simon-mcp
Goto Top

Exchange ActiveSync mit Mobiltelefon (Aktuelle Konto hat keine Berechtigungen zu Synchronisieren)

Es wird versucht ein HTC Desire (Android Smartphone) mit einem Exchange-Postfach über ActiveSync zu verbinden. Doch leider erhalte ich dabei die Fehlermeldung:

Für das Konto im Microsoft Exchange Server gibt es keine Berechtigung zu Synchronisierung mit den aktuellen Einstellungen.
Kontaktieren Die den Exchange-Server-Administrator.

Hallo zusammen,

ich versuche momentan mein HTC Desire Smartphone mit meinem Exchange-Server 2007 zu verbinden um E-Mails usw... abrufen zu können.

Doch leider erhalte ich hierbei die folgende Fehlermeldung:
Für das Konto im Microsoft Exchange Server gibt es keine Berechtigung zu Synchronisierung mit den aktuellen Einstellungen.
Kontaktieren Die den Exchange-Server-Administrator.


Umgebung:
- Windows Server 2008 R2
- Exchange 2007
- Eigenes Zertifikat

Der Zugriff auf die OWA-Seite funktioniert ohne Probleme. Es wird nur ein Warnhinweis angezeigt das dass Zertifikat nicht vertrauenswürdig ist da ich es selbst erstellt habe!

Mit dem Smartphone komme ich soweit das er mir das Zertfikat anzeigt und eben auch eine Warnung. Dieses Zertifikat aktzeptiere ich und dann kommt die oben genannte Fehlermeldung.
Muss ich hier noch irgendwelche Einstellungen am Exchange oder IIS vornehmen?

Welche IIS-Authentifizierungsmethoden für die Microsoft ActiveSync Site müssen den aktiv sein? Dort stehen alle auf "Disabled". Und was gibt es noch zu beachten? Ich denke das es nicht viel sein kann da ich ja kurz vor dem Ziel bin!
Ich weiß momentan nicht mehr weiter und würde mich über eure Hilfe sehr freuen.


Freundliche Grüße

Content-ID: 156314

Url: https://administrator.de/forum/exchange-activesync-mit-mobiltelefon-aktuelle-konto-hat-keine-berechtigungen-zu-synchronisieren-156314.html

Ausgedruckt am: 23.12.2024 um 03:12 Uhr

ollembyssan
ollembyssan 03.12.2010, aktualisiert am 18.10.2012 um 18:44:17 Uhr
Goto Top
Zitat von @Simon-MCP:
Der Zugriff auf die OWA-Seite funktioniert ohne Probleme. Es wird nur ein Warnhinweis angezeigt das dass Zertifikat nicht
vertrauenswürdig ist da ich es selbst erstellt habe!

Wenn das Zertifikat bzw. der Stammzertifizierungsstelle nicht vertraut wird, gibt es eine Fehlermeldung, richtig! Deswegen muss ihr vertraut werden. Sowohl Zertifikat des Servers, als auch das Zertifikat der Root CA (Stammzertifizierungsstelle) MUSS installiert werden!
Ansonsten funktioniert die Synchonisation mittels EAS nicht!

Mit dem Smartphone komme ich soweit das er mir das Zertfikat anzeigt und eben auch eine Warnung. Dieses Zertifikat aktzeptiere ich
und dann kommt die oben genannte Fehlermeldung.
Muss ich hier noch irgendwelche Einstellungen am Exchange oder IIS vornehmen?

Nein, im IIS musst du standardmäßig keine Veränderung vornehmen.
Du musst lediglich garantieren, dass beide Zertifikate auf dem Smatphone installiert sind.
Du darfst schon bei dem Verbindungsaufbau zu OWA keine Zertifikatsfehlermeldung erhalten. Bekommst du diese schon bei OWA, wird die Synchronisierung fehlschlagen.
Grund: Der EAS-Dienst baut eine Verbindung mit Hilfe von OWA zum Postfach des Benutzers auf und gibt die Authentifizierungsinformationen mit.

Welche IIS-Authentifizierungsmethoden für die Microsoft ActiveSync Site müssen den aktiv sein? Dort stehen alle
auf "Disabled". Und was gibt es noch zu beachten? Ich denke das es nicht viel sein kann da ich ja kurz vor dem Ziel
bin!

