Kein ActiveSync über Mobilfunknetz
Hallo zusammen,
Wir haben einen Windows Server 2016 mit Exchange 2016 aktuell gepatched (Stand 26.07.2021). Gültiges Zertifikat, feste IP, funktionierendes Autodiscover und MS Connectivity Test zeigt alles grün an. OWA ohne Probleme erreichbar, Outlook verbindet intern wie extern ohne Probleme. Router ist ein Mikrotik (6.48.3) mit zwei Portweiterleitungen 25/443 auf den Exchange.
Jetzt folgendes Phänomen:
Iphone oder Android-Phone können problemlos auf den Exchange zugreifen, solange das Handy innerhalb eines WLan ist. Dabei ist es egal, ob es im internen Wlan in der Firma oder im Public-Wlan irgendwo im Hotel oder sonstwo ist. Sobald das Handy aber im Mobil-Netz (LTE) unterwegs ist, kommt keine Verbindung mehr zustande. Das Problem besteht seit ein paar Wochen, ist aber gar nicht aufgefallen weil im Büro über Wlan alle Mails eingegangen sind. Im Outlook (im oder außerhalb des Firmennetzes funktioniert alles fehlerfrei, es betrifft nur Handys ) Egal ob Iphone-Mail App oder Outlook für IOS / Android)
Ich habe im Netz nur Hinweise zu Sophos/WAF etwas gefunden aber das betrifft uns mit dem MIkrotik ja nicht. Bei Frankys web gab es den Hinweis, das HTTP 1.1 eingeschaltet werden soll (mittels Registrykey) das half aber nicht und wurde wieder rückgängig gemacht.
Das altbekannte ActiveSync-Problem mit den falsch gesetzten Vererbungsrechten in der AD habe ich schon behoben, aber auch hier kein Zugriff über Mobilnetz.
Im Eventlog keine Hinweise auf Authentifizierungsfehler.
Hat jemand noch eine Idee?
Es ist der selbe Fehler im Telekom-Mobilnetz wie auch im Vodafone-Netz (Das konnten wir bisher testen)
Vielen Dank und Gruß
Wir haben einen Windows Server 2016 mit Exchange 2016 aktuell gepatched (Stand 26.07.2021). Gültiges Zertifikat, feste IP, funktionierendes Autodiscover und MS Connectivity Test zeigt alles grün an. OWA ohne Probleme erreichbar, Outlook verbindet intern wie extern ohne Probleme. Router ist ein Mikrotik (6.48.3) mit zwei Portweiterleitungen 25/443 auf den Exchange.
Jetzt folgendes Phänomen:
Iphone oder Android-Phone können problemlos auf den Exchange zugreifen, solange das Handy innerhalb eines WLan ist. Dabei ist es egal, ob es im internen Wlan in der Firma oder im Public-Wlan irgendwo im Hotel oder sonstwo ist. Sobald das Handy aber im Mobil-Netz (LTE) unterwegs ist, kommt keine Verbindung mehr zustande. Das Problem besteht seit ein paar Wochen, ist aber gar nicht aufgefallen weil im Büro über Wlan alle Mails eingegangen sind. Im Outlook (im oder außerhalb des Firmennetzes funktioniert alles fehlerfrei, es betrifft nur Handys ) Egal ob Iphone-Mail App oder Outlook für IOS / Android)
Ich habe im Netz nur Hinweise zu Sophos/WAF etwas gefunden aber das betrifft uns mit dem MIkrotik ja nicht. Bei Frankys web gab es den Hinweis, das HTTP 1.1 eingeschaltet werden soll (mittels Registrykey) das half aber nicht und wurde wieder rückgängig gemacht.
Das altbekannte ActiveSync-Problem mit den falsch gesetzten Vererbungsrechten in der AD habe ich schon behoben, aber auch hier kein Zugriff über Mobilnetz.
Im Eventlog keine Hinweise auf Authentifizierungsfehler.
Hat jemand noch eine Idee?
