Beetlejuice 11 Geschrieben 16. Januar 2023 Melden Teilen Geschrieben 16. Januar 2023 Hi Leute, zum ende vom Dezember habe ich unseren Exchange Server 2016 auf die SU vom November 2022 (Build Number: 15.01.2507.016) gepatcht und ebenfalls die Extended Protection eingeschaltet. Für das OWA betreibe ich eine Sophos XG als WAF und verwende SSL-Bridging mit dem gleichem Zertifikat für intern als wie extern. Auf Windows-Systemen wie auch bei Android-Systemen funktioniert das OWA mit den gängigsten Browsern (Chrome, Edge, Firefox). Nur bei Apple Geräten (MacOS, iOS, vermutlich auch iPadOS - ist aber nicht getestet) habe ich Probleme das OWA zu öffnen. Dabei ist es egal ob ich das mit dem Safari, Chrome oder Firefox mache. Bei allen Browsern unter Apple bekomme ich nur ein loop der Passworteingabe. Sobald die Extended Protection abgeschaltet wird, funktioniert auch wieder die Anmeldung mit Apple Geräten. Seid ihr auch in ähnliche oder in gleiche Probleme gestoßen und konntet ihr die Lösen? Was könnte ich nach eurer Meinung nach tun? VG Henry Zitieren Link zu diesem Kommentar
NorbertFe 2.066 Geschrieben 16. Januar 2023 Melden Teilen Geschrieben 16. Januar 2023 vor 18 Minuten schrieb Beetlejuice: Dabei ist es egal ob ich das mit dem Safari, Chrome oder Firefox mache. Was auch kein Wunder ist, weil auf iOS alle die selbe Engine verwenden. ;) verwendest du das gleiche oder dasselbe Zertifikat? Zitieren Link zu diesem Kommentar
Beetlejuice 11 Geschrieben 16. Januar 2023 Autor Melden Teilen Geschrieben 16. Januar 2023 vor einer Stunde schrieb NorbertFe: verwendest du das gleiche oder dasselbe Zertifikat? Es handelt sich dabei um dasselbe Zertifikat (gleicher Thumbprint) Zitieren Link zu diesem Kommentar
Beetlejuice 11 Geschrieben 19. Januar 2023 Autor Melden Teilen Geschrieben 19. Januar 2023 Könnt ihr denn mit Apple Geräten und aktivierter Extended-Protection auf das OWA im Webbrowser zugreifen? Gibt es noch eine weitere stelle im Exchange, wo ich schauen kann warum das nicht klappt? das IIS log habe ich mir schon angeschaut, dort taucht nur ein 401 auf... Zitieren Link zu diesem Kommentar
NorbertFe 2.066 Geschrieben 19. Januar 2023 Melden Teilen Geschrieben 19. Januar 2023 vor 15 Minuten schrieb Beetlejuice: Könnt ihr denn mit Apple Geräten und aktivierter Extended-Protection auf das OWA im Webbrowser zugreifen? grad mal getestet. Ja 2016 (gestern gepatcht Extended protection aktiv und auch Signing). geht problemfrei auf einem iphone mit iOS 16.2. Ich tippe eher auf deine Sophos. ;) Kannst du die mal aus dem Spiel nehmen (zu Testzwecken)? Zitieren Link zu diesem Kommentar
Beetlejuice 11 Geschrieben 19. Januar 2023 Autor Melden Teilen Geschrieben 19. Januar 2023 Ja habe ich schon und ich ging dabei auf die interne OWA url. Die Zugriffe konnte ich in der Firewall auch gut sehen. Dann muss ja irgendwas an der OWA konfiguration, dem Zertifikat oder der extended protection nicht stimmen... Da wir auch Auto-Archive haben, habe ich bei der Extended PRotection auch den EWS-BAckend Restric-Type ausgewählt. Zitieren Link zu diesem Kommentar
NorbertFe 2.066 Geschrieben 19. Januar 2023 Melden Teilen Geschrieben 19. Januar 2023 vor 7 Minuten schrieb Beetlejuice: Dann muss ja irgendwas an der OWA konfiguration, dem Zertifikat oder der extended protection nicht stimmen... Ja nur eben kein generelles Problem. Ich kann’s nicht nachvollziehen. vor 10 Minuten schrieb Beetlejuice: Da wir auch Auto-Archive haben, habe ich bei der Extended PRotection auch den EWS-BAckend Restric-Type ausgewählt. Hmm ich schau mir das nachher mal bei 2019 an. Zitieren Link zu diesem Kommentar
