krisk
Goto Top

Zertifikat für ActiveSync nach Migration auf Exchange2010

Hallo,

ich weiß, dass es ein Thema ist, welchen ausführlich ausdiskutiert wurde aber ich komme irgendwie nicht weiter. Habe auch schon mehrere Stunden gelesen aber es bringt mich nicht weiter.

Ich habe gestern einen SBS2003 auf Server2012 mit Exchange2010 migriert und habe nun das Problem, dass man keine Verbindung mit einem IPhone über ActiveSync bekommt.
Ein weiterer Domaincontroller mit Server2012 ist auch schon installiert.

Nun zu meiner Frage:
Der SBS bleibt noch ca.2 Wochen im Netz, da ich das an einem Wochenende nicht geschafft habe. Woher nehme ich jetzt das Zertifikat?

1.Muss ich das vom SBS nehmen.?

oder

2.Muss ich ein neues in Exchange2010 erstellen und dies über Active Directory CA einreichen?


Danke Gruß KrisK

Content-ID: 223405

Url: https://administrator.de/forum/zertifikat-fuer-activesync-nach-migration-auf-exchange2010-223405.html

Ausgedruckt am: 26.12.2024 um 15:12 Uhr

loonydeluxe
loonydeluxe 01.12.2013 aktualisiert um 16:18:59 Uhr
Goto Top
Das kommt drauf an... du sprichst aber sicher von einem selbstsignierten Zertifikat?

Zunächst sollte das Telefon oder ein beliebiger Webbrowser unter dem konfigurierten Hostnamen auf OWA zugreifen können, bei SSL mit entsprechender Zertifikatswarnung. Stelle erstmal sicher, dass du dann auch da rauskommst, wo du hinwillst. Kontrollier auch mal die Site-Bindungen im IIS am Exchange.
Sofern die Exchange-Webdienste öffentlich erreichbar sein sollen, kannst du hier mal testen, ob alles ok ist: https://testconnectivity.microsoft.com/

Sofern all das funktioniert, kannst du dir Gedanken über das tatsächlich verwendete Zertifikat machen, z. B. ein selbstsigniertes vom Exchange (dann wird das Zertifikat auf alle Geräte verteilt), eine eigene CA (dann wird das CA-Zertfikat verteilt) oder ein gekauftes von VeriSign oder ähnlich (muss in der Regel nicht verteilt werden, da das CA-Zertifikat auf den Endgeräten vorhanden ist).

Denk auch dran, dass am Exchange 2010 zwei Hostnamen benötigt werden, der Hostname, mit dem auf die Dienste zugegriffen wird sowie ein zweiter Hostname für Autodiscover. Ergo brauchst du ein Zertifikat, was auf zwei Namen hört (SAN-Zertifikat) oder du musst im DNS ein Autodiscover-Redirect zum Hostnamen der Webdienste einrichten.
KrisK
KrisK 01.12.2013 um 16:32:52 Uhr
Goto Top
Hallo,

das ging ja schnell face-smile

Ja es handelt sich um ein selbstsigniertes Zertifikat. Die Verbindung habe ich auch schon mit ttps://testconnectivity getestet und bekomme die Fehlermeldung:
Der Hostname XXX entspricht keinem der im Serverzertifikat CN=Exchange02 gefundenen Namen.

Danke

Gruß KrisK
wiesi200
wiesi200 01.12.2013 um 16:34:04 Uhr
Goto Top
Hallo,

Also rein von der Verbindung her ist das Zertifikat nicht schuld. Du bekommst einfach ne Sicherheitswarnung. Bei Windows Mobile war das noch anders.

Schau dir mal den Router an. Sprich Portweiterleitung.
KrisK
KrisK 01.12.2013 um 16:40:19 Uhr
Goto Top
OK das ist ja schon mal gut zu wissen face-smile

Mein Problem ist, dass ich den mit dem IPhone nur telefonisch erreiche und er selber die Einstellungen vornimmt. Die Einstellungen werden akzeptiert aber er synchronisiert nicht.
Dachte es liegt am Zertifikat.


