darodesk
Goto Top

Kein ActiveSync über Mobilfunknetz

Hallo zusammen,

Wir haben einen Windows Server 2016 mit Exchange 2016 aktuell gepatched (Stand 26.07.2021). Gültiges Zertifikat, feste IP, funktionierendes Autodiscover und MS Connectivity Test zeigt alles grün an. OWA ohne Probleme erreichbar, Outlook verbindet intern wie extern ohne Probleme. Router ist ein Mikrotik (6.48.3) mit zwei Portweiterleitungen 25/443 auf den Exchange.

Jetzt folgendes Phänomen:

Iphone oder Android-Phone können problemlos auf den Exchange zugreifen, solange das Handy innerhalb eines WLan ist. Dabei ist es egal, ob es im internen Wlan in der Firma oder im Public-Wlan irgendwo im Hotel oder sonstwo ist. Sobald das Handy aber im Mobil-Netz (LTE) unterwegs ist, kommt keine Verbindung mehr zustande. Das Problem besteht seit ein paar Wochen, ist aber gar nicht aufgefallen weil im Büro über Wlan alle Mails eingegangen sind. Im Outlook (im oder außerhalb des Firmennetzes funktioniert alles fehlerfrei, es betrifft nur Handys ) Egal ob Iphone-Mail App oder Outlook für IOS / Android)

Ich habe im Netz nur Hinweise zu Sophos/WAF etwas gefunden aber das betrifft uns mit dem MIkrotik ja nicht. Bei Frankys web gab es den Hinweis, das HTTP 1.1 eingeschaltet werden soll (mittels Registrykey) das half aber nicht und wurde wieder rückgängig gemacht.

Das altbekannte ActiveSync-Problem mit den falsch gesetzten Vererbungsrechten in der AD habe ich schon behoben, aber auch hier kein Zugriff über Mobilnetz.

Im Eventlog keine Hinweise auf Authentifizierungsfehler.

Hat jemand noch eine Idee?

Es ist der selbe Fehler im Telekom-Mobilnetz wie auch im Vodafone-Netz (Das konnten wir bisher testen)

Vielen Dank und Gruß

Content-ID: 1091270625

Url: https://administrator.de/forum/kein-activesync-ueber-mobilfunknetz-1091270625.html

Ausgedruckt am: 22.12.2024 um 12:12 Uhr

Vision2015
Vision2015 26.07.2021 um 20:33:12 Uhr
Goto Top
moin...

sag mal, geht über das Mobilnetz OWA?

Frank
darodesk
darodesk 26.07.2021 um 20:39:16 Uhr
Goto Top
nein, nur über wlan.
darodesk
darodesk 26.07.2021 um 20:43:28 Uhr
Goto Top
Safari meldet das keine sichere Kommunikation aufgebaut werden konnte
Firefox meldet NSURLErrorDomain

Es gab irgendwo auch den Hainweis, das zu einfach verschlüsselte Serverzertifikate der Grund sein könnten, in unserem Fall sind aber alle Zertifikate mit 2048Bit verschlüsselt und auch nur ein Jahr gültig.
em-pie
em-pie 26.07.2021 um 20:49:12 Uhr
Goto Top
Moin,

Du schreibst .. gültiges Zertifikat.. und … auch nur ein Jahr gültig …

Ist es ein öffentliches Zertifikat, welches ihr gekauft habt oder selbst signiert?

Gruß
em-pie
darodesk
darodesk 26.07.2021 um 20:59:06 Uhr
Goto Top
ein gekauftes Zertifikat. (Certum)
Vision2015
Vision2015 26.07.2021 um 21:03:39 Uhr
Goto Top
Zitat von @darodesk:

ein gekauftes Zertifikat. (Certum)

geht es überhaubt draußen? also kannst du von einem externen XDSL anschluss dein OWA aufrufen?

