masterhinz
Goto Top

Zugriff auf ActiveSync über TMG funktioniert nicht

Hallo zusammen,

Konstellation: Exchange1 (Hub, CA, PF) - ET1 (Edge Transport auf TMG Server)

Gestern habe ich so halb erfolgreich die Migration von Exchange 2003 nach 2010 vollzogen. Mir fehlt allerdings noch der Zugriff auf ActiveSync.

In TMG habe ich bereits ActiveSync veröffentlicht und der ET1 lauscht auch auf Port 443.

Allerdings kriege ich um's verrecken keine emails.

Das Iphone meckert: Accountinformationen konnten nicht überprüft werden.

Darauf hin habe ich den MS ISA Server Best Practices Analyzer Tool laufen lassen... der spuckt mir u.a. folgenden Kritischen Fehler aus:

Events that triggered the alert:
21.11.2011 14:44:55 - Forefront TMG konnte keine SSL-Verbindung mit dem veröffentlichten Server EXCHANGE1.4com.de auf Port 443 herstellen, weil der Aussteller des SSL-Serverzertifikats, das der veröffentlichte Server verwendet, nicht vertrauenswürdig ist. Überprüfen Sie, ob das Stammzertifikat für die Zertifizierungsstelle (CA), die das Zertifikat ausgegeben hat, auf dem Forefront TMG-Computer installiert ist. Falls das Problem weiterhin besteht, wenden Sie sich an den Webserveradministrator.

Leider kenne ich mich mit Zertifikaten nicht so gut aus.

Ich habe darauf hin das Zertifikats Snap In auf dem ET1 geöffnet und habe das Eigene Zertifikat von Exchange1 in den Zertifikatsordner "Eigene Zertifikate" auf ET1 kopiert.

Allerdings brachte das keine Abhilfe.

die beiden Links habe ich mir auch schon durchgelesen:
http://www.msxfaq.net/howto/e2k7ssl.htm
http://www.msxfaq.net/signcrypt/sancert.htm

Leider nicht daraus schlau geworden face-sad

OWA ist bei uns übrigens deaktiviert.

hoffe auf tipps! Danke im Vorraus

Content-ID: 176591

Url: https://administrator.de/contentid/176591

Ausgedruckt am: 22.11.2024 um 03:11 Uhr

Criemo
Criemo 21.11.2011 um 16:24:43 Uhr
Goto Top
Zitat von @masterhinz:
Hallo zusammen,

Konstellation: Exchange1 (Hub, CA, PF) - ET1 (Edge Transport auf TMG Server)

Gestern habe ich so halb erfolgreich die Migration von Exchange 2003 nach 2010 vollzogen. Mir fehlt allerdings noch der Zugriff
auf ActiveSync.

In TMG habe ich bereits ActiveSync veröffentlicht und der ET1 lauscht auch auf Port 443.

Allerdings kriege ich um's verrecken keine emails.

Das Iphone meckert: Accountinformationen konnten nicht überprüft werden.

Darauf hin habe ich den MS ISA Server Best Practices Analyzer Tool laufen lassen... der spuckt mir u.a. folgenden Kritischen
Fehler aus:

Events that triggered the alert:
21.11.2011 14:44:55 - Forefront TMG konnte keine SSL-Verbindung mit dem veröffentlichten Server EXCHANGE1.4com.de auf Port
443 herstellen, weil der Aussteller des SSL-Serverzertifikats, das der veröffentlichte Server verwendet, nicht
vertrauenswürdig ist. Überprüfen Sie, ob das Stammzertifikat für die Zertifizierungsstelle (CA), die das
Zertifikat ausgegeben hat, auf dem Forefront TMG-Computer installiert ist. Falls das Problem weiterhin besteht, wenden Sie sich an
den Webserveradministrator.

Leider kenne ich mich mit Zertifikaten nicht so gut aus.

Ich habe darauf hin das Zertifikats Snap In auf dem ET1 geöffnet und habe das Eigene Zertifikat von Exchange1 in den
Zertifikatsordner "Eigene Zertifikate" auf ET1 kopiert.

