Zum Inhalt wechseln


Foto

Exchange Mails auf Handy geht nicht mehr - stehe auf dem Schlauch.


  • Bitte melde dich an um zu Antworten
18 Antworten in diesem Thema

#1 Blase

Blase

    Member

  • 453 Beiträge

 

Geschrieben 26. September 2017 - 06:47

Hallo in die Runde,

 

wir haben hier über "quick & dirty" seit Jahren unsere Exchange Mails auf die jeweiligen mobilen Endgeräte synchronisiert.

 

Und zwar gibt es schlicht bei unserem Provider (Domainfactory) eine Subdomain Weiterleitung von

 

outlook.Firma.com (wird für owa genutzt)

 

und

 

mail.Firma.com (wird als Zieladresse in den mobilen Endgeräten genutzt)

 

jeweils an die identische Adresse https://unsereFesteIP/Exchange

 

Im Router selbst gibt es dann eine Portweiterleitung des Ports 443 an unseren Exchange. Auch haben wir innerhalb unseres AD unsere eigenen (kostenlosen) Zertfikatsdienste, wo das Exchange Zertifikat erstellt worden ist.

 

Das war es auch schon - wie geschrieben "quick & dirty" - läuft sei Jahren für uns gut.

 

Was hier noch wichtig ist, ist, dass wir zwei DSL Anschlüsse bei zwei Anbietern hatten, also auch zwei öffentliche IPs. Die "alte" Leitung ist nun weg gefallen und wir haben nur noch einen VDSL Anschluss. Über die alte Leitung gingen bis dato die hier beschriebenen Aufrufe.

 

Alles, was beim Wegfall der alten Leitung und damit auch der öffentlichen IP geändert worden ist, ist die Weiterleitung beim Provider. Diese zeigt nun mit dem ansonsten identischen Aufruf eben auf die andere öffentliche IP.

 

OWA kann ich auch direkt wieder nutzen - mit der "neuen" öffentlichen IP dahinter - mit BEIDEN Aufrufen (wird ja letztlich an die selbe Adresse weiter geleitet). Aber die mobilen Endgeräte wollen partout nicht. Es sei kein Server unter der Adresse gefunden worden heißt es nur. Entsprechend werden auch keine Mails zugestellt bwz. Abgeholt. Ich habe auf einem Endgerät auch das komplette Exchange Postfach einmal heraus geschmissen und neu gemacht, ändert nichts.

 

Diese Umstellung der öffentlichen IP ist gestern passiert, falls das eine Rolle spielt.

 

Ich stehe auf dem Schlauch. OWA läuft sofort reibungslos (sowohl Outlook.Firma.com als auch mail.Firma.com), aber mobile will nicht mit dem Exchange Konto. Kann mich mal bitte wer in die richtige Richtung schubsen?

 

Gruß

Björn



#2 Sanches

Sanches

    Newbie

  • 431 Beiträge

 

Geschrieben 26. September 2017 - 07:03

Guten Morgen Björn,

 

da die Umstellung erst gestern stattfand, kann es ggf. sein, das die mobilen Geräte noch mit "alten" (gechachten) DNS Infos arbeiten.

Besteht die Möglichkeit an den mobilen Geräten mal einen PING loszuschicken, mit welchen IPs diese aktuell auflösen?

Ansonst würde ich noch ein wenig abwarten ...

 

Gruß Sebastian



#3 Nobbyaushb

Nobbyaushb

    Board Veteran

  • 2.737 Beiträge

 

Geschrieben 26. September 2017 - 08:51

Ergänzend - das kann - je nach Provider und eingestelltem TLS bis zu 48h dauern.

 

Welche Geräte sind denn das?

 

Die wir verwenden, würden ohne gültiges Zertifikat nicht syncen.

 

Warum ist das aus der eigenen CA?

 

;)


Mfg aus Bremen

 

Norbert (der andere :))

MVP Exchange Server


#4 Blase

Blase

    Member

  • 453 Beiträge

 

Geschrieben 26. September 2017 - 09:56

Hallo ihr beide,

 

vielen Dank schon einmal für das Feedback. Wenn es nur eine Frage der Zeit ist, warum komme ich dann auf das (geänderte) OWA quasi sofort drauf? Passt doch in diesem Kontext dann nicht, oder?

