darkman2001
Goto Top

Probleme IPHONE und Windows SBS 2008 von extern zu erreichen

Hallo Ihr Lieben ,
ich hoffe ihr könnt mir bei diesem Problem helfen weil irgendwie finde ich wohl die Nadel im Heuhaufen nicht bei diesem Problem. Ich freue mich schon jetzt auf Tips und hoffe wir bekommen das Problem irgendwie hin.

back-to-topVorhanden Konfigurations- und. Netzwerkübersicht


System: Windows 2008 SBS Premium
Umgebung: Virtualisiertes System
Router im gesamten Netzwerk: LANCOM


Folgendes Problem:

Wenn ich Intern den Exchange über https://servername/owa oder https://servername/exchange aufrufe klappt alles wunderbar und ich kann mich mit dem jeweiligen Benutzeraccount anmelden.
Im Lancom habe ich Port 80 und 443 auf den SBS Server geroutet.

Jetzt bekomme ich allerdings folgendes Problem:

Die Benutzer wollen mit den IPHONES auf den Exchange zugreifen können. OWA und Exchange sind von aussen per https://festeIP/owa oder https://festeIP/exchange nicht erreichbar: Folgende Meldung erscheint:

404 Not Found
Die von Ihnen angeforderte URL ist auf diesem Server nicht verfügbar

Wenn ich jetzt versuche nach Eingabe im IPHONE auf dem Exchange zuzugreifen passiert folgendes:

Alle Daten im IPHONE sind wie folgt eingetragen:

Email: mail@domain.de
Server: festeIP
Domain: Domainname
Benutzername: Domainname\Benutzer (auch schon ohne Domain vorweg probiert)
Passwort: Passwort

Wenn ich jetzt auf Weiter gehe bekomme ich folgende Fehlermeldung:

Exchange: Account Informationen konnten nicht geprüft werden.

Und jetzt ist mein Latein echt am Ende. Hat jemand von Euch eine Idee oder diese Konstelation selber am laufen? Über Hilfe bin ich sehr Dankbar.

Content-ID: 160316

Url: https://administrator.de/contentid/160316

Ausgedruckt am: 22.11.2024 um 21:11 Uhr

keksdieb
keksdieb 07.02.2011 um 20:44:33 Uhr
Goto Top
Moin Darkman...

Prüf mal auf dem SBS die Sicherheitseinstellungen im IIS
Dort gibt es einen Pool für den OWA Zugriff.
Unter Eigenschaften --> Sicherheit --> Zugriff sind eventuell Zugriffe aus dem Netzwerk verboten.

(Hört sich erstmal doof an, aber der SBS ist da echt restriktiv)

Der SBS hat im Firewallbereich auch so seine netten Einstellungen, diese solltest du auch mal prüfen!

Falls alles nicht geht, bitte noch mal melden...

Gruß Keks
keksdieb
keksdieb 07.02.2011 um 20:46:54 Uhr
Goto Top
Ach ja,

die Firewall vom Lancom Router würde ich auch nochmal checken...
Einfach den Port Forwarden reicht nicht!!!

Der Port muss auch durch die Firewall dürfen face-smile
laster
laster 07.02.2011 um 20:51:22 Uhr
Goto Top
Hallo,

nachdem Du alle eingestellt hast, versuch erst einmal mit nem normalen Browser https://festeIP/owa zu öffnen. Wenn das geht, versuchst Dus mit dem iPhone.

vG
LS
Darkman2001
Darkman2001 07.02.2011 um 20:54:08 Uhr
Goto Top
Hallo Keks,

also eingetragen sind im IIS 7 wie folgt unter:

Servername / SBS Web Aplications / owa unter Berechtigungen: Authentifizierte Benutzer, System, Administrator, und der neue Adminaccount. Auch wenn ich hier einen Benutzer hinzufüge der drauf zugreifen soll in diesem Fall der Chef bekomme ich die selben Rückmldungen beim IPHONE!
Darkman2001
Darkman2001 07.02.2011 um 20:55:08 Uhr
Goto Top
Die Ports werden meines erachtens durch geroutet, Port 3389 geht ja auch...-)..ist aber wieder raus jetzt und die VPN Ports funktionieren auch alle...-)
Darkman2001
Darkman2001 07.02.2011 um 20:58:14 Uhr
Goto Top
Tja.. und dort habe ich leider noch immer die selbe Problematik...! Spasseshalber habe ich mal "jeder" eingetragen (wird natürlich demsntsprechend an die Benutzer angepasst) aber leider noch immer über https://servername/owa das selbe Probleme.
Darkman2001
Darkman2001 07.02.2011 um 20:59:06 Uhr
Goto Top
DIE SBS - Firewall ist deaktiviert mal so am Rande..!
Kirschi
Kirschi 08.02.2011 um 08:34:14 Uhr
Goto Top
Moin,
wir haben zwar keinen SBS sondern ein migriertes System auf Exchange 2010 und W2K8 R2 aber die Benutzer (ich face-smile ) können von außen auf den Exchange. Aber nur bei vorher aufgebautem VPN, da unser Netz von außen nicht direkt erreichbar sein soll. Bei Server und Domain stehen bei mir deshalb die internen Werte (IP/Domain).

