dumpfbacke
Goto Top

Exchange 2019 iOS ActiveSync

Hallo ihr Experten,
ich verzweifele so langsamm an einem Theme hier. Ich habe hier einen Exchange Server 2019 im Netz laufen. Die Mails laufen ohne Problem und wurden alle von alten Server migriert. Der Server holt die Mails per Popcon ab und verteilt die in die Postfächer. Soweit ist es mal schon gut. Jetzt habe ich ein Android Handy per ActiveSync angebunden. Auch das Gerät funktioniert ohen Probleme. Leider bekomme ich ein iOS Handy mit iOS 17.4.1 einfach nicht zum laufen. Es kommt immer die Fehlermeldung Serveridentität kann nicht überprüft werden. Dann unter Details kommt das hier das Handy nicht dem Zertifikat der Fritzbox vertraut ?

Ich beschreiben mal wie das ganze hier aufgebaut ist.
Wir haben ein Domain im Netz. Dort haben ich eine Weiterleitung von Exchnage.domain.de auf die Adresse der Fritzbox gemacht. Also auf den Namen der Adresse von myfritz.net -> ew.....myfritz.net. In der Fritzbox ist eine Exposed Host angelegt wo alles auf die Sophos weitergegeben wird. Bei der Sophos ist ein DNat auf den Exchangeserver mit dem Port 443 eingelegt. Ja ich weiß das man so etwas nicht macht und hier ein Proxy der Sophos dazwischen gehört aber ich wollte es erst mal zu laufen bekommen und dann kommt der Rest sofort. Auf dem Exchange Server ist ein Wildcard Zertificat unserer Domain hinterlegt. Wie bereits beschrieben bei Android läuft alles ohne Problem nur das iPhone möchte einfach nicht. Wir ist nicht bewusst warum es hier das Zertifikat der Fritzbox nicht vertraut. Aus deisem grundhabe ich eines angelegt von letsencrypt.org. Wenn ich die Box per https aufrufe wird auch angezeigt das hier ein Vertrauenwürdiges Zertifikat vorliegt.

Jetzt wird es noch komischer. Ich habe hier einen Testserver am laufen. Der hängt dirket an einer anderen Fritzbox dran. In der Fritzbox ist nur der Port 443 auf den Server weitergeleitet. Auach hier ist unser Wildcar Zertifikat von unserer Domain hinterlegt. Hier funktionieren beide Handy also Android und iOS.

Ich verstehe das ganze niht nicht mehr wie kann den so etwas sein ? ich bin am verzweifen. Es gibt eigentlich nur drei Unterschiede in den beiden Konfigurationen.
1.) Es höngt einen Sophos dazwischen aber das kann doch nicht das Problem sein den das Android Gerät funktioniert ja auch. Des weiteren ist der Port 443 ja mittels DNat weiter gegeben
2.) Bei der einen Box ist Exposed Host und bei der anderen Box wird nur ein Port weitergeleitet. Das sollte doch auch gleich sein
3.) Bei der Box / Konstellation wo es nicht funktioniert wurde das Let's Encrypt Zertifikat jetzt erst erstellt. Es kann doch nicht zu neu sein ? Im Browser wird es ja als sicher angezeigt.

Warum überhaupt prüft iOS das Zertifikat der Fritzbox und nicht das des Exchange Servers ?

Ich hoffe Ihr könnt mir hier weiter helfen

Dumpfbacke.

Warum versuht das iOS Gerät überhaupt das Zertifikat der Frotzbox Adresse zu prüfen wenn ich dor mit der Adresse Exchange.domain.de zugreife.

Ich komme hier nicht mehr weiter. Könnt Ihr mir hier helfen und habt so etwas schon einmal gehabt ?

Dumpfbacke.


Exposed Host

Content-Key: 22408106142

Url: https://administrator.de/contentid/22408106142

Printed on: May 18, 2024 at 04:05 o'clock

Member: Vision2015
Solution Vision2015 Apr 10, 2024 at 16:23:21 (UTC)
Goto Top
Moin...

weil du ein ordentliches Zertifikat brauchst, was im Exchange und in der Sophos hinterlegt sein muss!
und bitte das gleiche face-smile
die Sans im Zertifikat müssen natürlich dem des Exchange und der Sophos gleich sein.
Apple macht es richtig, es wird das Zertifikat geprüft!

ich glaube wir hatten das Thema Exchange schon mit dir, genau das gleiche!

