Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 18 replies
  • Subscribers 1 subscriber
  • Views 11037 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Exchange 2013 ActiveSync iPhone

Revan
Guten Morgen,

wie haben seit kurzem einen neuen Exchange 2013 laufen und nun möchte ich unsere iPhones für den E-Mail Empfang konfigurieren.

Leider können die iPhones nicht zum Exchange Kontakt aufnehmen, weder vom internen WLAN noch vom externen oder aus dem Mobilnetz.

Auf der Astaro habe ich eine NAT-Regel wie folgt eingerichtet:

For traffic from: Any
Using Service: HTTPS
Going to: Öffentliche IP auf die der MX zeigt
Change Destination to: Exchange Server
And the service to: HTTPS

Per Outlook/OWA hab ich Zugriff von extern und intern.
Der Zugriff auf ActiveSync ist für alle User auf dem Exchange erlaubt

Hab ich noch was vergessen das auf der Astaro einzustellen ist das der Zugriff auf den Exchange vom iPhone klappt?


This thread was automatically locked due to age.
  • 0
    Da ihr DNAT verwendet, kann's an der UTM eigentlich nicht liegen, da der Zugriff auf OWA klappt und somit ja jegliches HTTPS-Paket an den Exchange-Server weitergeleitet wird...

    Sicher, dass der Exchange richtig eingestellt ist (v.a. auch die externe URL)?
    Evtl. ein Zertfikatsproblem (erinnere mich, dass die iPhones da früher etwas zickig waren, wenn es kein Zertifikat einer offiziell gültigen Zertifizierungsstelle war)?
    Irgendwelche zutreffenden Einträge im IIS-Log?

    Übrigens: Das Feld "And the service to" kannst du leer lassen, wenn es der gleiche Dienst wie bei "Using Service" ist.

    ----------
    Sophos user, admin and reseller.
    Private Setup:

    • XG: HPE DL20 Gen9 (Core i3-7300, 8GB RAM, 120GB SSD) | XG 18.0 (Home License) with: Web Protection, Site-to-Site-VPN (IPSec, RED-Tunnel), Remote Access (SSL, HTML5)
    • UTM: 2 vCPUs, 2GB RAM, 50GB vHDD, 2 vNICs on vServer (KVM) | UTM 9.7 (Home License) with: Email Protection, Webserver Protection, RED-Tunnel (server)
  • 0
    Externe und interne URL sind gleich (intern wird dann per DNS Zone auf die IP vom Exchange geleitet).
    Das Zertifikat ist selbst erstellt, kann man das noch an was anderem nachvollziehen das es daran liegt?
    Im IIS Log steht nix dazu.
  • 0 in reply to Revan
    intern wird dann per DNS Zone auf die IP vom Exchange geleitet.

    Dann kann's sowieso nicht an der UTM liegen, da es ja intern über WLAN auch nicht geht und dabei die UTM gar nicht dazwischen hängt.

    Was passiert, wenn du von einem internen PC im Browser die folgende URL aufrufst?
    https:///Microsoft-Server-ActiveSync/

    Hier sollte jetzt eigenlich eine User-Abfrage kommen.

    ----------
    Sophos user, admin and reseller.
    Private Setup:

    • XG: HPE DL20 Gen9 (Core i3-7300, 8GB RAM, 120GB SSD) | XG 18.0 (Home License) with: Web Protection, Site-to-Site-VPN (IPSec, RED-Tunnel), Remote Access (SSL, HTML5)
    • UTM: 2 vCPUs, 2GB RAM, 50GB vHDD, 2 vNICs on vServer (KVM) | UTM 9.7 (Home License) with: Email Protection, Webserver Protection, RED-Tunnel (server)
  • 0
    Firefox fragt nach Credentials, IE10 auch.