Es ist der selbe Fehler im Telekom-Mobilnetz wie auch im Vodafone-Netz (Das konnten wir bisher testen)
Vielen Dank und Gruß
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1091270625
Url: https://administrator.de/forum/kein-activesync-ueber-mobilfunknetz-1091270625.html
Ausgedruckt am: 22.12.2024 um 12:12 Uhr
14 Kommentare
Neuester Kommentar
geht es überhaubt draußen? also kannst du von einem externen XDSL anschluss dein OWA aufrufen?
Frank
So sehr ich begeistert sehe, dass Firmennetzwerke IPv6-Fähig gemacht werden - in diesem speziellen Fall liegt die Ursache nicht an der IPv6-Adresse selbst sondern dürfte vielmehr an einem fehlerhaften DNS-Eintrag liegen.
Selbst, wenn du nur eine IPv6-Adresse per LTE bekommst, kannst du weiterhin reine IPv4-Dienste erreichen. Die Zauberwörter dafür heißen "6to4" und "XLAT".
Denn sonst könntest du per LTE auch nicht diese Webseite hier (Stand Juli 2021) erreichen.
Bitte prüfe einmal, ob auf der Hostname, den du für den Aufruf von ActiveSync oder OWA verwendest, einen AAAA-Record hat und wohin er zeigt. Denn sobald ein AAAA-Record vorhanden ist, wird die Verbindung per IPv6 dahin hergestellt. Da dieser aber nunmal mangels IPv6-Einrichtung nicht auf deinen OWA zeigen kann, zeigt er irgendwo anders hin. Vielleicht zu eurem Domainhoster - jedenfalls etwas, was nicht einfach stumm in einen Timeout rennt sondern was antwortet, aber eben nicht euer OWA ist.
Nachdem du auf deinem Gerät auf einen IPv4-Only-APN gewechselt bist, gibt es keine IPv6-Konnektivität mehr - ergo wird auch keine IPv6-Verbindung mehr aufgebaut und stattdessen IPv4 verwendet.
Gleiches würde, unabhängig vom APN passieren, wenn du den fehlerhaften AAAA-Record entfernst.
Und auch wenn dein Netzwerk IPv6-Fähig ist (davon will ich dich nicht abhalten!), würde der AAAA-Record, der auf eine falsche Adresse zeigt, ja weiterhin Probleme machen.
Zusammengefasst: Prüfe mal, ob es einen AAAA-Record gibt, der da nicht sein sollte und entferne ihn
Selbst, wenn du nur eine IPv6-Adresse per LTE bekommst, kannst du weiterhin reine IPv4-Dienste erreichen. Die Zauberwörter dafür heißen "6to4" und "XLAT".
Denn sonst könntest du per LTE auch nicht diese Webseite hier (Stand Juli 2021) erreichen.
Bitte prüfe einmal, ob auf der Hostname, den du für den Aufruf von ActiveSync oder OWA verwendest, einen AAAA-Record hat und wohin er zeigt. Denn sobald ein AAAA-Record vorhanden ist, wird die Verbindung per IPv6 dahin hergestellt. Da dieser aber nunmal mangels IPv6-Einrichtung nicht auf deinen OWA zeigen kann, zeigt er irgendwo anders hin. Vielleicht zu eurem Domainhoster - jedenfalls etwas, was nicht einfach stumm in einen Timeout rennt sondern was antwortet, aber eben nicht euer OWA ist.
Nachdem du auf deinem Gerät auf einen IPv4-Only-APN gewechselt bist, gibt es keine IPv6-Konnektivität mehr - ergo wird auch keine IPv6-Verbindung mehr aufgebaut und stattdessen IPv4 verwendet.
Gleiches würde, unabhängig vom APN passieren, wenn du den fehlerhaften AAAA-Record entfernst.
Und auch wenn dein Netzwerk IPv6-Fähig ist (davon will ich dich nicht abhalten!), würde der AAAA-Record, der auf eine falsche Adresse zeigt, ja weiterhin Probleme machen.
Zusammengefasst: Prüfe mal, ob es einen AAAA-Record gibt, der da nicht sein sollte und entferne ihn