Exchange 2019 iOS ActiveSync
Hallo ihr Experten,
ich verzweifele so langsamm an einem Theme hier. Ich habe hier einen Exchange Server 2019 im Netz laufen. Die Mails laufen ohne Problem und wurden alle von alten Server migriert. Der Server holt die Mails per Popcon ab und verteilt die in die Postfächer. Soweit ist es mal schon gut. Jetzt habe ich ein Android Handy per ActiveSync angebunden. Auch das Gerät funktioniert ohen Probleme. Leider bekomme ich ein iOS Handy mit iOS 17.4.1 einfach nicht zum laufen. Es kommt immer die Fehlermeldung Serveridentität kann nicht überprüft werden. Dann unter Details kommt das hier das Handy nicht dem Zertifikat der Fritzbox vertraut ?
Ich beschreiben mal wie das ganze hier aufgebaut ist.
Wir haben ein Domain im Netz. Dort haben ich eine Weiterleitung von Exchnage.domain.de auf die Adresse der Fritzbox gemacht. Also auf den Namen der Adresse von myfritz.net -> ew.....myfritz.net. In der Fritzbox ist eine Exposed Host angelegt wo alles auf die Sophos weitergegeben wird. Bei der Sophos ist ein DNat auf den Exchangeserver mit dem Port 443 eingelegt. Ja ich weiß das man so etwas nicht macht und hier ein Proxy der Sophos dazwischen gehört aber ich wollte es erst mal zu laufen bekommen und dann kommt der Rest sofort. Auf dem Exchange Server ist ein Wildcard Zertificat unserer Domain hinterlegt. Wie bereits beschrieben bei Android läuft alles ohne Problem nur das iPhone möchte einfach nicht. Wir ist nicht bewusst warum es hier das Zertifikat der Fritzbox nicht vertraut. Aus deisem grundhabe ich eines angelegt von letsencrypt.org. Wenn ich die Box per https aufrufe wird auch angezeigt das hier ein Vertrauenwürdiges Zertifikat vorliegt.
Jetzt wird es noch komischer. Ich habe hier einen Testserver am laufen. Der hängt dirket an einer anderen Fritzbox dran. In der Fritzbox ist nur der Port 443 auf den Server weitergeleitet. Auach hier ist unser Wildcar Zertifikat von unserer Domain hinterlegt. Hier funktionieren beide Handy also Android und iOS.
Ich verstehe das ganze niht nicht mehr wie kann den so etwas sein ? ich bin am verzweifen. Es gibt eigentlich nur drei Unterschiede in den beiden Konfigurationen.
1.) Es höngt einen Sophos dazwischen aber das kann doch nicht das Problem sein den das Android Gerät funktioniert ja auch. Des weiteren ist der Port 443 ja mittels DNat weiter gegeben
2.) Bei der einen Box ist Exposed Host und bei der anderen Box wird nur ein Port weitergeleitet. Das sollte doch auch gleich sein
3.) Bei der Box / Konstellation wo es nicht funktioniert wurde das Let's Encrypt Zertifikat jetzt erst erstellt. Es kann doch nicht zu neu sein ? Im Browser wird es ja als sicher angezeigt.
Warum überhaupt prüft iOS das Zertifikat der Fritzbox und nicht das des Exchange Servers ?
Ich hoffe Ihr könnt mir hier weiter helfen
Dumpfbacke.
Warum versuht das iOS Gerät überhaupt das Zertifikat der Frotzbox Adresse zu prüfen wenn ich dor mit der Adresse Exchange.domain.de zugreife.
Ich komme hier nicht mehr weiter. Könnt Ihr mir hier helfen und habt so etwas schon einmal gehabt ?
Dumpfbacke.
