14
Kein ActiveSync über Mobilfunknetz
Hallo zusammen,
Wir haben einen Windows Server 2016 mit Exchange 2016 aktuell gepatched (Stand 26.07.2021). Gültiges Zertifikat, feste IP, funktionierendes Autodiscover und MS Connectivity Test zeigt alles grün an. OWA ohne Probleme erreichbar, Outlook verbindet intern wie extern ohne Probleme. Router ist ein Mikrotik (6.48.3) mit zwei Portweiterleitungen 25/443 auf den Exchange.
Jetzt folgendes Phänomen:
Iphone oder Android-Phone können problemlos auf den Exchange zugreifen, solange das Handy innerhalb eines WLan ist. Dabei ist es egal, ob es im internen Wlan in der Firma oder im Public-Wlan irgendwo im Hotel oder sonstwo ist. Sobald das Handy aber im Mobil-Netz (LTE) unterwegs ist, kommt keine Verbindung mehr zustande. Das Problem besteht seit ein paar Wochen, ist aber gar nicht aufgefallen weil im Büro über Wlan alle Mails eingegangen sind. Im Outlook (im oder außerhalb des Firmennetzes funktioniert alles fehlerfrei, es betrifft nur Handys ) Egal ob Iphone-Mail App oder Outlook für IOS / Android)
Ich habe im Netz nur Hinweise zu Sophos/WAF etwas gefunden aber das betrifft uns mit dem MIkrotik ja nicht. Bei Frankys web gab es den Hinweis, das HTTP 1.1 eingeschaltet werden soll (mittels Registrykey) das half aber nicht und wurde wieder rückgängig gemacht.
Das altbekannte ActiveSync-Problem mit den falsch gesetzten Vererbungsrechten in der AD habe ich schon behoben, aber auch hier kein Zugriff über Mobilnetz.
Im Eventlog keine Hinweise auf Authentifizierungsfehler.
Hat jemand noch eine Idee?
Es ist der selbe Fehler im Telekom-Mobilnetz wie auch im Vodafone-Netz (Das konnten wir bisher testen)
Vielen Dank und Gruß
Wir haben einen Windows Server 2016 mit Exchange 2016 aktuell gepatched (Stand 26.07.2021). Gültiges Zertifikat, feste IP, funktionierendes Autodiscover und MS Connectivity Test zeigt alles grün an. OWA ohne Probleme erreichbar, Outlook verbindet intern wie extern ohne Probleme. Router ist ein Mikrotik (6.48.3) mit zwei Portweiterleitungen 25/443 auf den Exchange.
Jetzt folgendes Phänomen:
Iphone oder Android-Phone können problemlos auf den Exchange zugreifen, solange das Handy innerhalb eines WLan ist. Dabei ist es egal, ob es im internen Wlan in der Firma oder im Public-Wlan irgendwo im Hotel oder sonstwo ist. Sobald das Handy aber im Mobil-Netz (LTE) unterwegs ist, kommt keine Verbindung mehr zustande. Das Problem besteht seit ein paar Wochen, ist aber gar nicht aufgefallen weil im Büro über Wlan alle Mails eingegangen sind. Im Outlook (im oder außerhalb des Firmennetzes funktioniert alles fehlerfrei, es betrifft nur Handys ) Egal ob Iphone-Mail App oder Outlook für IOS / Android)
Ich habe im Netz nur Hinweise zu Sophos/WAF etwas gefunden aber das betrifft uns mit dem MIkrotik ja nicht. Bei Frankys web gab es den Hinweis, das HTTP 1.1 eingeschaltet werden soll (mittels Registrykey) das half aber nicht und wurde wieder rückgängig gemacht.
Das altbekannte ActiveSync-Problem mit den falsch gesetzten Vererbungsrechten in der AD habe ich schon behoben, aber auch hier kein Zugriff über Mobilnetz.
Im Eventlog keine Hinweise auf Authentifizierungsfehler.
Hat jemand noch eine Idee?
Es ist der selbe Fehler im Telekom-Mobilnetz wie auch im Vodafone-Netz (Das konnten wir bisher testen)
Vielen Dank und Gruß
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 1091270625
Url: https://administrator.de/contentid/1091270625
Printed on: April 25, 2024 at 01:04 o'clock
14 Comments
Latest comment
moin...
sag mal, geht über das Mobilnetz OWA?
Frank
sag mal, geht über das Mobilnetz OWA?
Frank
nein, nur über wlan.
Safari meldet das keine sichere Kommunikation aufgebaut werden konnte
Firefox meldet NSURLErrorDomain
Es gab irgendwo auch den Hainweis, das zu einfach verschlüsselte Serverzertifikate der Grund sein könnten, in unserem Fall sind aber alle Zertifikate mit 2048Bit verschlüsselt und auch nur ein Jahr gültig.
Firefox meldet NSURLErrorDomain
Es gab irgendwo auch den Hainweis, das zu einfach verschlüsselte Serverzertifikate der Grund sein könnten, in unserem Fall sind aber alle Zertifikate mit 2048Bit verschlüsselt und auch nur ein Jahr gültig.
Moin,
Du schreibst .. gültiges Zertifikat.. und … auch nur ein Jahr gültig …
Ist es ein öffentliches Zertifikat, welches ihr gekauft habt oder selbst signiert?
Gruß
em-pie
Du schreibst .. gültiges Zertifikat.. und … auch nur ein Jahr gültig …
Ist es ein öffentliches Zertifikat, welches ihr gekauft habt oder selbst signiert?
