Kein ActiveSync über Mobilfunknetz

Hallo zusammen,

Wir haben einen Windows Server 2016 mit Exchange 2016 aktuell gepatched (Stand 26.07.2021). Gültiges Zertifikat, feste IP, funktionierendes Autodiscover und MS Connectivity Test zeigt alles grün an. OWA ohne Probleme erreichbar, Outlook verbindet intern wie extern ohne Probleme. Router ist ein Mikrotik (6.48.3) mit zwei Portweiterleitungen 25/443 auf den Exchange.

Jetzt folgendes Phänomen:

Iphone oder Android-Phone können problemlos auf den Exchange zugreifen, solange das Handy innerhalb eines WLan ist. Dabei ist es egal, ob es im internen Wlan in der Firma oder im Public-Wlan irgendwo im Hotel oder sonstwo ist. Sobald das Handy aber im Mobil-Netz (LTE) unterwegs ist, kommt keine Verbindung mehr zustande. Das Problem besteht seit ein paar Wochen, ist aber gar nicht aufgefallen weil im Büro über Wlan alle Mails eingegangen sind. Im Outlook (im oder außerhalb des Firmennetzes funktioniert alles fehlerfrei, es betrifft nur Handys ) Egal ob Iphone-Mail App oder Outlook für IOS / Android)

Ich habe im Netz nur Hinweise zu Sophos/WAF etwas gefunden aber das betrifft uns mit dem MIkrotik ja nicht. Bei Frankys web gab es den Hinweis, das HTTP 1.1 eingeschaltet werden soll (mittels Registrykey) das half aber nicht und wurde wieder rückgängig gemacht.

Das altbekannte ActiveSync-Problem mit den falsch gesetzten Vererbungsrechten in der AD habe ich schon behoben, aber auch hier kein Zugriff über Mobilnetz.

Im Eventlog keine Hinweise auf Authentifizierungsfehler.

Hat jemand noch eine Idee?

Es ist der selbe Fehler im Telekom-Mobilnetz wie auch im Vodafone-Netz (Das konnten wir bisher testen)

Vielen Dank und Gruß

Content-Key: 1091270625

Url: https://administrator.de/contentid/1091270625

Ausgedruckt am: 18.09.2021 um 20:09 Uhr

Mitglied: Vision2015
Vision2015 26.07.2021 um 20:33:12 Uhr
Goto Top
moin...

sag mal, geht über das Mobilnetz OWA?

Frank
Mitglied: darodesk
darodesk 26.07.2021 um 20:39:16 Uhr
Goto Top
nein, nur über wlan.
Mitglied: darodesk
darodesk 26.07.2021 um 20:43:28 Uhr
Goto Top
Safari meldet das keine sichere Kommunikation aufgebaut werden konnte
Firefox meldet NSURLErrorDomain

Es gab irgendwo auch den Hainweis, das zu einfach verschlüsselte Serverzertifikate der Grund sein könnten, in unserem Fall sind aber alle Zertifikate mit 2048Bit verschlüsselt und auch nur ein Jahr gültig.
Mitglied: em-pie
em-pie 26.07.2021 um 20:49:12 Uhr
Goto Top
Moin,

Du schreibst .. gültiges Zertifikat.. und … auch nur ein Jahr gültig …

Ist es ein öffentliches Zertifikat, welches ihr gekauft habt oder selbst signiert?

Gruß
em-pie
Mitglied: darodesk
darodesk 26.07.2021 um 20:59:06 Uhr
Goto Top
ein gekauftes Zertifikat. (Certum)
Mitglied: Vision2015
Vision2015 26.07.2021 um 21:03:39 Uhr
Goto Top
Zitat von @darodesk:

ein gekauftes Zertifikat. (Certum)

geht es überhaubt draußen? also kannst du von einem externen XDSL anschluss dein OWA aufrufen?

Frank
Mitglied: darodesk
Lösung darodesk 26.07.2021 um 21:09:02 Uhr
Goto Top
Ja, wenn es über wlan oder festanschluss geht, kann ichmalles aufrufen. Habe mich eben mit meinem Laptop über lte eingewählt, da kann er das owa nicht aufrufen, geht das laptop über wlan geht es.
Könnte das an IPv6 liegen? ich erhalte über lte ausschliesslich ipv6 Adressen zugewiesen.
Mitglied: darodesk
darodesk 26.07.2021 um 21:31:10 Uhr
Goto Top
Habe den Fehler gefunden, es liegt an IPV6. Im Mikrotik ist v6 nicht aktiviert, wenn man sich über handy einwählt, erhalte ich auf dem Iphone eine v6 adresse aber keine v4 Adresse. Auf dem Laptop erhhalte ich beide adressen aber die verbindung wird über v6 (Traceroute) hergestellt und das kann unser Firmennetz noch nicht. Habe jetzt einen neuen APN angelegt und dort explizit nur IPv4 angekreuzt und schon funktioniert alles. Das nächste Wochenende wird dann wohl IPv6 in unserem Netzwerk sein... Danke aber für die Hilfe bisher.
Mitglied: LordGurke
LordGurke 26.07.2021 um 21:49:52 Uhr
Goto Top
So sehr ich begeistert sehe, dass Firmennetzwerke IPv6-Fähig gemacht werden - in diesem speziellen Fall liegt die Ursache nicht an der IPv6-Adresse selbst sondern dürfte vielmehr an einem fehlerhaften DNS-Eintrag liegen.
Selbst, wenn du nur eine IPv6-Adresse per LTE bekommst, kannst du weiterhin reine IPv4-Dienste erreichen. Die Zauberwörter dafür heißen "6to4" und "XLAT".
Denn sonst könntest du per LTE auch nicht diese Webseite hier (Stand Juli 2021) erreichen.

