klixer

Bei den Nutzern, bei denen es nicht funktionierte war das Anmeldekonto nur für einen bestimmten PC freigegeben.

Als ich den Exchange Server mit dazu genommen habe, funktionierte alles.

Ist das so keorrekt oder müsste es auch ohnen diese Einstellung funktionieren?

Beim iPhone 3GS mit iOS 3.x war diese Einstellung nicht notwendig.

Grüße Klixer

Portforwarding oder Webveröffentlichung? Ich würde letzteres empfehlen.

Es ist eine Webveröffentlichung.

Leg bitte einen neuen Testuser mit Postfach an und geh auf:

https://www.testexchangeconnectivity.com/

Was bekommst du dort bei dem entsprechenden Test angezeigt?

Der Test läuft problemlos durch.

ExRCA is testing Exchange ActiveSync.

Exchange ActiveSync was tested successfully.

Test Steps

Attempting to resolve the host name sww-ex1.dyndns.org in DNS.

Host successfully resolved

Additional Details

IP(s) returned: 80.152.229.170

Testing TCP Port 443 on host sww-ex1.dyndns.org to ensure it is listening and open.

The port was opened successfully.

ExRCA is testing the SSL certificate to make sure it's valid.

The certificate passed all validation requirements.

Test Steps

The certificate name is being validated.

Successfully validated the certificate name

Additional Details

Found hostname sww-ex1.dyndns.org in Certificate Subject Common name

The certificate date is being confirmed to ensure the certificate is valid.

Date validation passed. The certificate hasn't expired.

Additional Details

Certificate is valid: NotBefore = 11/2/2010 9:44:27 AM, NotAfter = 11/2/2011 9:54:27 AM"

The IIS configuration is being checked for client certificate authentication.

Client certificate authentication wasn't detected.

Additional Details

Accept/Require Client Certificates not configured.

Testing Http Authentication Methods for URL https://sww-ex1.dyndns.org/Microsoft-Server-Activesync/

The HTTP authentication methods are correct.

Additional Details

Found all expected authentication methods and no disallowed methods. Methods Found: Basic

An ActiveSync session is being attempted with the server.

Testing an ActiveSync session completed successfully

Test Steps

ExRCA is attempting to send the OPTIONS command to the server.

OPTIONS response was successfully received and is valid

Additional Details

Headers received: Connection: Keep-Alive

Pragma: no-cache

Public: OPTIONS, POST

Allow: OPTIONS, POST

MS-Server-ActiveSync: 6.5.7638.1

MS-ASProtocolVersions: 1.0,2.0,2.1,2.5

MS-ASProtocolCommands: Sync,SendMail,SmartForward,SmartReply,GetAttachment,GetHierarchy,CreateCollection,DeleteCollection,MoveCollection,FolderSync,FolderCreate,FolderDelete,FolderUpdate,MoveItems,GetItemEstimate,MeetingResponse,ResolveRecipients,ValidateCert,Provision,Search,Notify,Ping

Content-Length: 0

Date: Tue, 02 Nov 2010 12:24:10 GMT

Server: Microsoft-IIS/6.0

X-Powered-By: ASP.NET

ExRCA is attempting the FolderSync command on the Exchange ActiveSync session.

The FolderSync command completed successfully.

Additional Details

Number of Folders: 10

ExRCA is attempting the initial sync to the Inbox folder. This initial sync won't return any data.

The Sync command completed successfully.

Additional Details

Status: 1

ExRCA is attempting to test the GetItemEstimate command for the Inbox folder.

Successfully received GetItemEstimate Response from Server

Additional Details

Estimate: 1 messages

Bei dem betshenden Nutzer bekomme ich folgende Meldungen.

... Methods Found: Basic

An ActiveSync session is being attempted with the server.

Errors were encountered while testing the ActiveSync session

Test Steps

ExRCA is attempting to send the OPTIONS command to the server.

Testing of the OPTIONS command failed. For more information, see Additional Details.

Additional Details

A Web Exception occurred because an HTTP 401 - Unauthorized response was received from Unknown

Hast du die FBA am Exchange deaktiviert?

Ist und war deaktiviert.

