cardinal
Goto Top

ActiveSync mit Exchange 2003 - Probleme mit Win Mobile und iPhone

Hallo zusammen,

mit leichter Verzweiflung wende ich mich an euch, denn ich konnte bei bestem willen und unendlichem durchforsten des Internet keine brauchbare Lösung für das Problem finden.

Wir verwenden ActiveSync mit einem Exchange 2003 ENT Server (SP2), welcher unter einem Windows 2003 R2 Standard Server läuft.

Der Exchange Server und IIS ist von aussen unter der (sinngemäßen) URL mail.firma.com erreichbar, dazwischen steht eine IPTables Firewall, welche den Port 443 dierekt zum Exchange freigibt.
Es steht kein ISA Server oder ähnliches dazwischen.


Problem 1:
Unter Windows Mobile (6.1) kommt es bei der Verwendung von ActiveSync zu sehr häufigen Eingabeaufforderungen für Benutzername / Kennwort.

Konkret: Ich starte die Sync, gebe mein Kennwort ein, das Prompt verschwindet, taucht 5sec später wieder auf und verlangt erneut nach dem Passwort.
Diese Prozedur muss man ca. 5-10x wiederholen bevor dann endlich synchronisiert wird.

Deshalb kann ich auch ausschließen, dass es schlicht an falschen Benutzerdaten liegt, denn am Ende werden sie ja akzeptiert.

Das Eventlog meldet keine Fehler, und mit dem IIS Log kann ich nichts schlüssiges finden.

Sehr häufig sind Meldungen wie diese, wobei ich nicht weiss, ob sie eine Fehlermeldung darstellen:
W3SVC1 <ip> SEARCH /exchange-oma/user@firma.com/ - 80 <domäne\user> <ip> Microsoft-Server-ActiveSync/6.5.7651.30 207 0 0
W3SVC1 <ip> SEARCH /exchange-oma/user@firma.com/ - 80 - <ip> Microsoft-Server-ActiveSync/6.5.7651.30 401 1 0

Problem 2:
Bei der Synch mit einem Apple iPhone 3G kommt es häufig zur schlichten Meldung "Die Verbindung mit dem Server ist fehlgeschlagen".
Aber eben nicht immer, mal syncht er Stundenlang erfolgreich, um dann für eine Stunde den Dienst zu verweigern.

Würde mich über Hilfe freuen..

Content-ID: 111241

Url: https://administrator.de/contentid/111241

Ausgedruckt am: 22.11.2024 um 17:11 Uhr

Pampersjoe
Pampersjoe 10.01.2012 um 10:45:02 Uhr
Goto Top
Hi Grüß dich,

hast du eine Lösung dafür gefunden?!

Ich habe ein ähnliches Problem.

Ich beobachte, dass irgendwie jemand von aussen versucht sich permanent mit irgendwelchen Namen einzuloggen (findest ja in den Logs --> Ereignis-ID 529 und dann siehst auch mit welchen Namen, leider aber keine IP). Des Weiteren war ich überrascht, dass sich über Weihnachten die Datenmenge enorm angestiegen ist obwohl wir Betriebsferien hatten! Ein Blick wo die größte Datenmengen liegen führte mich in C:\WINDOWS\system32\LogFiles\W3SVC1

Der Ordner selbst ist fast 50 GB groß! Ist also rasant gestiegen... teilweise haben die Logfiles 1.5 GB!!! Mit einem normalen Editor lassen sich die teilweise auf Grund der vielen Zeilen garnicht erst öffnen... (hab eine Lösung dafür) Ein Blick in die Logs zeigt GENAU das was bei dir steht... EIN User fragt permanent ab... im Sekundentakt... und das scheint über sein IPHONE zu kommen... das hat aber die ganze Zeit funktioniert und über Weihnachten war keiner am Server...

Bei genauer Betrachtung habe ich den Status 401 zuhauf drin und bedeutet soweit verstanden "nicht authorisiert".