Exposed Host
ich verzweifele so langsamm an einem Theme hier. Ich habe hier einen Exchange Server 2019 im Netz laufen. Die Mails laufen ohne Problem und wurden alle von alten Server migriert. Der Server holt die Mails per Popcon ab und verteilt die in die Postfächer. Soweit ist es mal schon gut. Jetzt habe ich ein Android Handy per ActiveSync angebunden. Auch das Gerät funktioniert ohen Probleme. Leider bekomme ich ein iOS Handy mit iOS 17.4.1 einfach nicht zum laufen. Es kommt immer die Fehlermeldung Serveridentität kann nicht überprüft werden. Dann unter Details kommt das hier das Handy nicht dem Zertifikat der Fritzbox vertraut ?
Ich beschreiben mal wie das ganze hier aufgebaut ist.
Wir haben ein Domain im Netz. Dort haben ich eine Weiterleitung von Exchnage.domain.de auf die Adresse der Fritzbox gemacht. Also auf den Namen der Adresse von myfritz.net -> ew.....myfritz.net. In der Fritzbox ist eine Exposed Host angelegt wo alles auf die Sophos weitergegeben wird. Bei der Sophos ist ein DNat auf den Exchangeserver mit dem Port 443 eingelegt. Ja ich weiß das man so etwas nicht macht und hier ein Proxy der Sophos dazwischen gehört aber ich wollte es erst mal zu laufen bekommen und dann kommt der Rest sofort. Auf dem Exchange Server ist ein Wildcard Zertificat unserer Domain hinterlegt. Wie bereits beschrieben bei Android läuft alles ohne Problem nur das iPhone möchte einfach nicht. Wir ist nicht bewusst warum es hier das Zertifikat der Fritzbox nicht vertraut. Aus deisem grundhabe ich eines angelegt von letsencrypt.org. Wenn ich die Box per https aufrufe wird auch angezeigt das hier ein Vertrauenwürdiges Zertifikat vorliegt.
Jetzt wird es noch komischer. Ich habe hier einen Testserver am laufen. Der hängt dirket an einer anderen Fritzbox dran. In der Fritzbox ist nur der Port 443 auf den Server weitergeleitet. Auach hier ist unser Wildcar Zertifikat von unserer Domain hinterlegt. Hier funktionieren beide Handy also Android und iOS.
Ich verstehe das ganze niht nicht mehr wie kann den so etwas sein ? ich bin am verzweifen. Es gibt eigentlich nur drei Unterschiede in den beiden Konfigurationen.
1.) Es höngt einen Sophos dazwischen aber das kann doch nicht das Problem sein den das Android Gerät funktioniert ja auch. Des weiteren ist der Port 443 ja mittels DNat weiter gegeben
2.) Bei der einen Box ist Exposed Host und bei der anderen Box wird nur ein Port weitergeleitet. Das sollte doch auch gleich sein
3.) Bei der Box / Konstellation wo es nicht funktioniert wurde das Let's Encrypt Zertifikat jetzt erst erstellt. Es kann doch nicht zu neu sein ? Im Browser wird es ja als sicher angezeigt.
Warum überhaupt prüft iOS das Zertifikat der Fritzbox und nicht das des Exchange Servers ?
Ich hoffe Ihr könnt mir hier weiter helfen
Dumpfbacke.
Warum versuht das iOS Gerät überhaupt das Zertifikat der Frotzbox Adresse zu prüfen wenn ich dor mit der Adresse Exchange.domain.de zugreife.
Ich komme hier nicht mehr weiter. Könnt Ihr mir hier helfen und habt so etwas schon einmal gehabt ?
Dumpfbacke.
Exposed Host
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 22408106142
Url: https://administrator.de/forum/exchange-2019-ios-activesync-22408106142.html
Ausgedruckt am: 23.12.2024 um 18:12 Uhr
17 Kommentare
Neuester Kommentar
Moin...
weil du ein ordentliches Zertifikat brauchst, was im Exchange und in der Sophos hinterlegt sein muss!
und bitte das gleiche
die Sans im Zertifikat müssen natürlich dem des Exchange und der Sophos gleich sein.
Apple macht es richtig, es wird das Zertifikat geprüft!
ich glaube wir hatten das Thema Exchange schon mit dir, genau das gleiche!
Frank
weil du ein ordentliches Zertifikat brauchst, was im Exchange und in der Sophos hinterlegt sein muss!
und bitte das gleiche
die Sans im Zertifikat müssen natürlich dem des Exchange und der Sophos gleich sein.