Der vorgeschlagene Artikel brachte leider keinen Erfolg.

Gruss klixer

Hallo,

folgende Problematik besteht bei uns.

Systemumgebung:

Frontend-Server: MS ISA 2004

Exchange Server: MS Exchange 2003 SP 2 (aktuelles Patchlevel)

Outlook: MS Outlook 2007

iPhone: iPhone 4 und iOS 4.1

Verbindung iPhone + Exchange über Firewall/Router (feste IP) - Port-Forwarding auf MS ISA 2004 mit SSL - MS Exchange 2003 SP2 mit Exchange Active-Sync

Die Exchange Features sind aktiviert.

Per iPhone-Konfigurationsprogramm (3.1.0.256) wird das Konfigurationsprofil auf das iPhone verteilt.

Konfigurationsprofil:

MS Exchange-Server: 80.152.229.170 (öffentliche IP)

SSL verwenden: Ja

Domäne: xxx

Benutzer: xxx

E-Mail-Adresse: xxx

Kennwort: xxx

Beim erstmaligen Synchronisieren des iPhones mit einem Exchange-Konto bekomme ich folgende Meldungen in der Konsole des iPhone-Konfigurationsprogrammes angezeigt.

Fri Oct 29 11:31:15 SWBW-iPhone-GELLERT profiled[308] <Warning>: MC|Error retrieving server policy for account: <MCNewEASAccountPayloadHandler: 0x11bd40>, NSError 0x11a840:

Desc : Beim berprfen Ihrer Account-Info ist ein nicht korrigierbarer Fehler aufgetreten. [%d]

Sugg : The operation couldnt be completed. (DAErrorDomain error -1.)

US Desc: An unrecoverable error occurred while validating the account information. [%d]

Domain : MCEASErrorDomain

Code : 21000

Type : MCSkippableError

...Underlying error:

NSError 0x142f40:

Desc : The operation couldnt be completed. (DAErrorDomain error -1.)

Domain : DAErrorDomain

Code : -1

...Underlying error:

NSError 0x13dde0:

Desc : The operation couldnt be completed. (DAAccountValidationDomain error 102.)

Domain : DAAccountValidationDomain

Code : 102

...Underlying error:

NSError 0x142f90:

Desc : The operation couldnt be completed. (ASHTTPConnectionErrorDomain error 401.)

Domain : ASHTTPConnectionErrorDomain

Code : 401

Extra info:

{

DAUnderlyingStatusCodeKey = 6;

}Extra info:

{

DAUnderlyingStatusCodeKey = 6;

}

Fri Oct 29 11:31:21 SWBW-iPhone-GELLERT dataaccessd[313] <Warning>: EAS|connection died with error Error Domain=ASHTTPConnectionErrorDomain Code=401 "The operation couldnt be completed. (ASHTTPConnectionErrorDomain error 401.)" 0x10fe70

Fri Oct 29 11:31:21 SWBW-iPhone-GELLERT dataaccessd[313] <Warning>: EAS|Bad password error received.

Das Passwort ist aber korrekt.

Admin-Konten funktionieren problemlos.

Das Attribut "userAccountControl" hat bereits den Wert 512. Das kann es also auch nicht sein.

Ich habe einen neu angelegten Benutzer mit einem "Problemnutzer" verglichen und konnte keine nennenswerten Unterschiede erkennen.

Geschützte Gruppen kommen nciht in Frage, da ja nur "Admin"-Gruppen wie diverse Operatoren-Gruppen usw. geschützt werden.

Es sind normale Domänenbenutzer, die vor langer Zeit aus einer NT 4.0-Domäne migriert wurden. Könnte das vielleicht etwas mit dem Problemzu tun haben?

An dieser Stelle möchte ich mich bei Dir für Deine bisherige Hilfestellung bedanken. Vielen Dank.

Gruß Klixer

Wenn ich die Regel auf "Alle Authentifizierten Benutzer" setzte gehts nicht mehr.

Weiterhin kann ich OWA nur als Admin nutzen. Oder ein neu angelegter Benutzer mit Standardrechten funktioniert ebenfalls. Für bestehende Benutzer mit den selben Rechten bekomme ich die Meldung "Die lokale Sicherheitsautorität (LSA) ist nicht erreichbar."