Frank
Member: Vision2015
Vision2015 Apr 10, 2024 at 16:24:59 (UTC)
Goto Top
Moin...

Warum überhaupt prüft iOS das Zertifikat der Fritzbox und nicht das des Exchange Servers ?
wo zeigt den dein portforwarding hin?

Frank
Member: Vision2015
Vision2015 Apr 10, 2024 at 16:29:44 (UTC)
Goto Top
Moin...

Jetzt wird es noch komischer. Ich habe hier einen Testserver am laufen. Der hängt dirket an einer anderen Fritzbox dran. In der Fritzbox ist nur der Port 443 auf den Server weitergeleitet. Auach hier ist unser Wildcar Zertifikat von unserer Domain hinterlegt. Hier funktionieren beide Handy also Android und iOS.

was ja auch so richtig ist und die keinen Proxy dazwischen hast!
das funktioniert so wie es soll!

mit LB / Proxy oder was auch immer, muss dein Proxy das gleiche Zertifikat haben, wie der Exchange....
und nicht das Let's Encrypt!
ist eigentlich einfach face-smile

Frank
Member: Dumpfbacke
Dumpfbacke Apr 10, 2024 updated at 16:54:49 (UTC)
Goto Top
Ich muss da leider nich mal nachfragen ob ich das wirklich richtig verstanden habe. Ich habe ein Wildcard Zertifikat für unsere Domain erstellen lassen. Dieses habe ich im Exchangeserver hinterlegt und zwar nur da. Am Anfang hatte ich für die Fritzbox kein Zertifikat erstellen lassen da ich hier ja auch keines benötige. Die Box leitet ja einfach alles nur durch. Das iPhone reklamiert aber trotzen dem die Serveridentität kann nicht überprüft werden und zeigt dann unter Details die ew....myfritz.net Adresse an und schriebt dann in rot Wird nicht vertraut und das kommt weil in der Sophos kein Zertifikat hinterlegt ist ?
Habe ich das so wirklich richtig verstanden ? Wenn es so ist muss ich mal bei uns nachfragen bei demjenigen der die Sophos UTM betreut ob er es kann und weiß wo es hinterlegt werden muss. Oder weiß du das etwas cuh und kannst mir das menue dazu sagen ?
Das würde auf jeden Fall mal erklären, warum es bei der zweiten "Testkiste" funktioniert da hier ja keine Sophos dazwischen hängt.
Da wäre ich niemals drauf gekommen das der Fehler in der Sophos liegt.

Dumfbacke.
Member: radiogugu
radiogugu Apr 10, 2024 updated at 17:22:56 (UTC)
Goto Top
Nabend.

Was ist das denn für eine Sophos?

Normalerweise kannst du nach Certificate oder eben Zertifikat suchen und bekommst das Certificate Management ausgeworfen.

Ansonsten unter "Webserver Protection" sollte das auch zu finden sein (die richtigen Lizenzen vorausgesetzt).

Dort hinterlegt man das Zertifikat.

Wenn die WAF konfiguriert wurde und auf den Exchange zeigt, dann dort das Zertifikat hinterlegen.

Schau mal bei Frankysweb vorbei, da gibt es mehrere gut bebilderte Anleitungen zu dem Thema.

Gruß
Marc
Member: Dani
Dani Apr 10, 2024 at 18:28:57 (UTC)
Goto Top
Moin,
Auf dem Exchange Server ist ein Wildcard Zertificat unserer Domain hinterlegt.
Für welche Domain, Exchnage.domain.de oder ew.....myfritz.net?

Aus deisem grundhabe ich eines angelegt von letsencrypt.org.
Für welche Domain?

Warum überhaupt prüft iOS das Zertifikat der Fritzbox und nicht das des Exchange Servers ?
Bist du dir da sicher, dass es das Zertfikat der Fritzbox angemahnt wird? Am Besten immer an Hand des Fingerprints verifizieren. Der ist eindeutig.
Handelt es sich bei Exchnage.domain.de um einen A-Record welcher auf deine feste IP-Adresse zeigt oder ist es ein CNAME-Rekord der auf ew.....myfritz.net? Weil letzertes könnte zu dem SSL Fehler führen.