Die Frage ist... meint ihr das hängt zusammen mit den Logs 529?! Und wenn ja, hat jemand das Problem und schon gelöst?!

Dummerweise ist es ausgerechnet auch noch mein Chef sein IPHONE...

Wäre um jeden Rat dankbar!
Cardinal
Cardinal 10.01.2012 um 10:58:32 Uhr
Goto Top
Hallo,

das ursprüngliche Problem konnte ich nur eingeschränkt lösen. Inzwischen verwenden wir Exchange 2010 Std, auch hier verweigert das iPhone regelmäßig die Serververbindung - aber NUR wenn ein Clientzertifikat erzwungen wird.
Also eine reine Passwortanmeldung klappt reibungslos, auch mit Windows Mobile - mit Zertifikaten gibt es beim iPhone weiterhin die oben genannten Probleme.
Da dies auch auf den Apple-Supportseiten beschrieben wird, jedoch auch nach Jahren nicht gelöst wurde, habe ich auf weitere Versuche ein Workaround zu finden verzichtet. Ich betrachte das iPhone bzw. sein iOS (auch in der aktuellen Version 5.0.1) weiterhin als nicht voll kompatibel zu Exchange oder zu digitalen Zertifikaten.

Das deine Zugriffslogs allerdings derart explodiert sind ist bedenklich. Steht der Server in einer DMZ? Welche authentisierungsmethoden sind zugelassen?
Ggf. ist es auch hier ratsam, ein Clientzertifikat zu erwzingen - was aber natürlich je nach Betreibsgröße und Organisation nicht so einfach umsetzbar ist.
Wenn es sich nur um einen Benutzer handelt sollten seine iPhone-Settings geprüft werden, und natürlich unbedingt sichergestellt werden, dass er eine Daten-Flat hat (Wir hatten mal einen benutzer mit einer 5000€ Rechnung, weil er Push-Mail ohne jeden Datentarif betrieben hat).

Bezüglich Fehler 529 - ich frage einfach mal auf Doof, die Knowledgebase schon geprüft? http://support.microsoft.com/kb/926210/en-us
Pampersjoe
Pampersjoe 10.01.2012 um 11:20:25 Uhr
Goto Top
Ach herje... 5.000 Euro? Das is heavy!!! Musste er das echt zahlen? Dafür müsste ich LANGE arbeiten gehen...

Zum Thema... nö steht nicht in einer DMZ... ist ein SBS2003 mit selbsterstellten Zertifikaten...

Wie erwähnt... es hat ja alles reibungslos funktioniert (wir haben ja schon einige IPONEs im Unternehmen gehabt von 3G alle Versionen bis jetzt das aktuelle und alle haben reibungslos funktioniert, erst mit VPN und seit knapp nemm halben Jahr direkt sprich weblink, Benutzer, PW und Zertifikat (OWA funktioniert auch)... ich könnte mir nur vorstellen, dass er auf sein IPHONE ein neues OS aufgespielt hat... er möchte leider immer das Neueste haben, was es manchmal nicht einfach macht.

Mir schwirrte nur im Kopf rum, dass es ja leider einige Anleitung dafür gibt, dass man Dinge auslesen kann indem man sich selbst als Hotspot ausgibt mit dem entsprechenden Programm und somit versucht wird mit jeglichen Namen rein zu kommen... keine Ahnung vielleicht spinne ich mir da auch zu viel zusammen nur ists echt ein dummer Zufall, dass die Logs so dermaßen ansteigen und zeitgleich sämtliche Usernamen probiert werden...

Namen wie: guest1, admin, support, webadmin, root, test1, gast1 usw. usw. usw. und das halt im Sekundentakt...

Na gut... ich werd mal dran bleiben weil das mit den riesen Logs muss ein Ende nehmen weil irgendwann sind die Ressourcen auch am Ende... und es einfach zu ignorieren ist definitiv keine Lösung...