Gruß Klixer

Mit Standard-Authentifizierung kommen ich auf das System.

Gruß Klixer

Anbei der Link

OWA-Regel.doc

Gruß Klixer

Anbei die Logauszüge:

Firewall-Log

BLSWWISA 2010-01-03 11:51:19 TCP 87.172.5.209:2681

Meine 1und1-IP[\QUOTE] 192.168.2.1:80

Externes ISA-Interface[\QUOTE] 87.172.5.209 Extern Lokaler Host Establish 0x0 - HTTP Y 0 0 0 0 - - - - - - - - 3282 146804 - - -

 

BLSWWISA 2010-01-03 11:51:22 UDP 192.168.1.166:30180 192.168.1.201:53 192.168.1.166 Lokaler Host Intern Establish 0x0 DNS vom ISA Server an ausgewählte Server zulassen DNS Y 0 0 0 0 - - - - - - - - 3 146806 - - -

 

BLSWWISA 2010-01-03 11:51:22 UDP 192.168.1.201:62838 192.168.2.2:53 192.168.1.201 Intern Extern Establish 0x0 SWW-SERVER DNS Y 0 0 0 0 - - - - - - - - 6 146807 - - -

 

BLSWWISA 2010-01-03 11:51:22 TCP 87.172.5.209:2681 192.168.2.1:80 87.172.5.209 Extern Lokaler Host Terminate 0x80074e20 - HTTP Y 1019 1019 3182 3182 4000 4000 - - - - - - 3282 146804 - - -

 

 

Webproxy-Log

 

87.172.5.209 anonymous Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.04506.30; .NET CLR 3.0.04506.648; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729) N 2010-01-03 11:51:18 W3ReverseProxy BLSWWISA - 80.152.229.170 192.168.2.1 80 1 715 2274 http TCP GET http://80.152.229.170/ - - 1359 - - Req ID: 2024d2d3 - - 0x0 Failed

 

Kann ich nicht deuten!

 

Gruß klixer

Erst einmal wünsche ich ein gesundes und erfolgreiches Jahr 2010!!!:thumb1:

Wir den Listener und die Veröffentlichung nochmal komplett raus und veröffentliche neu.

Habe ich gemacht.

Hast du das letzte Servicepack auf dem ISA 2004?

SP 3 habe ich installiert

Falls das alles auch nicht hilft, schau mal ins Log was schief läuft.

Die Diagnoseprotokollierung gibt folgendes aus:

1.

Ereignistyp: Informationen

Ereignisquelle: ISA Server Diagnostics

Ereigniskategorie: Keine

Ereigniskennung: 30091

Datum: 02.01.2010

Zeit: 17:03:13

Benutzer: Nicht zutreffend

Computer: BLSWWISA

Beschreibung:

Datum und Uhrzeit: 01/02/2010-17:03:13.117

Paketkontext: 2024be43

Protokollquelle: Web Proxy

Webproxyeigenschaften:

Client-IP-Adresse: 87.172.14.242

Meine externe 1und1-Adresse!

Clientport: 2939

Lokale IP-Adresse: 192.168.2.1

Externes ISA-Interface

Lokaler Port: 80

SecureNAT-Client: false

Webproxyclient: false

Eingehender Datenverkehr: true

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter Events and Errors Message Center: Basic Search.

2.

Ereignistyp: Informationen

Ereignisquelle: ISA Server Diagnostics

Ereigniskategorie: Keine

Ereigniskennung: 30093

Datum: 02.01.2010

Zeit: 17:19:04

Benutzer: Nicht zutreffend

Computer: BLSWWISA

Beschreibung:

Datum und Uhrzeit: 01/02/2010-17:19:04.711

Paketkontext: 2024bf27 2024bf28

Protokollquelle: Web Proxy

HTTP-Methode: GET

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter Events and Errors Message Center: Basic Search.

3.