Apple macht es richtig, es wird das Zertifikat geprüft!
ich glaube wir hatten das Thema Exchange schon mit dir, genau das gleiche!
Frank
Moin...
was ja auch so richtig ist und die keinen Proxy dazwischen hast!
das funktioniert so wie es soll!
mit LB / Proxy oder was auch immer, muss dein Proxy das gleiche Zertifikat haben, wie der Exchange....
und nicht das Let's Encrypt!
ist eigentlich einfach
Frank
Jetzt wird es noch komischer. Ich habe hier einen Testserver am laufen. Der hängt dirket an einer anderen Fritzbox dran. In der Fritzbox ist nur der Port 443 auf den Server weitergeleitet. Auach hier ist unser Wildcar Zertifikat von unserer Domain hinterlegt. Hier funktionieren beide Handy also Android und iOS.
was ja auch so richtig ist und die keinen Proxy dazwischen hast!
das funktioniert so wie es soll!
mit LB / Proxy oder was auch immer, muss dein Proxy das gleiche Zertifikat haben, wie der Exchange....
und nicht das Let's Encrypt!
ist eigentlich einfach
Frank
Nabend.
Was ist das denn für eine Sophos?
Normalerweise kannst du nach Certificate oder eben Zertifikat suchen und bekommst das Certificate Management ausgeworfen.
Ansonsten unter "Webserver Protection" sollte das auch zu finden sein (die richtigen Lizenzen vorausgesetzt).
Dort hinterlegt man das Zertifikat.
Wenn die WAF konfiguriert wurde und auf den Exchange zeigt, dann dort das Zertifikat hinterlegen.
Schau mal bei Frankysweb vorbei, da gibt es mehrere gut bebilderte Anleitungen zu dem Thema.
Gruß
Marc
Was ist das denn für eine Sophos?
Normalerweise kannst du nach Certificate oder eben Zertifikat suchen und bekommst das Certificate Management ausgeworfen.
Ansonsten unter "Webserver Protection" sollte das auch zu finden sein (die richtigen Lizenzen vorausgesetzt).
Dort hinterlegt man das Zertifikat.
Wenn die WAF konfiguriert wurde und auf den Exchange zeigt, dann dort das Zertifikat hinterlegen.
Schau mal bei Frankysweb vorbei, da gibt es mehrere gut bebilderte Anleitungen zu dem Thema.
Gruß
Marc
Moin,
Handelt es sich bei Exchnage.domain.de um einen A-Record welcher auf deine feste IP-Adresse zeigt oder ist es ein CNAME-Rekord der auf ew.....myfritz.net? Weil letzertes könnte zu dem SSL Fehler führen.
Jetzt muss ich mich noch unbeliebt machen:
Warum zum Teufel muss der Exchange-Server über das Internet erreichbar sein, wenn deinerseits nicht die Basics an Wissen und Zeit vorhanden ist? Das ist eine tickende Zeitbombe, was die letzten Monate und Jahre die Vorfälle rund um Exchange Server beweisen. Es ist ein komplexes Produkte und ist nicht nebenher mehr zu warten und administrieren. Dazu gehört auch das der Exchange Server heutzutage keinen falls nicht mehr direkt ansprechbar sein soll. Was die Warnungen in den einschlägigen Foren und Blogs nochmals unterstreichen.
Wenn du dich in dem Bereich weiterbilden willst, gerne. Aber dann nutze doch eine interne Testumgebung, welche keinerlei Kontakt zur Außenwelt hat. Wenn du fit und sattelfest bist, gerne auch wieder am Internet.
Gruß,
Dani
Auf dem Exchange Server ist ein Wildcard Zertificat unserer Domain hinterlegt.
Für welche Domain, Exchnage.domain.de oder ew.....myfritz.net?Aus deisem grundhabe ich eines angelegt von letsencrypt.org.
Für welche Domain?Warum überhaupt prüft iOS das Zertifikat der Fritzbox und nicht das des Exchange Servers ?