 

Wir sprechen von diversen iPhone und Samsung Handys - ich bin zB noch mit einem älteren iPhone 5S unterwegs. Der überwiegende Rest ist da aber schon deutlich neuer. Es kommt natürlich sowohl bei OWA, als auch beim erstmaligen Verbinden mit den mobilen Endgeräten einen Zertifikatsmeldung (die ich ja trotzdem positiv bestätigen kann). Aber grundsätzlich war das nie ein Problem.

 

Warum das aus der eigenen CA ist... Kosten als Faktor lässt du hier wohl nicht gelten, nehme ich an ;)  Weil wir es schon immer so gemacht haben, scheint mir hier auch keine erschöpfende Antwort zu sein. Wir haben es halt nie anders gemacht...

 

Gruß

Björn



#5 Nobbyaushb

Nobbyaushb

    Board Veteran

  • 2.737 Beiträge

 

Geschrieben 26. September 2017 - 10:10

Was passiert, wenn man neu synchroinisieren will? Fehler?

 

Mal ein nicht so wichtiges Gerät neu eingerichtet?

 

Kann man die URL für EAS von extern aufrufen?

 

Und Zertifikat - ja, Kosten lasse ich nicht mehr gelten, man bekommt mittlerweile für 99€ oder sogar weniger ein externes Zertifikat, z.B. bei PSW Group.

 

Ist gar nicht so schwer...

 

;)


Mfg aus Bremen

 

Norbert (der andere :))

MVP Exchange Server


#6 NorbertFe

NorbertFe

    Expert Member

  • 30.834 Beiträge

 

Geschrieben 26. September 2017 - 10:14

Oder sogar gratis bei Lets Encrypt.

Make something i***-proof and they will build a better i***.


#7 testperson

testperson

    Board Veteran

  • 4.597 Beiträge

 

Geschrieben 26. September 2017 - 10:24

Bei den iDevices ggfs.: https://www.heise.de...65-3836321.html

Ansonsten evtl. ein SHA1 Zertifikat?

 

Ich würde die Vermutung in den Raum werfen, dass es günstiger ist ein SAN Zertifikat zu kaufen und einzubinden anstatt ein Let's Encrypt Zertifikat "in Betrieb zu nehmen" ;)


Good morning, that's a nice TNETENNBA!

#8 TheCracked

TheCracked

    Board Veteran

  • 807 Beiträge

 

Geschrieben 26. September 2017 - 10:53

Ich würde die Vermutung in den Raum werfen, dass es günstiger ist ein SAN Zertifikat zu kaufen und einzubinden anstatt ein Let's Encrypt Zertifikat "in Betrieb zu nehmen" ;)

 

Weil?

Ist das so aufwändig einzurichten oder wie? Es gibt doch sogar schon Tools, die dir das immer wieder erneuern..

Also ich finde das ne feine Sache :) 



#9 NorbertFe

NorbertFe

    Expert Member

  • 30.834 Beiträge

 

Geschrieben 26. September 2017 - 12:00

Ja es ist ein "Automatismus" der eben an der STelle wieder diverse Abhängigkeiten schafft. Wenn man sich damit auskennt, kann man das tun. Ansonsten ist die BEschaffung eines SAN Zertifikats eine für ca. 27 Monate einmalige Sache. ;)

Make something i***-proof and they will build a better i***.


#10 Blase

Blase

    Member

  • 453 Beiträge

 

Geschrieben 26. September 2017 - 17:14

Hallo in die Runde,

 

ich komme leider nicht weiter.

 

Ich habe ja spaßeshalber an meinem Handy bereits das Exchange Konto raus gelöscht und versucht, es neu zu erstellen.

 

Erstelle ich es, sagt er beim Speichern, das die "Accountinformationen nicht überprüft werden konnten." Wenn ich dann in den Mails selbst abrufe, sagt er, dass "die Verbindung mit dem Server fehlgeschlagen ist".

