler [system.Security.Authentication.AuthenticationException]: Das Remotezertifikat ist laut Validierungsverfahren ungültig.

 

Authentifizierung ist am virtuellen Verzeichniss Microsoft-Server-ActiveSync auf Standard gesetzt und Clientzert. auf ignorieren.

(Die selbe Einstellung habe ich an einem anderen Exch-Server und dort funktionierts problemlos)

 

 

Ich verstehe die Welt nicht mehr... Kann mir jemand bitte helfen? Die Richtung vorschlagen?

bearbeitet 2. Oktober 2014 von cleveroo

[PadawanDeluXe 75]

Hi,

 

hast du daran gedacht, dass das Comodo Zertifikat eine Vertrauensstellung mit deinem Exchange haben sollte?

[cleveroo 0]

hallo,

 

wie meinst Du Vertrauenstellung mit dem Exchange?

 

Ich habe das Commodo-Zertifikat am Exchange importiert (durch Exchange) und Intermediate-Zertifikate über MMC und das Zertifikat (und Zertifikatpfad) wird richtig aufgelöst.

 

Wo kann ich das noch nachschauen? Kannst du mir näher erklären?

[cleveroo 0]

hallo,

 

anbei die Lösung:

 

Die Benutzer mit den ich ActiveSync getestet habe war alle samt in der Administratoren Gruppe in Active Directory. Diese Benutzer haben als standard "automatische Vererbung" deaktiviert. Deswegen konnten sie nicht alle Anforderungen die ActiveSync braucht erfüllen.

 

Workaround : in ActiveDirectory bei diesen Benutzern "automatische Vererbung" weider einschalten (unter Sicherheit->Erweitert).

 

Seit dem tuts. Bei den Benutzer die keine Admins waren, hat ActiveSync sofort funktioniert. Das Blöde ist, das man zuerst alles mit einem Admin-Benutzer anlegt und gleich testen möchte.....

[tesso 375]

Ein typisches "AdminSDHolder" Problem.

Suche mal nach diesem Begriff, dann wird dir auch klar warum es ein Problem gab oder wieder geben wird.

[NorbertFe 2.041]

Ja, genau das ist immer das erste was ich teste. Ein Administrator auf dem Handy. ;)

[NeMiX 76]

Wie tesso schon sagte AdminSDHolder und diese Benutzerkonten sollten nicht von extern verfügbar sein imho.

[cleveroo 0]

Die Admins werden auch nicht von außen erreichbar sein. Ich habe natürlich Admin-Account benutzt um Exchange aufzusetzen und dann auch auf Funktionalität zu prüfen. Das dies nicht mit dem Admin-Account ohne weiteres geht ist mir aber erst jetzt klar. Und wieso so ist, erst recht.

 

Der Admin-Account benutze ich nur für die Installation (fremdes Systeme) und dieser wird nach der Installation ausgeschaltet.

 

Kann man Thema irgendwie als [gelöst] markieren, so wie bei den anderen Foren?