Jetzt muss ich mich noch unbeliebt machen:
Warum zum Teufel muss der Exchange-Server über das Internet erreichbar sein, wenn deinerseits nicht die Basics an Wissen und Zeit vorhanden ist? Das ist eine tickende Zeitbombe, was die letzten Monate und Jahre die Vorfälle rund um Exchange Server beweisen. Es ist ein komplexes Produkte und ist nicht nebenher mehr zu warten und administrieren. Dazu gehört auch das der Exchange Server heutzutage keinen falls nicht mehr direkt ansprechbar sein soll. Was die Warnungen in den einschlägigen Foren und Blogs nochmals unterstreichen.

Wenn du dich in dem Bereich weiterbilden willst, gerne. Aber dann nutze doch eine interne Testumgebung, welche keinerlei Kontakt zur Außenwelt hat. Wenn du fit und sattelfest bist, gerne auch wieder am Internet.


Gruß,
Dani
Member: Dumpfbacke
Dumpfbacke Apr 11, 2024 updated at 16:37:48 (UTC)
Goto Top
Zitat von @Vision2015:

Moin...

weil du ein ordentliches Zertifikat brauchst, was im Exchange und in der Sophos hinterlegt sein muss!
und bitte das gleiche face-smile

Frank

So das habe ich mitlerweise gemacht und habe die Konfig nach der Anleitung gemacht.

Anleitung

Das einzige was ich hier geändert habe ist das ich es nur für /Microsoft-Server-ActiveSync gemacht habe da ich den rest nicht haben möchte / benötige. Und das ich hier unser Zertifikat benutzt haben also das Wildcrad von unserer Domain also *.Domain.de
Member: Dumpfbacke
Dumpfbacke Apr 11, 2024 at 16:22:45 (UTC)
Goto Top
Zitat von @Vision2015:

Moin...

Jetzt wird es noch komischer. Ich habe hier einen Testserver am laufen. Der hängt dirket an einer anderen Fritzbox dran. In der Fritzbox ist nur der Port 443 auf den Server weitergeleitet. Auach hier ist unser Wildcar Zertifikat von unserer Domain hinterlegt. Hier funktionieren beide Handy also Android und iOS.

was ja auch so richtig ist und die keinen Proxy dazwischen hast!
das funktioniert so wie es soll!

mit LB / Proxy oder was auch immer, muss dein Proxy das gleiche Zertifikat haben, wie der Exchange....
und nicht das Let's Encrypt!
ist eigentlich einfach face-smile

Frank

Das dachte ich auch aber gleich was ich mache das IPhone reklamiert immer das Zertifikat von der Fritzbox.
Das ganze ist so eingerichtet. Es wurde bei der Domain ein CNAME exchange auf Adresse die ew...myfritz.net der Fritzbox angelegt. In der Fritzbox ist ein Exposed Host auf die Sophos UTM 9 eingelegt. Das DNat habe ich raus genommen und die Konfig, wie obern beschrieben in der Sophos eingelgt. Die Konfig funktioniert mit Android super und ohne Problem. Bei den iPhone kommt immer -> Serveridentität kann nicht überpfrügt werden und unter Details kommt dann die ew....myfritz.net Adresse und als Fehler wird nicht vertraut. Die Frage ist warum versucht das IPhone hier was mit der Fritzbox zu machen ? Es gibt nur zwei UNterschiede von dieser Konfig zu den anderen Konfig wo es läuft. Dieses ist dort ist keine Sophos dazwischen und hier wird der Port in der Fritzbox weitergeleitet und nicht mit Exposed Host alles. Somit kann es doch eigentlichnur an der Sophos liegen aber die hat vor mir doch unser Domain Zertifikat erhalten.
Hast du noch einen Tip für mich ?
Dumpfbacke
Member: Dumpfbacke
Dumpfbacke Apr 11, 2024 at 16:33:32 (UTC)
Goto Top
Zitat von @Dani:

Moin,
Auf dem Exchange Server ist ein Wildcard Zertificat unserer Domain hinterlegt.
Für welche Domain, Exchnage.domain.de oder ew.....myfritz.net?

Aus deisem grundhabe ich eines angelegt von letsencrypt.org.
Für welche Domain?

Warum überhaupt prüft iOS das Zertifikat der Fritzbox und nicht das des Exchange Servers ?
Bist du dir da sicher, dass es das Zertfikat der Fritzbox angemahnt wird? Am Besten immer an Hand des Fingerprints verifizieren. Der ist eindeutig.
Handelt es sich bei Exchnage.domain.de um einen A-Record welcher auf deine feste IP-Adresse zeigt oder ist es ein CNAME-Rekord der auf ew.....myfritz.net? Weil letzertes könnte zu dem SSL Fehler führen.