Alle auf disabled wie sollen sich bei dieser Einstellung Benutzer authentifizieren?
-> Standardauthentifizierung aktivieren! ( wobei BN und PW per SSL/TLS übertragen werden )

Aber zunächst, solltest du die Zertifikatsfehler beheben.

Stammzertifizierungsstelle muss auf dem Smartphone als vertrauenswürdig eingestuft sein.
(bzw. im Zertifikatsspeicher: \Stamm hinterlegt sein)

Das Serverzertifikat musst du ebenfalls auf dem Smartphone implementieren.

Setzt voraus, dass du auf einem Client bzw. vom Server, ohne Zertifikatsfehler auf OWA zugreifen kannst.
Setzt voraus, dass dein Zertifikat auf relevante Namen ausgestellt ist.
Voallem für den FQDN von OWA, Outlook Anywhere, (Autodiscover).

Falls dies nicht der Fall ist, bringt es auch nichts, der Zertifizierungsstelle zu vertrauen (prinzipiell schon),
da aber das Zeritifkat auf falsche Namen (FQDN's) ausgestellt ist, wirst du den Fehler nicht beheben können und somit wird auch keine Synchronisierung erfolgreich sein.

Wie du das Zertifikat richtig installierst, siehst du hier:
Exchange Zertifikat für mehrere DNS-Namen ausstellen (Exchange 2007)/

oder hier:
http://www.msxfaq.de/404.htm

Wie du die Zertifizierungsstelle auf dem Server richtig installierst, siehst du hier:
http://stephan-mey.de/?p=501

Und der Link ist auch noch nützlich aber fang schön von vorne an face-wink
http://stephan-mey.de/?p=545

Gruß

Mey
knut4linux
knut4linux 03.12.2010 um 20:16:27 Uhr
Goto Top
Mahlzeit,

also ich bin der Meinung, das für das Microsoft-Server-Activsync das OWA in diesem Sinne gar nicht gebraucht wird. Smartphones und Mobile Endgeräte kommen über das Virtuelle Verzeichnis OMA und diese wiederum nutzt eine dll welche die OWA zur Authentifizierung nimmt. Daher reicht es aus Sicherheitsgründen aus, den Zugriff auf das Exchangewebverzeichnis auf "lokalen Zugriff" zu beschrenken (Sofern wirklich außerhalb von deinem Netzwerk keiner Zugreifen muss. Selbst wenn, würde ich das via VPN machen, aber das gehört hier nicht her.)

Das der USer an sich nicht Synchronisieren darf, kann auch eine Fehlerhafte Einstellung im AD des jeweiligen Benutzers sein. Die Verwendung von MobileDiensten etc. Kannst du klar definieren!! (Freigeben oder Verweigern!) Dazu einfach die Eigenschaften des Benutzers öffnen und unter "Exchange Erweitert" die Berechtigungen prüfen.

Gruß Knut
ollembyssan
ollembyssan 03.12.2010 um 22:33:20 Uhr
Goto Top
Zitat von @knut4linux:
also ich bin der Meinung, das für das Microsoft-Server-Activsync das OWA in diesem Sinne gar nicht gebraucht wird.

Wird benötigt!, siehe meine Antwort oben!
Siehe auch: http://stephan-mey.de/?p=573

Smartphones und Mobile Endgeräte kommen über das Virtuelle Verzeichnis OMA und diese wiederum nutzt eine dll welche die OWA zur Authentifizierung nimmt

Nein, nicht mehr in Exchange 2007/2010! Das gab es in Exchange 2003.
http://www.msexchange.org/articles_tutorials/exchange-server-2007/mobil ...


Das der USer an sich nicht Synchronisieren darf, kann auch eine Fehlerhafte Einstellung im AD des jeweiligen Benutzers sein. Die
Verwendung von MobileDiensten etc. Kannst du klar definieren!! (Freigeben oder Verweigern!) Dazu einfach die Eigenschaften des
Benutzers öffnen und unter "Exchange Erweitert" die Berechtigungen prüfen.