Trotzdem danke... vllt. weiß ja doch noch jemand anderes Bescheid?!
Pampersjoe
Pampersjoe 13.01.2012 um 11:18:33 Uhr
Goto Top
Guten Morgen =)

aaaalso... ob man das jetzt einen "Erfolg" nennen kann sei jetzt dahin gestellt...

ABER:

Es lag definitiv am iPhone selbst... wir haben jetzt VPN wieder als Zugang und das Push aus... siehe da... Logfiles sind von > 1 GB (pro Tag) runter auf 70 MB... das finde ich zwar immer noch etwas viel aber wer sagt, dass es nicht noch ein Gerät gibt? das werde ich die Tage mal unter die Lupe nehmen.

Das löst zwar nicht die Ursache, aber es schaffte bei uns zumindest für Abhilfe... UND mein Chef meinte auch, dass sein iPhone über Nacht oder halt in seeeehr kurzen abständen sofort leer war UND auch sehr heiß, also es hat wohl immer irgendetwas gemacht.

Er sagte mir auch (da ich kein iPhone und kein Interesse an den Dingern habe) dass wohl die Version 5.0 Probleme bei fast jedem iPhone User gemacht hätte und das so bekannt gewesen wäre und er DESHALB vorsorglich auf 5.1 gegangen wäre aber genau DANN hatte er das Problem... und notgedrungen ich dann auch.

Also das als Tip, falls wer ein iPhone mit der Version 5.0 hat und das iPhone ständig leer ist, der soll wohl laut Apple auf Versiond 5.1 gehen, wobei wir damit das andere Problem dann hatten... aber da könnt ihr ja dann auch schauen, ob bei euch dann auch die Logs überlaufen.

Aber mal eine andere Frage... bisher hat es mich wenig gestört... aber in dem Ordner

C:\WINDOWS\system32\LogFiles\W3SVC1

liegen ja die Logfiles drin... da sind auch welche sogar noch von 2010... kann man die einfach markieren und löschen oder sollte man das auf einem anderen Wege machen?! Weil somit will ich mir wieder Platz schaffen... ich denke in die Files zu gehen und dort den Inhalt rauslöschen ist schwachsinnig zumal einige sich auf dem "normalen" Wege garnicht öffnen lassen... da sie (wie oben schon erwähnt) zu große waren/sind.

Kann ich die alten somit sorglos löschen?

Ach ja... und noch etwas... ich finde es echt schon komisch, aber witzigerweise habe ich seither auch keine 529er Ereignis-IDs... es mag echt ein dummer Zufall sein aber irgendwie komisch.

In diesem Sinne hoffe ich, dass der Hinweis dem ein oder anderen helfen kann/konnte.... Apple selbst war das Thema neu... mit denen habe ich gestern telefoniert.

Gruß
Cardinal
Cardinal 13.01.2012 um 12:19:30 Uhr
Goto Top
Zitat von @Pampersjoe:
Ach herje... 5.000 Euro? Das is heavy!!! Musste er das echt zahlen? Dafür müsste ich LANGE arbeiten gehen...

Naja, er musste das nicht zahlen, sondern die Firma.

Und ich, der als Systemadministrator dafür verantwortlich war, musste das dann meinem Chef gestehen :S

Er hat es aber gut aufgenommen ^^
Pampersjoe
Pampersjoe 13.01.2012 um 12:24:41 Uhr
Goto Top
Autsch ^^

na ja... ich denke jeder von uns kennt das, wenn etwas nicht läuft und man dann derjenige ist, der es erklären muss/darf...

Weißt du vllt. ne Antwort auf meine letzte Frage? Alte Logfiles einfach löschen?

Gruß
Cardinal
Cardinal 13.01.2012 um 12:26:41 Uhr
Goto Top
Zitat von @Pampersjoe:
Autsch ^^

na ja... ich denke jeder von uns kennt das, wenn etwas nicht läuft und man dann derjenige ist, der es erklären
muss/darf...

Weißt du vllt. ne Antwort auf meine letzte Frage? Alte Logfiles einfach löschen?

Gruß

Die ISS Logdateien kannst du bedenklos löschen!