Jetzt muss ich mich noch unbeliebt machen:
Warum zum Teufel muss der Exchange-Server über das Internet erreichbar sein, wenn deinerseits nicht die Basics an Wissen und Zeit vorhanden ist? Das ist eine tickende Zeitbombe, was die letzten Monate und Jahre die Vorfälle rund um Exchange Server beweisen. Es ist ein komplexes Produkte und ist nicht nebenher mehr zu warten und administrieren. Dazu gehört auch das der Exchange Server heutzutage keinen falls nicht mehr direkt ansprechbar sein soll. Was die Warnungen in den einschlägigen Foren und Blogs nochmals unterstreichen.

Wenn du dich in dem Bereich weiterbilden willst, gerne. Aber dann nutze doch eine interne Testumgebung, welche keinerlei Kontakt zur Außenwelt hat. Wenn du fit und sattelfest bist, gerne auch wieder am Internet.


Gruß,
Dani

Das Zertifikat läuft auf *.Domain.de. Diese im im Exchange Server und mitlerweile auch in der Sophos hinterlegt. Alles nach der Anleitung von oben jeodch wie beschrieben nur für /Microsoft-Server-ActiveSync da ich mehr nicht haben möchte.
Das Zertifikat haben ich für die Fritzbox erzeugt und ist auch nur dort vorhanden da das IPhone immer das Zertifikat der Box angemekert hat. Warum es das macht weiß ich leider nicht die Box soll doch nur "durchleiten" und sonst nichts. Ich mit noch nicht einmal bewusst die das IPhone an die Adresse kommt. Bei den Handy habe ich als Server exchange.domain.de eingetragen.


ActiveSync
Member: Dumpfbacke
Dumpfbacke Apr 11, 2024 at 16:34:47 (UTC)
Goto Top
Zitat von @radiogugu:

Schau mal bei Frankysweb vorbei, da gibt es mehrere gut bebilderte Anleitungen zu dem Thema.

Gruß
Marc

Super Danke das hat mir gehofen auch wenn es nicht funktioniert. So ist es auf jeden fall mal sicherer als mit dem DNat und ich wollte es noch ändern wenn es mit dem Handy funktioniert hätte.
Member: Dumpfbacke
Dumpfbacke Apr 11, 2024 at 16:36:50 (UTC)
Goto Top
Zitat von @Vision2015:

Moin...

Warum überhaupt prüft iOS das Zertifikat der Fritzbox und nicht das des Exchange Servers ?
wo zeigt den dein portforwarding hin?

Frank

Der Exposed Host in der Fritzbox an die WAN Adresse der Sophos. Das DNat war dann auf die IP der Exchangeserver was ich aber heute nach der Anleitung von oben geändert habe.
Member: Dani
Solution Dani Apr 11, 2024 updated at 17:11:12 (UTC)
Goto Top
Moin,
Das Zertifikat haben ich für die Fritzbox erzeugt und ist auch nur dort vorhanden da das IPhone immer das Zertifikat der Box angemekert hat. Warum es das macht weiß ich leider nicht die Box soll doch nur "durchleiten" und sonst nichts.
das Smartphone bei der Einrichtung im (W)LAN oder versuchst du es über LTE/UMTS? Bei ersteres könnte der Rebind Schutz der Firtzbox in Verbindung mit dem CNAME Eintrag schuld sein.

Warum es das macht weiß ich leider nicht die Box soll doch nur "durchleiten" und sonst nichts.
Hast du mal einen AS Test (https://testconnectivity.microsoft.com/tests/Eas/input) laufen lassen? Welches Zertifikat wird dort ausgegeben? Unabhängig davon gibt Warnungen oder sogar Fehler?

Es wurde bei der Domain ein CNAME exchange auf Adresse die ew...myfritz.net der Fritzbox angelegt.
Ansonsten temporär von CNAME auf A-Eintrag wechseln.


Gruß,
Dani
Member: Dumpfbacke
Dumpfbacke Apr 11, 2024 at 17:36:49 (UTC)
Goto Top
Zitat von @Dani:

Moin,
das Smartphone bei der Einrichtung im (W)LAN oder versuchst du es über LTE/UMTS? Bei ersteres könnte der Rebind Schutz der Firtzbox in Verbindung mit dem CNAME Eintrag schuld sein.
Es ist im LTE oder im W-Lan aber nicht hinter der Sophos. Ich kann aber beides noch mal testen. GGF kann es auch an der Fritzbox vor der Sophos angemeldet worden sein. Das prüfe ich auf jeden Fall noch mal.