 

Vom selben Handy aus, über den integrierten Safari Browser, komme ich aber in das OWA - mit der selben Adresse, die auch als "Server" in der E-Mail Konfiguration drin steht.

 

@ Sebastian - ping vom Handy aus? Habe hier leider keine zusätzlichen Apps oder einen iTunes Account. Der Ping von meinem PC aus (auf die Adresse mail.Firma.com) bringt die IP unseres Providers zurück. Von hier aus wird ja weiter geleitet auf die öffentliche IP unseres Routers mit einem HTTPs Aufruf und "/Exchange" dahinter. So wie es halt sein Ewigkeiten lief - bis wir die Umstellung auf eine neue IP gemacht haben.

 

Da ich ja vom Handy aus in das OWA rein komme, dürften die DNS Weiterleitungs-Probleme und TLS hier wohl nicht das Thema sein, oder?!

 

@Nobbyaushb - also wirklich nach außen hin erreichbar ist unser Exchange ja nicht. Wir schleifen lediglich den Port 443 Routerseitig zum Exchange hin durch. Der Microsoft Activity Test für Exchange ActiveSync meckert natürlich unser Zertifikat an.

 

@Testperson - ich habe noch die iOS 10er Version drauf. Und selbst wenn Version 11 im Spiel sein sollte (Mein Chef wird das zB sicherlich haben), haben wir nicht den im Artikel genannten Windows Server 2016/Exchange 2016 sondern noch einen 2008 R2 mit Exchange 2010. Das Exchange Zertifikat ist ja schnell einmal neu gemacht - Not macht ja bekanntlich erfinderisch...

 

Gruß

Björn



#11 djmaker

djmaker

    Board Veteran

  • 3.483 Beiträge

 

Geschrieben 26. September 2017 - 20:38

Wie sind denn die EAS - URLs / Hostnamen im Exchange konfiguriert? Welche firewalls sind dazwischen?


Thomas

K.Y.S.S. - Keep Your Signatur Short :)

#12 Blase

Blase

    Member

  • 453 Beiträge

 

Geschrieben 26. September 2017 - 21:01

EAS URLs? Hilf mir mal bitte, weiß grade nicht, was du genau wissen möchtest, bzw. wo ich dir das raussuchen kann.

 

Die Windows Firewall am Server selbst ist aktiv - Port 443 eingehend pauschal erlaubt. Dann gibt es noch unseren Router (=> "Gateway"), der wiederum Port 443 zum Exchange weiter leitet.



#13 Nobbyaushb

Nobbyaushb

    Board Veteran

  • 2.737 Beiträge

 

Geschrieben 26. September 2017 - 22:34

Erst mal bei Frank (wie fast immer...)

http://www.msxfaq.de...il/easdebug.htm

 

Dann

https://www.msxfaq.d...007/casurls.htm

 

Und alle URL sind dank Split-DNS intern und extern gleich, somit passt auch das extern signierte Zertifikat nach innen.

 

Und ja, man braucht nur den Port 443 zum Exchange, wenn inbound Port 25 anders geregelt ist.

 

;)


Mfg aus Bremen

 

Norbert (der andere :))

MVP Exchange Server


#14 Doso

Doso

    Board Veteran

  • 2.491 Beiträge

 

Geschrieben 27. September 2017 - 08:51

Autodiscover Einträge im externen DNS Server habt ihr angepasst? Nein? Dann nachholen.



#15 Blase

Blase

    Member

  • 453 Beiträge

 

Geschrieben 27. September 2017 - 11:00

Mahlzeit.
 