Danke
wiesi200
wiesi200 01.12.2013 um 16:43:48 Uhr
Goto Top
Zitat von @KrisK:

OK das ist ja schon mal gut zu wissen face-smile

Mein Problem ist, dass ich den mit dem IPhone nur telefonisch erreiche und er selber die Einstellungen vornimmt. Die Einstellungen
werden akzeptiert aber er synchronisiert nicht.
Dachte es liegt am Zertifikat.


Danke

Du erreicht den Exchange nur Telefonisch?

Klinik dich mal auf den OWA und schau ob der geht.
loonydeluxe
loonydeluxe 01.12.2013 aktualisiert um 16:45:47 Uhr
Goto Top
Hast du mal versucht, am Server selbst, oder mit einem Client im Netzwerk, oder mit einem externen Client, sei es PC oder sonstwas fürn Telefon, den OWA zu erreichen?

Edit
Sry, war zu langsam. Aber wenn ich mit dem Exchange nur telefonieren kann, hängt bestimmt Unified Messaging dazwischen face-big-smile
KrisK
KrisK 01.12.2013 aktualisiert um 16:53:33 Uhr
Goto Top
face-smile Du erreichst den Exchange nur Telefonisch? Natürlich meine ich den User mit dem IPHONE

Ein bisschen Humor kann ich gut gebrauchen!

OWA funktioniert übrigens... --> auch Android schafft es face-smile

Gruß KK
loonydeluxe
loonydeluxe 01.12.2013 um 16:58:40 Uhr
Goto Top
Dann kann sich der Benutzer vom iPhone ja zunächst mal auf die OWA-Seite begeben (hoffentlich mit httpS) und dann schauen, ob er eine Zertifikatsfehlermeldung bekommt.
wiesi200
wiesi200 01.12.2013 um 17:00:37 Uhr
Goto Top
Also ein funktionierender OWA ist ja schon die halbe Miete.
Wenn du dich über ein Android per Actic Sync auf den Exchange binden kannst, dann muss auch dein IPhone funktionieren.
Der soll mal den Exchange Account löschen falls nicht schon passiert. Aber tendenziell sag ich der User macht einfach nein Fehler.
KrisK
KrisK 01.12.2013 aktualisiert um 17:06:03 Uhr
Goto Top
Habe da was gefunden:

Exchange ActiveSync verfügt nicht über ausreichende Berechtigungen zum Erstellen des Containers "l. This error is not retriable. Additional information: Zugriff verweigert.
Active directory response: 00000005: SecErr: DSID-03151E07, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0
".
Stellen Sie sicher, dass der Benutzer über geerbte Berechtigungen verfügt, die für "domain\Exchange Servers" erteilt wurden, um für Objekte vom Typ "msExchActiveSyncDevices" die Befehle "Inhalte auflisten", "Untergeordnetes Objekt erstellen" und "Untergeordnetes Objekt löschen" auszuführen, und dass der Benutzer über keine verweigerten Berechtigungen verfügt, die diese Vorgänge blockieren.

Details: %3

Und ich glaube ich habe die Lösung:

http://support.microsoft.com/kb/2579075/de
loonydeluxe
loonydeluxe 01.12.2013 um 17:07:47 Uhr
Goto Top
KrisK
KrisK 01.12.2013 aktualisiert um 17:46:17 Uhr
Goto Top
Danke

Auf die Schaltfläche “Erweitert” klicken. Dann den Haken bei “Vererbbare Berechtigungen des übergeordneten Objektes einschließen” setzen.

--> Das musste ich für die Migration von zwei Postfächern auch aktivieren face-smile

Ich glaube das war es !!!!!!


So jetzt muss ich nur noch gucken warum ich die 500 migrierten öffentlichen Ordner nicht in Outlook angezeigt bekomme face-smile

VIELEN DANK FÜR DIE UNTERSTÜTZUNG IN ECHTZEIT!!!!!


EDIT--> Das war es wirklich!!!! User bekommt Mails