Bist du dir da sicher, dass es das Zertfikat der Fritzbox angemahnt wird? Am Besten immer an Hand des Fingerprints verifizieren. Der ist eindeutig.Handelt es sich bei Exchnage.domain.de um einen A-Record welcher auf deine feste IP-Adresse zeigt oder ist es ein CNAME-Rekord der auf ew.....myfritz.net? Weil letzertes könnte zu dem SSL Fehler führen.
Jetzt muss ich mich noch unbeliebt machen:
Warum zum Teufel muss der Exchange-Server über das Internet erreichbar sein, wenn deinerseits nicht die Basics an Wissen und Zeit vorhanden ist? Das ist eine tickende Zeitbombe, was die letzten Monate und Jahre die Vorfälle rund um Exchange Server beweisen. Es ist ein komplexes Produkte und ist nicht nebenher mehr zu warten und administrieren. Dazu gehört auch das der Exchange Server heutzutage keinen falls nicht mehr direkt ansprechbar sein soll. Was die Warnungen in den einschlägigen Foren und Blogs nochmals unterstreichen.
Wenn du dich in dem Bereich weiterbilden willst, gerne. Aber dann nutze doch eine interne Testumgebung, welche keinerlei Kontakt zur Außenwelt hat. Wenn du fit und sattelfest bist, gerne auch wieder am Internet.
Gruß,
Dani
Moin,
Gruß,
Dani
Das Zertifikat haben ich für die Fritzbox erzeugt und ist auch nur dort vorhanden da das IPhone immer das Zertifikat der Box angemekert hat. Warum es das macht weiß ich leider nicht die Box soll doch nur "durchleiten" und sonst nichts.
das Smartphone bei der Einrichtung im (W)LAN oder versuchst du es über LTE/UMTS? Bei ersteres könnte der Rebind Schutz der Firtzbox in Verbindung mit dem CNAME Eintrag schuld sein.Warum es das macht weiß ich leider nicht die Box soll doch nur "durchleiten" und sonst nichts.
Hast du mal einen AS Test (https://testconnectivity.microsoft.com/tests/Eas/input) laufen lassen? Welches Zertifikat wird dort ausgegeben? Unabhängig davon gibt Warnungen oder sogar Fehler?Es wurde bei der Domain ein CNAME exchange auf Adresse die ew...myfritz.net der Fritzbox angelegt.
Ansonsten temporär von CNAME auf A-Eintrag wechseln.Gruß,
Dani
Moin,
BTW: In welchen Netz war das Anroid Smartphone bei der Einrichtung?
Gruß,
Dani
Es ist im LTE oder im W-Lan aber nicht hinter der Sophos.
teste es bitte mit LTE. Um einfach sicher zu gehen, dass der Rebind Schutz (falls aktiv) nicht in die Suppe spuckt.BTW: In welchen Netz war das Anroid Smartphone bei der Einrichtung?
Sollte eigentlich nicht der Fall gewesen sein aber man kann ja nie wissen.
sollte, hätte, etc. Sind alles Wörter dir bei Antworten in der IT nicht vorkommen dürfen. Die Frage kannst nur du dir beantworten. Von uns war vermutlich keiner dabei.Gruß,
Dani
Moin,
Gruß,
Dani
Es ist nicht mein Handy und ich habe bei denjenigen nachgefragt der das Handy hat und er sagt mir das er per LTE verbunden ist.
Man könnte entsprechend ein Screenhot verlangen, damit die Aussage bildlich untermauert ist. Aber was weiß ich schon...Er war nicht mit LTE verbunden sondern an der Fritzbox angemeldet. Das ist das nächste was ich ändern werden. Entweder richtiges W-LAN mit AP´s oder nichts.
wenn es die gleiche FRITZ!Box ist, auf die exchange.domain.de zeigt, dann ist die Rebind Funktion schuld. Einfach deaktivieren und nochmals testen. Weil das Problem wird sich nicht lösen, wenn du eine andere WLAN Lösung implementierst, welche sich weiterhin hinter der FRITZ!Box befindet.Gruß,
Dani