Ereignistyp: Informationen

Ereignisquelle: ISA Server Diagnostics

Ereigniskategorie: Keine

Ereigniskennung: 30136

Datum: 02.01.2010

Zeit: 17:03:13

Benutzer: Nicht zutreffend

Computer: BLSWWISA

Beschreibung:

Datum und Uhrzeit: 01/02/2010-17:03:13.117

Paketkontext: 2024be43 2024be44

Protokollquelle: Web Proxy

ISA Server hat die Anforderung mit HTTP-Statuscode 502 zurückgewiesen und gibt dem Webclient folgende Fehlermeldung zurück. \"Interner Fehler. \"

Anschließende Browsermeldung

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter Events and Errors Message Center: Basic Search.

Das heißtfürmich das die Webanforderung bis zum ISA durchkommt aber dann zurückgewiesen wird.

Gruß Klixer

Habe ich gerade gemacht aber leider wieder ohne Erfolg!!!

Gruß Klixer

IIS ist runter. Ohne Erfolg! Sollte ich noch mal durchstarten??

Gruß David

IIS habe ich beendet. Jetzt bekomme ich beim Zugriff von außen Fehler 500 Interne Serverfehler

Folgende Anleitung habe ich verwendet. Formbased OWA

Der Watchguard Zugriff funktioniert jetzt auch.

Der OWA-Zugriff liegt bei mir jetzt wiederim Fokus. Eine Mailveröffentlichungregel habe ich samt Weblistener auf "EXTERN" erstellt. Wenn ich von außen über unsere öffentliche IP zugreife, komme ich auf die IIS-Startseite des ISA-Servers. Der Weblistener greift also noch nicht und leitet die Anfragen an den Exchange weiter. Ich habe die Regel wie auf msisafaq.de beschrieben angelegt.

Ich wünsche einen guten Rutsch.

Gruß Klixer

Bin jetzt einen Schritt weiter.

Das heißt, dass er das 192.168.2.0 jetzt als externes Netzwerk "akzeptiert". Musste eine Weiterleitungsregel auf dem internen DNS auf die Watchguard setzen, da der interne DNS ja keine externe URL's auflösen kann. Eine zweite Sache war bei mir der Webblocker de Watchguard, der den Datenverkehr nichtdurchlassen wollte.

Wie SIe sehen eine gewachsene Struktur,die ich nicht von Anfang an betreut habe.

Vielen Dank erst einmal.

Gruß klixer

Ich habe alles wieder verworfen.

Wenn ich den Bereich 192.168.2.0-192.168.2.255 herausnehme sieht es der ISA als Externes an. Verstanden!

Wie gelingt mir aber dann der Zugriff von intern nach extern?

Zugriffsregel "Lokaler Host" nach "EXTERN" exisitiret doch bereits.

???

Gruß Klixer

Also steht dort nur noch 192.168.1.0 drin?

Es steht nur noch 192.168.1.0 im Netzwerksegment "Intern" drin.

Was irgendwie logisch erscheint, da das ne Firewall ist und du erstmal den Zugriff erlauben mußt. ;)

Ich habe neben dem Default-Netzwerk "Extern" , welches der ISA bei der Installation generiert hat, ein zusätzliches Externes Netzwerk "ISA-EXTERN" mit 192.168.2.0-192.168.2.255 eingerichtet. Danach habe ich 2 Netzwerkregeln eingerichtet.

1. "Intern" zu "ISA-EXTERN" als Route

2. "ISA-EXTERN" zu "EXTERN" als NAT

Weiterhin habe ich eine Zugriffsrichtlinie für "ISA-EXTERN" nach "EXTERN" generiert und ganz nach oben gestellt. Ohne Erfolg!

Schau ins ISA Log woran es liegt.

Kann nur mit dem ISA zusammenhängen.

Und wir sollen jetzt raten?

Ich hoffe wir finden gemeinsameine Lösung.

Da denkst du richtig. Solange dein ISA nicht weiß wo innen und aussen ist und du entsprechende Regeln nicht definiert hast, wird das nix.

Zugriffsregel habe ich wie oben beschrieben definiert.

DNS hat nichts auf dem externen Interface des ISA zu suchen. Leerlassen!

Habe ich herausgenommen.

OK. In der Bindungsreihenfolge bitte nach ganz oben, danach dann das externe Interface.