Frank
darodesk
Lösung darodesk 26.07.2021 um 21:09:02 Uhr
Goto Top
Ja, wenn es über wlan oder festanschluss geht, kann ichmalles aufrufen. Habe mich eben mit meinem Laptop über lte eingewählt, da kann er das owa nicht aufrufen, geht das laptop über wlan geht es.
Könnte das an IPv6 liegen? ich erhalte über lte ausschliesslich ipv6 Adressen zugewiesen.
darodesk
darodesk 26.07.2021 um 21:31:10 Uhr
Goto Top
Habe den Fehler gefunden, es liegt an IPV6. Im Mikrotik ist v6 nicht aktiviert, wenn man sich über handy einwählt, erhalte ich auf dem Iphone eine v6 adresse aber keine v4 Adresse. Auf dem Laptop erhhalte ich beide adressen aber die verbindung wird über v6 (Traceroute) hergestellt und das kann unser Firmennetz noch nicht. Habe jetzt einen neuen APN angelegt und dort explizit nur IPv4 angekreuzt und schon funktioniert alles. Das nächste Wochenende wird dann wohl IPv6 in unserem Netzwerk sein... Danke aber für die Hilfe bisher.
LordGurke
LordGurke 26.07.2021 um 21:49:52 Uhr
Goto Top
So sehr ich begeistert sehe, dass Firmennetzwerke IPv6-Fähig gemacht werden - in diesem speziellen Fall liegt die Ursache nicht an der IPv6-Adresse selbst sondern dürfte vielmehr an einem fehlerhaften DNS-Eintrag liegen.
Selbst, wenn du nur eine IPv6-Adresse per LTE bekommst, kannst du weiterhin reine IPv4-Dienste erreichen. Die Zauberwörter dafür heißen "6to4" und "XLAT".
Denn sonst könntest du per LTE auch nicht diese Webseite hier (Stand Juli 2021) erreichen.

Bitte prüfe einmal, ob auf der Hostname, den du für den Aufruf von ActiveSync oder OWA verwendest, einen AAAA-Record hat und wohin er zeigt. Denn sobald ein AAAA-Record vorhanden ist, wird die Verbindung per IPv6 dahin hergestellt. Da dieser aber nunmal mangels IPv6-Einrichtung nicht auf deinen OWA zeigen kann, zeigt er irgendwo anders hin. Vielleicht zu eurem Domainhoster - jedenfalls etwas, was nicht einfach stumm in einen Timeout rennt sondern was antwortet, aber eben nicht euer OWA ist.
Nachdem du auf deinem Gerät auf einen IPv4-Only-APN gewechselt bist, gibt es keine IPv6-Konnektivität mehr - ergo wird auch keine IPv6-Verbindung mehr aufgebaut und stattdessen IPv4 verwendet.
Gleiches würde, unabhängig vom APN passieren, wenn du den fehlerhaften AAAA-Record entfernst.
Und auch wenn dein Netzwerk IPv6-Fähig ist (davon will ich dich nicht abhalten!), würde der AAAA-Record, der auf eine falsche Adresse zeigt, ja weiterhin Probleme machen.

Zusammengefasst: Prüfe mal, ob es einen AAAA-Record gibt, der da nicht sein sollte und entferne ihn face-wink
darodesk
darodesk 26.07.2021 um 22:02:03 Uhr
Goto Top
den gibt es tatsächlich, er zeigt auf eine v6 Adresse, soll ich den ganz entfernen oder dort die richtige v4 IP eintragen?
LordGurke
LordGurke 26.07.2021 um 22:02:59 Uhr
Goto Top
Ein AAAA-Record kann nur IPv6-Adressen aufnehmen - also einfach löschen.
darodesk
darodesk 26.07.2021 um 22:03:05 Uhr
Goto Top
ein A-Record zeigt auf die richtige V4 IP
LordGurke
Lösung LordGurke 26.07.2021 um 22:07:05 Uhr
Goto Top
Den A-Record kannst du auch so lassen. Nur der AAAA-Record muss weg.
Je nach TTL des Records kann es dann entsprechend lange dauern, bis das Problem wirklich weg ist.
darodesk
darodesk 27.07.2021 um 21:22:56 Uhr
Goto Top
Das war der Fehler!!!! Vielen Dank für deine Hilfe.