    Benutzername/Passwort wird nicht angenommen.
    Domäne\Benutzer, Passwort wird angenommen aber es wird nur eine Fehlerseite angezeigt:

  • 0 in reply to Revan
    Sieht eigentlich ganz gut aus. Die Meldung besagt ja nur, dass das Device von ActiveSync nicht erkannt wird, was ja auch richtig ist, da dein Browser die ActiveSync-Protokolle nicht unterstützt.
    Ich wollte nur wissen, ob die User/PW-Abfrage kommt, was ja auch so ist.
    D.h. grundsätzlich kommt die Anfrage am Exchange/IIS an.

    Es muss entweder bei der Dateneingabe am iPhone oder bei der Exchange- oder IIS-Konfiguration noch irgendein Hund begraben sein. Wie fit bist du mit Exchange und IIS? Die Exchange- und IIS-Logs sollten dich einer Lösung eigentlich näher bringen...
    Evtl. helfen dir auch diverse Tutorials im Internet, wie man ActiveSync auf dem Exchange richtig einichtet.

    Bei den iPhones hast du aber den Haken, dass alle Zertifikate akzeptiert werden, bei der Einrichtung des Kontos gesetzt, oder? Sonstige Einstellungen wie hier gemacht?

    ----------
    Sophos user, admin and reseller.
    Private Setup:

    • XG: HPE DL20 Gen9 (Core i3-7300, 8GB RAM, 120GB SSD) | XG 18.0 (Home License) with: Web Protection, Site-to-Site-VPN (IPSec, RED-Tunnel), Remote Access (SSL, HTML5)
    • UTM: 2 vCPUs, 2GB RAM, 50GB vHDD, 2 vNICs on vServer (KVM) | UTM 9.7 (Home License) with: Email Protection, Webserver Protection, RED-Tunnel (server)
  • 0
    Ich hab im Netz was gefunden was das Problem behoben hat. Scheinbar war bei dem AD-Account die Zugriffsberechtigung nicht korrekt. Nachdem ich die Vererbung eingeschaltet hatte gings dann.

    Danke für die Hilfe [:)]
  • 0 in reply to Revan
    Gerne.
    Danke für die Rückmeldung. [:)]

    ----------
    Sophos user, admin and reseller.
    Private Setup:

    • XG: HPE DL20 Gen9 (Core i3-7300, 8GB RAM, 120GB SSD) | XG 18.0 (Home License) with: Web Protection, Site-to-Site-VPN (IPSec, RED-Tunnel), Remote Access (SSL, HTML5)
    • UTM: 2 vCPUs, 2GB RAM, 50GB vHDD, 2 vNICs on vServer (KVM) | UTM 9.7 (Home License) with: Email Protection, Webserver Protection, RED-Tunnel (server)
  • 0
    Hallo zusammen,

    Da ich beruflich sehr viel damit zu tun hab hier mal meine Anmerkungen zu dem Thema. Das Problem ist bekannt und hängt mit dem Adminholder Attribut zusammen. Es tritt fast immer bei Migrationen von einer älteren Exchange Version auf. Die Lösung ist tatsächlich immer Vererbung neu anstoßen.

    Ich möchte aber hier auch mal auf die "Unsicherheit" einer solchen Veröffentlichung hinweisen. Wenn der Traffic ungefiltert an den Exchange geschickt wird kann ich den Exchange auch direkt über einen Soho Router ans Interner anbinden. Es ist nur eine Frage der Zeit bis die ersten Script Kiddis die ersten Passwörter gebrutforced haben oder die ersten Speicherlücken ausgenutzt werden und der Exhange zum Spamrelay umgebaut wird.

    Die Astaro braucht dringend einen Vorauthentifizierungsmechanismus der geschützt durch einen Layer 7 Filter Angriffe abwehren kann. Ich habe dazu schon ein Feature Request erstellt. Bis jetzt haben wir Exchange Dienste über den Microsoft TMG sicher gepublisht und machen das heute noch mit TMG Apliances.

    Da ich ein großer Fan von Astaro bin hoffe ich das Astaro endlich auf diesen Zug aufspringt damit wir auch über eine Astaro Exchange und Sharepointdienste sicher veröffentlichen können.

    Mod
  • 0
    Witzig, die Astaro kann leider keine Vorauthentifizierung auch nicht WAF!
Cookie Information Banner