Die sind standardmäßig aktiviert!
siehe: http://stephan-mey.de/?p=573

Und siehe auch die Erläuterung seines Fehlers, "Warnung bei Zugriff auf OWA",
welches definitiv auf einen Zertifikatsfehler hindeutet.

Gruß
Simon-MCP
Simon-MCP 03.12.2010 um 23:33:54 Uhr
Goto Top
Hallo ollembyssan,

vielen Dank für den super Link! Danach habe ich schon gesucht als ich damals (schon paar Monate her) den Server eingerichtet habe hatte aber nichts gefunden.
Ich habe nun ein Zertifikat erstellt das für mehrere FQDNs ausgestellt ist. Nun kommt auch endlich nicht mehr die störende Zertifikatsfehlermeldung wenn ich mich von extern über den DynDNS-Dienst auf meine OWA-Site verbinde, Danke!

Da ich selbst noch nicht im Besitz eines Smarthphones bin werde ich das ganze erst am Montag wieder testen können.

Wenn ich aber auf beiden Seiten IIS und Exchange Management Console die Optionen "Zertifikat Required" auswähle, komme ich nicht mehr auf die: https://domain.no-ip.info/Microsoft-Server-ActivceSycn Site!
Fehlermeldung:
Server Error403 - Forbidden: Access is denied.
You do not have permission to view this directory or page using the credentials that you supplied.


Wähle ich hingegen einfach auf beiden Seiten die Funktionen das Zertifkate erlaubt sind funktioniert es und es kommt ein Anmeldefenster...

Welche Optionen sollte ich auf der IIS Seite und Exchange Management Console Seite aktivieren bzw. deaktivieren damit meine Verbindung sicher ist?
Vielen Dank.

Freundliche Grüße
ollembyssan
ollembyssan 04.12.2010 um 10:23:52 Uhr
Goto Top
Zitat von @Simon-MCP:
Wenn ich aber auf beiden Seiten IIS und Exchange Management Console die Optionen "Zertifikat Required" auswähle,
komme ich nicht mehr auf die: https://domain.no-ip.info/Microsoft-Server-ActivceSycn Site!
Fehlermeldung:
Server Error403 - Forbidden: Access is denied.
You do not have permission to view this directory or page using the credentials that you supplied.


Das kommt daher, dass du kein Clientzertifikat besitzt, welches du auch nicht brauchst, außer du hast vor, dass sich der Client am Server mit einem Zertifikat authentifiziert.
Ansonsten authentifiziert sich nur der Server mit seinem Zertifikat beim Client (genauer: mit einer Kopie seines öffentlichen Zertifikatsschlüssels)
Bitte wähle die Option: Clientzertifikate ignorieren oder akzeptieren

Wähle ich hingegen einfach auf beiden Seiten die Funktionen das Zertifkate erlaubt sind funktioniert es und es kommt ein Anmeldefefenster

Richtig so, siehe oben.

Gruß

Stephan
knut4linux
knut4linux 04.12.2010 um 11:11:37 Uhr
Goto Top
Ach Ollembyssan, vielen Dank für dein teaching. Das hätte ich nun nicht gedacht, dass die Redmonder ihr Konzept schon wieder verworfen haben... Nun ja, jetzt weiß darüber auch bescheid.

Das kommt daher, dass du kein Clientzertifikat besitzt, welches du auch nicht brauchst, außer du hast vor, dass sich der Client am Server mit einem Zertifikat authentifiziert

In diesem Fall würde ich (Wenn OWA benötigt wird) die Clients nur durch ein Zertifikat authentifizieren lassen. Ein Client Zertifikat kannst du erstellen wenn du den "Zertifikatsdienst" ausrollst. Aber einen eigenen CA Dienst in einer Domäne wegen ein paar Clients finde ich eher Aufwändig und das Problem dabei ist zu dem, das du diesen Dienst auch bei jeder Migration mitschleifen musst bzw. deinstallieren und das ist ne unschöne Angelegenheit.

Zerts kaufen für diesen Anwendungsfall ist noch nicht mal teuer.

Knut
Simon-MCP
Simon-MCP 08.12.2010 um 23:26:23 Uhr
Goto Top
Herzlichen Dank an alle für die Hilfe.
Es hat nun alles funktioniert!