Bitte prüfe einmal, ob auf der Hostname, den du für den Aufruf von ActiveSync oder OWA verwendest, einen AAAA-Record hat und wohin er zeigt. Denn sobald ein AAAA-Record vorhanden ist, wird die Verbindung per IPv6 dahin hergestellt. Da dieser aber nunmal mangels IPv6-Einrichtung nicht auf deinen OWA zeigen kann, zeigt er irgendwo anders hin. Vielleicht zu eurem Domainhoster - jedenfalls etwas, was nicht einfach stumm in einen Timeout rennt sondern was antwortet, aber eben nicht euer OWA ist.
Nachdem du auf deinem Gerät auf einen IPv4-Only-APN gewechselt bist, gibt es keine IPv6-Konnektivität mehr - ergo wird auch keine IPv6-Verbindung mehr aufgebaut und stattdessen IPv4 verwendet.
Gleiches würde, unabhängig vom APN passieren, wenn du den fehlerhaften AAAA-Record entfernst.
Und auch wenn dein Netzwerk IPv6-Fähig ist (davon will ich dich nicht abhalten!), würde der AAAA-Record, der auf eine falsche Adresse zeigt, ja weiterhin Probleme machen.

Zusammengefasst: Prüfe mal, ob es einen AAAA-Record gibt, der da nicht sein sollte und entferne ihn ;-) face-wink
Mitglied: darodesk
darodesk 26.07.2021 um 22:02:03 Uhr
Goto Top
den gibt es tatsächlich, er zeigt auf eine v6 Adresse, soll ich den ganz entfernen oder dort die richtige v4 IP eintragen?
Mitglied: LordGurke
LordGurke 26.07.2021 um 22:02:59 Uhr
Goto Top
Ein AAAA-Record kann nur IPv6-Adressen aufnehmen - also einfach löschen.
Mitglied: darodesk
darodesk 26.07.2021 um 22:03:05 Uhr
Goto Top
ein A-Record zeigt auf die richtige V4 IP
Mitglied: LordGurke
Lösung LordGurke 26.07.2021 um 22:07:05 Uhr
Goto Top
Den A-Record kannst du auch so lassen. Nur der AAAA-Record muss weg.
Je nach TTL des Records kann es dann entsprechend lange dauern, bis das Problem wirklich weg ist.
Mitglied: darodesk
darodesk 27.07.2021 um 21:22:56 Uhr
Goto Top
Das war der Fehler!!!! Vielen Dank für deine Hilfe.
Heiß diskutierte Beiträge
question
Optimale Konfig Synology ISCSI 10GBit an Windows Server gelöst meltersVor 1 TagFrageSAN, NAS, DAS12 Kommentare

Hallo zusammen, an einem Synology Storage habe ich einen Speicherpool, Raid 6 mit 100 TB erstellt. Die 100 TB sollen als ein Gesamtvolume an einem ...

question
LAN Verkabelung, DNS Fehler 651 und anderesSabineGVor 12 StundenFrageServer6 Kommentare

Ich habe seit 1.5 Jahren Problem mit dem Internet. Provider ist A1 (Österreich), ewige Geschichte, inzwischen 700 EUR weiter und keiner kann mir helfen. Modemtausch ...

question
Installation als Standardbenutzer oder als AdministratorUserUWVor 17 StundenFrageWindows Installation4 Kommentare

Ist die Benutzerkontensteuerung aktiviert, kann auch ein Standardbenutzer Software installieren. Das Installationsprogramm, oder genauer, UAC fragt den Benutzer dann nach einem Administrator und dem Passwort ...

question
OpnSense Unbound DNS Query Forwardingit-fraggleVor 1 TagFrageDNS3 Kommentare

Hallo zusammen, bin gerade dabei die Endian Firewall gegen eine OPNSense auszutauschen. Nun habe ich das Problem, dass bei Unbound DNS Query Forwarding keine "verünftigen" ...

question
Scheduled Tasks mit MSA ausführenFestus94Vor 1 TagFrageWindows Server8 Kommentare

Hallo zusammen, ich hoffe, ihr habt ein ruhiges Wochenende. :-) Ich sitze seit ein paar Tagen vor einem Problem, bei dem ich vermutlich einfach den ...

question
Suche CPU-Tabelle als CSV oder XLS gelöst SarekHLVor 6 StundenFrageCPU, RAM, Mainboards8 Kommentare

Hallo zusammen, kennt jemand eine Tabelle möglichst aller 64Bit-PC- und Notebook-Prozessoren im CSV-, ODS oder XLS/XLSX-Format mit Bezeichnung, Anzahl der Kerne, Geschwindigkeit und vielleicht sogar ...

question
Active Directory NTDS - Settings werden nicht automatisch generiertBombadilVor 23 StundenFrageWindows Server5 Kommentare

Hallo Community :), dies ist mein erster Beitrag bzw. die erste Frage, also nur vorab so zur Info. Mein "Problem" ist aufgetaucht im Zuge des ...

tip
Clonezilla kann Image von Samba-Share nicht mountenthe-buccaneerVor 22 StundenTippLinux

Moinsen allerseits! Ich hatte ein Clonezilla-Image in einen Share /images kopiert und diesen freigegeben um ein Restore zu machen. Allerdings wollte Clonezilla das Image nicht ...