Beetlejuice 11 Geschrieben 19. Januar 2023 Autor Melden Teilen Geschrieben 19. Januar 2023 Ich habe eben nochmal die Logs durchschaut und seit geraumer Zeit, noch bevor ich die Extended Protection aktiviert habe, bekomme ich eine MSEXchange OAuth meldung. Event 2004, MSExchange OAuth Unable to find the certificate with thumbprint 79FDDA0199C941A6A2BCEAB2A97B68D85F0D54FD in the current computer or the certificate is missing private key. The certificate is needed to sign the outgoing token. Das Zertifikat (Microsoft Exchange Server Auth Certificate) war abgelaufen und wurde mit den Vorbereitungen zum SU getauscht. (Get-AuthConfig).CurrentCertificateThumbprint | Get-ExchangeCertificate | Format-List Subject, Thumbprint, NotAfter, NotBefor Subject : CN=Microsoft Exchange Server Auth Certificate Thumbprint : C28FCDFF46EB8590053EBD281795037B77C63630 NotAfter : 01.01.2028 22:33:54 NotBefore : 01.01.2023 22:33:54 Da ich das OWA auf allen andern mobilen Geräten benutzen kann, würde ich das Problem jetzt nicht mit diesen in Verbindung bringen. Zitieren Link zu diesem Kommentar
NorbertFe 2.066 Geschrieben 19. Januar 2023 Melden Teilen Geschrieben 19. Januar 2023 vor 43 Minuten schrieb Beetlejuice: Unable to find the certificate with thumbprint 79FDDA0199C941A6A2BCEAB2A97B68D85F0D54FD in the current computer or the certificate is missing private key. The certificate is needed to sign the outgoing token. Aber beheben könnte man den Fehler ja trotzdem mal, oder? ;) Zitieren Link zu diesem Kommentar
Beetlejuice 11 Geschrieben 19. Januar 2023 Autor Melden Teilen Geschrieben 19. Januar 2023 vor 5 Minuten schrieb NorbertFe: Aber beheben könnte man den Fehler ja trotzdem mal, oder? ;) Fehler ist behoben ("Set-AuthConfig -ClearPreviousCertificate"), wie erwartet besteht das Problem leider dennoch. Zitieren Link zu diesem Kommentar
NorbertFe 2.066 Geschrieben 19. Januar 2023 Melden Teilen Geschrieben 19. Januar 2023 Hast du evtl. http/2 aktiv? Da hatten iOS Devices mal diverse Probleme. Versuch mal abzuschalten. Zitieren Link zu diesem Kommentar
Beetlejuice 11 Geschrieben 19. Januar 2023 Autor Melden Teilen Geschrieben 19. Januar 2023 vor 22 Minuten schrieb NorbertFe: Hast du evtl. http/2 aktiv? Da hatten iOS Devices mal diverse Probleme. Versuch mal abzuschalten. Guter Gedanke, ich habe noch Srv 2012 R2 im Einsatz und ich glaube das kommt erst mit 2016 oder so ... jedenfalls mit einem neuerem IIS. Der Network-Trace im Browser zeigt jedenfalls http/1.1 an. Zitieren Link zu diesem Kommentar
NorbertFe 2.066 Geschrieben 19. Januar 2023 Melden Teilen Geschrieben 19. Januar 2023 Ich dachte an die Sophos. Weiß aber nicht, ob die http/2 kann für die WAF. Zitieren Link zu diesem Kommentar
Beetlejuice 11 Geschrieben 19. Januar 2023 Autor Melden Teilen Geschrieben 19. Januar 2023 vor 4 Minuten schrieb NorbertFe: Ich dachte an die Sophos. Weiß aber nicht, ob die http/2 kann für die WAF. okay, aber wie gesagt, über die interne url, welche auch als interne OWA adresse konfiguriert ist, geht das auch nicht. Der Proxy ist da gar nicht mehr gefragt. :( Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.