Hast du mal einen AS Test (https://testconnectivity.microsoft.com/tests/Eas/input) laufen lassen? Welches Zertifikat wird dort ausgegeben? Unabhängig davon gibt Warnungen oder sogar Fehler?
Ja alles grün und er gibt das "richtige" zertifikat an. Also das von unserer Domain.
Ansonsten temporär von CNAME auf A-Eintrag wechseln.

Kann ich mal machen aber bei dem zweiten Server wo es genau so eingestlt ist funktioniert es ja auch mit dem iPhone.
Nicht das es wirklich daran liegt, das das Handy an der Fritzbox angemeldet worden war. Sollte eigentlich nicht der Fall gewesen sein aber man kann ja nie wissen.
Member: Dani
Solution Dani Apr 11, 2024 at 19:07:38 (UTC)
Goto Top
Moin,
Es ist im LTE oder im W-Lan aber nicht hinter der Sophos.
teste es bitte mit LTE. Um einfach sicher zu gehen, dass der Rebind Schutz (falls aktiv) nicht in die Suppe spuckt.
BTW: In welchen Netz war das Anroid Smartphone bei der Einrichtung?

Sollte eigentlich nicht der Fall gewesen sein aber man kann ja nie wissen.
sollte, hätte, etc. Sind alles Wörter dir bei Antworten in der IT nicht vorkommen dürfen. Die Frage kannst nur du dir beantworten. Von uns war vermutlich keiner dabei.


Gruß,
Dani
Member: NordicMike
NordicMike Apr 12, 2024 at 05:48:31 (UTC)
Goto Top
Ist bei der Fritzbox die Fernwartungs-Funktion aktiviert?
Member: Dumpfbacke
Dumpfbacke Apr 12, 2024 updated at 06:16:18 (UTC)
Goto Top
Zitat von @Dani:

Moin,
Es ist im LTE oder im W-Lan aber nicht hinter der Sophos.
teste es bitte mit LTE. Um einfach sicher zu gehen, dass der Rebind Schutz (falls aktiv) nicht in die Suppe spuckt.
BTW: In welchen Netz war das Anroid Smartphone bei der Einrichtung?

Sollte eigentlich nicht der Fall gewesen sein aber man kann ja nie wissen.
sollte, hätte, etc. Sind alles Wörter dir bei Antworten in der IT nicht vorkommen dürfen. Die Frage kannst nur du dir beantworten. Von uns war vermutlich keiner dabei.


Gruß,
Dani

Ja ich weiß sollte hätte sind falsche Worte ich muss mich darauf verlassen was mir die User sagen. Es ist nicht mein Handy und ich habe bei denjenigen nachgefragt der das Handy hat und er sagt mir das er per LTE verbunden ist. Das Android war zu 100% mit LTE verbunden.
Ich werde verrückt das Problem ist gefunden. Er war nicht mit LTE verbunden sondern an der Fritzbox angemeldet. Das ist das nächste was ich ändern werden. Entweder richtiges W-LAN mit AP´s oder nichts. Die Notlösung wir benutzen mal kurzfristig die Fritz dazu ist ja super günstig und funktioniert was schon mal einen falsche Entscheidung und das war das erste was ich reklamiert habe nachden ich es gesehen hatt. Hier wurde so einige verbastelt und bis ich das mal alles bereinigt habe wird noch etwas dauern. Es lags also wirklich da dran das hier das Handy iPhone an der Firtz angemeldet war..

Super vielen Dank
Member: Dani
Dani Apr 12, 2024 at 19:42:35 (UTC)
Goto Top
Moin,
Es ist nicht mein Handy und ich habe bei denjenigen nachgefragt der das Handy hat und er sagt mir das er per LTE verbunden ist.
Man könnte entsprechend ein Screenhot verlangen, damit die Aussage bildlich untermauert ist. Aber was weiß ich schon...

Er war nicht mit LTE verbunden sondern an der Fritzbox angemeldet. Das ist das nächste was ich ändern werden. Entweder richtiges W-LAN mit AP´s oder nichts.
wenn es die gleiche FRITZ!Box ist, auf die exchange.domain.de zeigt, dann ist die Rebind Funktion schuld. Einfach deaktivieren und nochmals testen. Weil das Problem wird sich nicht lösen, wenn du eine andere WLAN Lösung implementierst, welche sich weiterhin hinter der FRITZ!Box befindet.


Gruß,
Dani