Allerdings brachte das keine Abhilfe.

die beiden Links habe ich mir auch schon durchgelesen:
http://www.msxfaq.net/howto/e2k7ssl.htm
http://www.msxfaq.net/signcrypt/sancert.htm

Leider nicht daraus schlau geworden face-sad

OWA ist bei uns übrigens deaktiviert.

hoffe auf tipps! Danke im Vorraus


hallo,
also irgendwie gibt es schon ein zertifikat das besagt die fehlermeldung, das einzige was noch fehlt ist dass du das root CA auf dem Mailserver und der TMG hinzufügst... dann sollte es Funktionieren.

viele Grüße aus aachen
masterhinz
masterhinz 21.11.2011 um 16:36:25 Uhr
Goto Top
Hi criemo,

danke für die Antwort. Ich habe das Zertifikat vom Exchange 1 wie im Bild zu sehen kopiert. Muss ich noch irgendwas übernehmen? Denn Abhilfe hat das nicht geschaffen..

Bild: http://postimage.org/image/j0e29kia9/
Criemo
Criemo 21.11.2011 um 16:46:37 Uhr
Goto Top
Das Problem ist das Zertifikat was du da hast ist nicht das root Zertifikat.

du musst dir das Root zertifikat davon ziehen.

hab da was gefunden was dir die Grundlagen erklärt speziel für EAS.

http://www.msxfaq.de/mobil/eascert.htm
masterhinz
masterhinz 21.11.2011 um 16:55:27 Uhr
Goto Top
Wärst du vielleicht so freundlich mir kurz zu erklären wie ich mir das root Zertifikat wo ziehe? Ich bin wirklich nicht lese-faul aberdie Geschäftsführung sitzt mir im Nacken und die Bereitschaft muss heute auf die eMails noch zugreifen können... das heißt ich habe ein ernstes Problem, wenn das nicht sehr bald wieder läuft. face-confused
Criemo
Criemo 21.11.2011 um 17:06:15 Uhr
Goto Top
Zitat von @masterhinz:
Wärst du vielleicht so freundlich mir kurz zu erklären wie ich mir das root Zertifikat wo ziehe? Ich bin wirklich nicht
lese-faul aberdie Geschäftsführung sitzt mir im Nacken und die Bereitschaft muss heute auf die eMails noch zugreifen
können... das heißt ich habe ein ernstes Problem, wenn das nicht sehr bald wieder läuft. face-confused



wie hast du das zertifikat erstellt was du da hast?!
über eine zertifikatsstelle, denke ich mal oder?!
wenn ja, kannste in ihr dein zertifikat raussuchen und dann mit rechter maustaste sagen rootzertifikat erstellen.
masterhinz
masterhinz 21.11.2011 um 17:13:46 Uhr
Goto Top
Ne, das ist leider kein offizielles zertifikat über eine Zertifizierungsstelle... das ist das Standardzertifikat, welches angelegt wird.

siehe bild http://postimage.org/image/gatyaf4pn/

aber das muss doch erstmal ohne offizielles Zertifikat auch irgendwie möglich sein?
filippg
filippg 21.11.2011 um 21:34:55 Uhr
Goto Top
Hallo,

ist dein TMG Domainmember? Dann sollte er den selbsterstellten Zertifikaten auch vertrauen. Okay, es ist ein Exchange Edge Transport mit darauf installiert, dann wird er wohl kein Domainmember sein. Hast du dich schlaugemacht, ob TMG und ET auf einem Server überhaupt funktionieren? Authentifizierung der Nutzer am TMG wird auch nicht unbedingt leichter, wenn der kein Domain Member ist. Aber okay, zurück zum Zertifikat:
Dein Screenshot zeigt den Exchange1. Dass das Zertifikat wenn dann ET1 installiert werden muss ist dir klar, oder? Dass es unter dem Local Service-Konto installiert werden muss scheinst du zu wissen. Die beiden Pfeile aus deiner Grafik (als auf Vertrauenswürdige Stammz... vertrauenswürdige Herausg...) sehen schonmal gut aus. Stelle auch sicher, dass es nicht noch bei weiteren liegt.
Ich würde dir empfehlen, erstmal OWA zum fliegen zu kriegen, und wenn das geht, das wieder aus und dafür EAS an. Das Debuggen ist mit OWA nämlich deutlich einfacher als mit EAS. Hilfreich könnte für dich späterhin auch testexchangeconnectivity.com sein.

Gruß

Filipp
masterhinz
masterhinz 09.12.2011 um 11:23:51 Uhr
Goto Top
Wir haben ein offizielles Zertifikat installiert, und damit hat es dann funktioniert... danke für Eure hilfe face-smile