Paßt denn alles mit den Zertifikaten? Das mußt du doch beim ersten Verbinden am iphone abnicken.

Gruß
Andreas
Darkman2001
Darkman2001 08.02.2011 um 11:18:01 Uhr
Goto Top
Hallo Andreas,

normalerweise würde ich das ja auch so machen aber die Benutzer sind ware DAU´s und wenn ich da jetzt sage die sollen vorher noch eine VPN Verbindung aufbauen dann werde ich wohl gewürgt. Aber mal am Rande,
ich habe Zugang via VPN über PC, über IPHONE bekomme ich nur eine Ablehung wegen falschen Kennwort... warum auch immer... obwohl es die selben Daten sind.. ich denke mal es liegt an den Verschlüsselungen im IPHONE und den Lancom Routern..! Weitere IDEE?
keksdieb
keksdieb 08.02.2011 um 12:58:58 Uhr
Goto Top
Moin moin

Kann es sein, dass du mit deinem VPN PC den Lancom Client zur VPN Verbindung nutzt?
Was für ein VPN ist generell eingerichtet? IPSEC, PPTP, usw.
Das kann das IPhone meines Wissens nicht face-smile

Jetzt mal zu dem Problem IPhone und Exchange Sync

Kann es sein, dass das NAT nicht vernünftig eingerichtet ist? Also auf dem Lancom Router?

Wenn du telnet auf den Port und die öffentliche IP machst, geht das?

Gruß Keks
keksdieb
keksdieb 08.02.2011 um 13:02:02 Uhr
Goto Top
Ach so, nur mal als Hinweis...

du trägst hoffentlich nicht die URL beim IPhone ein, sondern nur die IP Adresse!?

Also nicht https:\\oeffentlicheip\owa sondern oeffentlicheip
Darkman2001
Darkman2001 08.02.2011 um 18:01:16 Uhr
Goto Top
Ja..ich trage die IP Adresse ein... *lach*..face-smile
Darkman2001
Darkman2001 08.02.2011 um 18:11:48 Uhr
Goto Top
Hallo Keks,

Nein..es wird kein Client/VPN-Tool von Lancom benutzt, die normale PPTP - Verbindung unter Windows, Datenverschlüsselung ist auf Optional mit CHAP Protokoll. Alles andere ist aus bzw. bei Windows nicht angehakt.

IPHONE kann PPTP, L2TP und IPSec.. mal so am Rande laut Einstellungen!

Also ich Persönlich würde ja gerade sagen NAT läuft richtig.. sonst wäre ich Dankbar für einen TIP um das zu testen oder ausszuschließen ...-)

Telnet internern z.B. über: "telnet servername 443" und Port "80" bzw. von aussen über "telnet festeIP Port" geht so weit auch. Kommt zumindest keine Fehlermeldung und der Cursor blinkt vor sich hin.
keksdieb
keksdieb 08.02.2011 um 22:35:09 Uhr
Goto Top
hmm...

IIS läuft...
NAT funktioniert
Portforwarding läuft...

So langsam geht mir das Latein aus, hast du schon ins Eventlog geschaut?
Steht da eventuell was über den Zugriff drinn?

Gruß Keks
Darkman2001
Darkman2001 08.02.2011 um 22:46:02 Uhr
Goto Top
Also da ist alles in Ordnung ... ausser im Punkt Sicherheit kommt öfters mal das, kann aber bnicht zu Ordnen ob das zu dem VPN gehört weil es öfters aufschlagen tut.