Nur um es kurz noch einmal zu erwähnen, diese Konstellation lief so seit Jahren. Die einzige "Änderung" war der Wegfall eines leider defekten LANCOM Routers, welcher nun durch eine FritzBox ersetzt worden ist. Und damit einhergehend der Umstand, dass wir unseren alten, aber immer noch aktiven, ersten DSL Anschluss mit fester IP aktuell nicht mehr aktiv nutzen, sondern nur noch unseren "neuen" VDSL Anschluss. Dieser wird nun über die FritzBox bereit gestellt. Der LANCOM Router konnte halt beide Zugänge gleichzeitig bereitstellen. Und weil aber die DNS Weiterleitungen bei unserem Provider bezüglich OWA/ActiveSync noch über die alte Leitung liefen (brauchte ja nicht viel "Bums"), wurden hier schlicht die öffentlichen IP Adressen angepasst.
 
"Mehr" wurde an der kompletten Konstellation überhaupt nicht verändert. In der FritzBox wurde dann natürlich Port 443 zum Exchange konfiguriert. OWA läuft ja auch einwandfrei. Nur dieses ActiveSync will nicht...
 
@Norbert - mail.firma.com/Microsoft-Server-ActiveSync bringt mich sowohl von einem PC aus, als auch vom mobilen Endgerät in die klassische OWA Eingabemaske (EDIT - vorher "meckert" er natürlich das Zertifikat an). Authentifiziere ich mich hier, bekomme ich im Anschluss die Meldung, dass die Seite nicht gefunden worden ist (HTTP 400) - was ja aber, wenn ich das richtig verstanden habe, "ok" ist, oder?

 

In den LOGs des IIS habe ich diverse Einträge á la (gekürzt):

 

2017-09-03 23:58:12 192.168.100.20 POST /Microsoft-Server-ActiveSync/default.eas User=ADBenutzer&DeviceId=BLABLABLA&DeviceType=iPhone&Cmd=Ping&Log=V141_Fid:13_Sk:XXXXXXXX_UserInfo:UserMailbox_S1_Mbx:SRVEXCHANGE.Firma.local_Dc:domserv01.Firma.local_Throttle0_Budget:(D)Conn%3a1BLABLABLA2cPolicy%3aDefaultThrottlingPolicy%5Ff78439a0-6a60-42a3-8172-8075782a181e%2cNorm_ 443 Firma\ADBenutzer XXX.182.XXX.163 Apple-iPhone7C2/1406.89 200 0 64 600009

 

Auch habe ich "Errors" im Sinne von (gekürzt):

 

2017-09-03 22:44:28 192.168.100.20 POST /Microsoft-Server-ActiveSync/default.eas User=ADBenutzer&DeviceId=XXXXXXXXXX&DeviceType=iPhone&Cmd=Ping&Log=V141_Fid:31_Sk:XXX:BLABLABLA_S3_Error:PingCollisionDetected_Mbx:SRVEXCHANGE.Firma.local_Throttle0_Budget:(D)Conn%XXXXXXXX%2f0%2cPolicy%3aDefaultThrottlingPolicy%5Ff78439a0-6a60-42a3-8172-8075782a181e%2cNorm%5bResources%3a(Mdb)Mailbox+Database+0789780805(Health%3a-1%25%2cHistLoad%3a0)%2c%5d%3bGC%3a3%2f2%2f1%3b_ 443 Firma\ADBenutzer XXX.182.XXX.163 Apple-iPhone9C4/1407.60 200 0 64 358998

 

Wobei die "PingCollisionDetected" Meldung wohl auch "ok" sein soll, nachdem was ich diesbezüglich bei Google gefunden habe.

 

Was heißt das denn generell? Dass zumindest diese beiden Endgeräte den Weg hin zum ActiveSync finden (weil entsprechende Protokolleinträge vorhanden sind)?

 

Ich stöbere noch weiter - bin aber wirklich dankbar für jeden weiteren Kommentar diesbezüglich. Wie geschrieben - was mich halt so wundert, ist, dass bis auf die oben genannte Umstellung eben nichts verändert worden ist. In der Theorie sollte das doch wirklich einfach sein - DNS Weiterleitung auf die andere öffentliche IP (analog, wie es eben vorher auch getan wurde), Portweiterleitung 443 im neuen Router in "fertig". So viel zur "Theorie"....

 

Gruß

Björn


Bearbeitet von Blase, 27. September 2017 - 11:02.