Gruß
em-pie
ein gekauftes Zertifikat. (Certum)
geht es überhaubt draußen? also kannst du von einem externen XDSL anschluss dein OWA aufrufen?
Frank
Ja, wenn es über wlan oder festanschluss geht, kann ichmalles aufrufen. Habe mich eben mit meinem Laptop über lte eingewählt, da kann er das owa nicht aufrufen, geht das laptop über wlan geht es.
Könnte das an IPv6 liegen? ich erhalte über lte ausschliesslich ipv6 Adressen zugewiesen.
Könnte das an IPv6 liegen? ich erhalte über lte ausschliesslich ipv6 Adressen zugewiesen.
Habe den Fehler gefunden, es liegt an IPV6. Im Mikrotik ist v6 nicht aktiviert, wenn man sich über handy einwählt, erhalte ich auf dem Iphone eine v6 adresse aber keine v4 Adresse. Auf dem Laptop erhhalte ich beide adressen aber die verbindung wird über v6 (Traceroute) hergestellt und das kann unser Firmennetz noch nicht. Habe jetzt einen neuen APN angelegt und dort explizit nur IPv4 angekreuzt und schon funktioniert alles. Das nächste Wochenende wird dann wohl IPv6 in unserem Netzwerk sein... Danke aber für die Hilfe bisher.
So sehr ich begeistert sehe, dass Firmennetzwerke IPv6-Fähig gemacht werden - in diesem speziellen Fall liegt die Ursache nicht an der IPv6-Adresse selbst sondern dürfte vielmehr an einem fehlerhaften DNS-Eintrag liegen.
Selbst, wenn du nur eine IPv6-Adresse per LTE bekommst, kannst du weiterhin reine IPv4-Dienste erreichen. Die Zauberwörter dafür heißen "6to4" und "XLAT".
Denn sonst könntest du per LTE auch nicht diese Webseite hier (Stand Juli 2021) erreichen.
Bitte prüfe einmal, ob auf der Hostname, den du für den Aufruf von ActiveSync oder OWA verwendest, einen AAAA-Record hat und wohin er zeigt. Denn sobald ein AAAA-Record vorhanden ist, wird die Verbindung per IPv6 dahin hergestellt. Da dieser aber nunmal mangels IPv6-Einrichtung nicht auf deinen OWA zeigen kann, zeigt er irgendwo anders hin. Vielleicht zu eurem Domainhoster - jedenfalls etwas, was nicht einfach stumm in einen Timeout rennt sondern was antwortet, aber eben nicht euer OWA ist.
Nachdem du auf deinem Gerät auf einen IPv4-Only-APN gewechselt bist, gibt es keine IPv6-Konnektivität mehr - ergo wird auch keine IPv6-Verbindung mehr aufgebaut und stattdessen IPv4 verwendet.
Gleiches würde, unabhängig vom APN passieren, wenn du den fehlerhaften AAAA-Record entfernst.
Und auch wenn dein Netzwerk IPv6-Fähig ist (davon will ich dich nicht abhalten!), würde der AAAA-Record, der auf eine falsche Adresse zeigt, ja weiterhin Probleme machen.
Zusammengefasst: Prüfe mal, ob es einen AAAA-Record gibt, der da nicht sein sollte und entferne ihn
Selbst, wenn du nur eine IPv6-Adresse per LTE bekommst, kannst du weiterhin reine IPv4-Dienste erreichen. Die Zauberwörter dafür heißen "6to4" und "XLAT".
Denn sonst könntest du per LTE auch nicht diese Webseite hier (Stand Juli 2021) erreichen.
Bitte prüfe einmal, ob auf der Hostname, den du für den Aufruf von ActiveSync oder OWA verwendest, einen AAAA-Record hat und wohin er zeigt. Denn sobald ein AAAA-Record vorhanden ist, wird die Verbindung per IPv6 dahin hergestellt. Da dieser aber nunmal mangels IPv6-Einrichtung nicht auf deinen OWA zeigen kann, zeigt er irgendwo anders hin. Vielleicht zu eurem Domainhoster - jedenfalls etwas, was nicht einfach stumm in einen Timeout rennt sondern was antwortet, aber eben nicht euer OWA ist.
Nachdem du auf deinem Gerät auf einen IPv4-Only-APN gewechselt bist, gibt es keine IPv6-Konnektivität mehr - ergo wird auch keine IPv6-Verbindung mehr aufgebaut und stattdessen IPv4 verwendet.
Gleiches würde, unabhängig vom APN passieren, wenn du den fehlerhaften AAAA-Record entfernst.
Und auch wenn dein Netzwerk IPv6-Fähig ist (davon will ich dich nicht abhalten!), würde der AAAA-Record, der auf eine falsche Adresse zeigt, ja weiterhin Probleme machen.
Zusammengefasst: Prüfe mal, ob es einen AAAA-Record gibt, der da nicht sein sollte und entferne ihn
den gibt es tatsächlich, er zeigt auf eine v6 Adresse, soll ich den ganz entfernen oder dort die richtige v4 IP eintragen?
Ein AAAA-Record kann nur IPv6-Adressen aufnehmen - also einfach löschen.
ein A-Record zeigt auf die richtige V4 IP
Den A-Record kannst du auch so lassen. Nur der AAAA-Record muss weg.
Je nach TTL des Records kann es dann entsprechend lange dauern, bis das Problem wirklich weg ist.
Je nach TTL des Records kann es dann entsprechend lange dauern, bis das Problem wirklich weg ist.
Das war der Fehler!!!! Vielen Dank für deine Hilfe.