Protokollname: Security
Quelle: Microsoft-Windows-Security-Auditing
Datum: 08.02.2011 22:43:14
Ereignis-ID: 4625
Aufgabenkategorie:Anmelden
Ebene: Informationen
Schlüsselwörter:Überwachung gescheitert
Benutzer: Nicht zutreffend
Computer: SBSSERVER.domain.local
Beschreibung:
Fehler beim Anmelden eines Kontos.

Antragsteller:
Sicherheits-ID: SYSTEM
Kontoname: SBSSERVER$
Kontodomäne: domänenname
Anmelde-ID: 0x3e7

Anmeldetyp: 3

Konto, für das die Anmeldung fehlgeschlagen ist:
Sicherheits-ID: NULL SID
Kontoname: SBSSERVER$
Kontodomäne:

Fehlerinformationen:
Fehlerursache: Unbekannter Benutzername oder ungültiges Kennwort.
Status: 0xc000006d
Unterstatus:: 0xc0000064

Prozessinformationen:
Aufrufprozess-ID: 0x11ac
Aufrufprozessname: C:\Program Files\Microsoft\Exchange Server\Bin\Microsoft.Exchange.Search.ExSearch.exe

Netzwerkinformationen:
Arbeitsstationsname: SBSSERVER
Quellnetzwerkadresse: -
Quellport: -

Detaillierte Authentifizierungsinformationen:
Anmeldeprozess: Advapi
Authentifizierungspaket: Negotiate
Übertragene Dienste: -
Paketname (nur NTLM): -
Schlüssellänge: 0

Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde.

Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe".

Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk).

Die Felder für die Prozessinformationen geben den Prozess und das Konto an, für die die Anmeldung angefordert wurde.

Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. Der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben.

Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung.
- Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren.
- Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an.
- Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0.
Ereignis-XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-a5ba-3e3b0328c30d}" />
<EventID>4625</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>12544</Task>
<Opcode>0</Opcode>
<Keywords>0x8010000000000000</Keywords>
<TimeCreated SystemTime="2011-02-08T21:43:14.976Z" />
<EventRecordID>6502435</EventRecordID>
<Correlation />
<Execution ProcessID="832" ThreadID="2152" />
<Channel>Security</Channel>
<Computer>SBSSERVER.domain.local</Computer>
<Security />
</System>
<EventData>
<Data Name="SubjectUserSid">S-1-5-18</Data>
<Data Name="SubjectUserName">SBSSERVER$</Data>
<Data Name="SubjectDomainName">domainname</Data>
<Data Name="SubjectLogonId">0x3e7</Data>
<Data Name="TargetUserSid">S-1-0-0</Data>
<Data Name="TargetUserName">SBSSERVER$</Data>
<Data Name="TargetDomainName">
</Data>
<Data Name="Status">0xc000006d</Data>
<Data Name="FailureReason">%%2313</Data>
<Data Name="SubStatus">0xc0000064</Data>
<Data Name="LogonType">3</Data>
<Data Name="LogonProcessName">Advapi </Data>
<Data Name="AuthenticationPackageName">Negotiate</Data>
<Data Name="WorkstationName">SBSSERVER</Data>
<Data Name="TransmittedServices">-</Data>
<Data Name="LmPackageName">-</Data>
<Data Name="KeyLength">0</Data>
<Data Name="ProcessId">0x11ac</Data>
<Data Name="ProcessName">C:\Program Files\Microsoft\Exchange Server\Bin\Microsoft.Exchange.Search.ExSearch.exe</Data>
<Data Name="IpAddress">-</Data>
<Data Name="IpPort">-</Data>
</EventData>
</Event>
keksdieb
keksdieb 10.02.2011 um 15:32:53 Uhr
Goto Top
hmm...

ich kann pauschal erstmal keinen Fehler erkennen...

Vielleicht kann man ja mal eine Netviewer Sitzung oder so etwas machen, dann würde ich mir das anschauen...
Man sieht mit Zwei Augen doch mehr als mit einem ;)
Darkman2001
Darkman2001 10.02.2011 um 19:43:47 Uhr
Goto Top
Leider bis jetzt keine Lösung ... kann nicht irgend jemand helfen? Mir gehen die Antworten und Foren aus zum Nachschlagen ...-(
Darkman2001
Darkman2001 23.02.2011 um 09:51:59 Uhr
Goto Top
Fehler wurde gefunden! IIS7 "Fehlerhaftes Update" war es. Nach dem dieses deinstalliert wurde ging alles. LANCOM Portforwarding lief so weit auch einwandfrei auf Port 443 durch, wir dachten ja es lag daran.