Das interne Interface stand schon ganz oben.

Gruß klixer

Ich habe das Netzwerk 192.168.2.0 aus dem ISA-Netzwerk "Intern" herausgenommen. Danach hatte ich keinen Zugriff mehr auf das Internet vom ISA selbst und von den Clients. Ich weiß, das das funktionieren muss aber leider nicht bei der vorliegenden Konfiguration des ISA-Servers.

Ich denke das muß erst einmal korrekt funktionieren um mit meinem OWA-Problem weiterzuverfahren?!

Anbei nochmals die Netzwerkkonfiguration des ISA-Servers im Umfeld der Watchguard-Firewall, den man als Fehlerquelle ausmachen kann.

ISA-Server 2004 mit zwei Netzwerkadaptern:

Externes Interface: IP 192.168.2.1/24, Gateway-IP 192.168.2.2/24, DNS 192.168.2.2/24

Internes Interface: IP 192.168.1.166/24, Gateway-IP -, DNS 192.168.1.201/24

ISA-Konfiguration (EDGE-Firewall):

Netzwerke:

Intern 192.168.1.0-192.168.1.255, 192.168.2.0-192.168.2.255

Netzwerkregeln:

Default

Internetzugriff ist ein NAT von "Intern" nach "Extern"

IP-Adressen:

192.168.2.2 Internes Interface Watchguard Firewall

192.168.2.1 Externes Interface ISA

192.168.1.166 Internes Interface ISA

192.168.1.201 Interner DNS-Server

Vielleicht sollte diese Konfiguration nochmal Diskussionsgrundlage sein?!

mfg

klixer

Ja hat er.

MfG

klixer

Die Hilfeschreie sind ab sofort abgestellt. Wollte nur meine Verzweiflung ausdrücken.;)

Das Howto hatte ich schon durchgearbeitet bevor ich mich an Euch gewandt habe. Der Weblistener scheint keine Anfragen anzunehmen bzw. zu verarbeiten. Jedenfalls wird die Anfrage nicht an den Exchange-Server weitergeleitet.

Der Weblistener horcht auf EXTERN. Laut Howto sollte ich in diesem Netzwerksegment (EXTERN) IP-Adressen auswählen können. Die ISA-IP's sind aber bei mir alle unter dem Netzwerksegment INTERN. Sind ja auch private IP's. Selbst wenn ich diese abhöre, komme ich nicht zum Erfolg.

Ich wolllte es erst mit http testen um Zertifikatsprobleme auszuschließen.

mfg

klixer

Sehr geehrte Kollegen,

ich stehe in meiner Firma vor folgender Problematik.

Ich muss eine Exchange-Synchronisation mit mehreren iPhones zustande bekommen.

Folgende Netzwerkstruktur liegt vor (von "außen" gesehen).

1. Watchguard Firebox mit öffentlicher IP (z.B. 80.x.x.x)

und Internem Interface IP 192.168.2.2

2. ISA-Server 2004 mit zwei Netzwerkadaptern - Externes Interface

IP 192.168.2.1 mit Gateway-IP 192.168.2.2 und Internem Interface

IP 192.168.1.166

3. Exchange-Server 2003 mit interner IP 192.168.1.209

bisherige Vorgehensweise HTTP über Port 80 zum Testen:

1. Mailserver-Veröffentlichungsregel auf ISA-Server erstellt

1.1 alle http-Anforderungen an Mailserver weiterleiten

1.2 Weblistener auf EXTERN gestellt

2. Watchguard HTTP-Inbound konfigurieren

2.1 Neue Regel Protokoll "http" from ANY-External To öffentliche IP 80.x.x.x static Route auf IP 192.168.2.1

Ergebnis ist sehr ernüchternd.

- kein Request bei Eingabe der öffentlichen IP 80.x.x.x

(Watchguard scheint nicht zu blocken)

- keine Weiterleitung vom ISA zum Exchange, wenn ich mich in das 192.168.2.x - Netz hänge

ICH BITTE UM HILFE!!!

Vielen Dank im Voraus und ein schönes Weihnachtsfest

mfg

klixer