Jump to content
Sign in to follow this  
PathFinder

Exchange 2010, TMG2010, ActiveSync

Recommended Posts

Hallo zusammen,

 

Ich versuche ActiveSync für mein Windows Mobile 6.5 Telefon (HTC) bereitzustellen.

 

wenn ich den Test von:

https://www.testexchangeconnectivity.com

 

durchlaufen lassen bekomme ich folgendes Erbeniss:

 

ExRCA is testing Exchange ActiveSync.

The Exchange ActiveSync test failed.

Test Steps

Attempting to resolve the host name owa.firma.de in DNS.

Host successfully resolved

Additional Details

IP(s) returned: xxx.xxx.xxx.xxx

 

Testing TCP Port 443 on host owa.firma.de to ensure it is listening and open.

The port was opened successfully.

ExRCA is testing the SSL certificate to make sure it's valid.

The SSL certificate failed one or more certificate validation checks.

Test Steps

The certificate name is being validated.

Successfully validated the certificate name

Additional Details

Found hostname owa.firma.de in Certificate Subject Common name

 

Validating certificate trust for Windows Mobile Devices

Certificate trust validation failed.

Additional Details

The certificate chain couldn't be built. You may be missing required intermediate certificates. For more information, see Microsoft Knowledge Base article KB 927465.

 

 

Ich glaube die Entscheidende Information ist:

 

"You may be missing required intermediate certificates"

 

Damit müssen Zwischenzertifizierungsstellen gemeint sein?

 

Ich weiß das der SSL-Zertifikat Weg vom Handy über alle Zwischenpunkte bis zum Exchange Server zu 100% stimmen muss.

 

OWA funktioniert sauber. Habe ich auf dem PC mit dem ich Teste das entsprechende Zertifikat installiert bekomme ich keine SSL Fehlermeldung alles grün.

 

Ich beginne mal von meinem Handy aus

 

- Hier ist als persönliches Zertifikat mein Nutzer Zertifikat (Domäne) installiert

- Als Zwischenzertifizierungsstelle ist das Zertifikat mit dem CN "owa.firma.de" installiert.

- Als Stammzertifizierungsstelle ist unsere interne Firmen CA installiert

 

Dann sucht sich das Handy über das Internet die Adresse owa.firma.de raus.

 

Landet an unserer TMG Firewall.

 

Dort ist ActiveSync konfiguriert mit einem Weblistener der auf SSL 443 lauscht und das Zertifikat mit owa.firma.de installiert hat (der Listener vom OWA)

 

Dieser leitet dann per regel an exsrv.firma.local weiter auf 443

 

Auf dem Exchange Server habe ich per Assistent ein Zertifikat erstellen lassen das mehrere CNs enthält einmal exsrv.firma.local (sonst kommt intern bei Outlook die Zertifikatfehlermeldung da die CNs nicht übereinstimmen) und owa.firma.de

 

Es ist wahrscheinlich schwer hier zu helfen da es ja noch viele Informationen mehr gibt die wichtig und notwendig sind.

 

Kennt vielleicht jemand das Problem?

 

Habe ich die Sache richtig verstanden und halte ich die Zertifikatkette so korrekt ein?

 

Am Handy kommt immer die Fehlermeldung 0x8501004

 

Bin mir nicht sicher ob die nun die Zertifikate anmeckert oder ob es sonst noch irgendwo ein Problem gibt?

 

Wobei der Test ja klar sagt das es ein Cert problem ist.

 

Habe ich das mit der Zwischenzertifizierung richtig verstanden? muss dort das owa.firma.de Cert liegen?

 

Interessant ist vielleicht noch das RPC over HTTP(OutlookAnywhere) einwandfrei funktioniert? Auch mit dem OWA Listener.

 

Ich habe das hier bei MS gefunden:

Missing Intermediate Certificates in Chain

 

Also habe ich mal das owa.firma.de Zertifikat in die Zwischenzertifizierungstellen vom ISA und vom Exchange gepackt das hat aber auch nichts genutzt.

 

Hilfe =)

 

mfg der Path

Share this post


Link to post

Verwendest du ein offizielles Zertifikat einer 3rd Party CA, oder verwendest du ein eigenes Zertifikat einer internen CA bzw. ein selbstsigniertes Zertfikat?

Share this post


Link to post

Das Zertifikat ist selbst ausgestellt.

 

Ich hatte das ganze unter Exchange 2003 auch schonmal am laufen aber nur per USB Kabel.

 

Ich habe mit dem Exchange 2010 Assistenten für die Zertifikate nochmal ein neues erstellt, der ActiveSync Name war ein interner FQDN, ich probiere es jetzt mal mit unserem externen owa.firma.de.

 

Was mir helfen würde wäre wenn jemand so lieb ist mir den Weg in etwa zu skizzieren.

Share this post


Link to post

testexchangeconnectivity.com wird nur mit einem 3rd Party-Zertifikat richtig funktionieren.

 

Ausserdem brauchst du eh ein SAN-Zertifikat um AutoDiscover richtig zum laufen zu kriegen.

 

Doku dazu gibts genügend - hol dir erstmal ein passendes SAN-Zertifikat einer 3rd Party CA, danach ist es relativ einfach alles zum laufen zu kriegen.

Share this post


Link to post
Du meinst mit selbst erstellten Zertifikaten wird das nix?

 

Nicht wirklich. Du machst dir vorallem jede Menge arbeit.

 

Soll mir eins kaufen?

Kannst du was empfehlen?

 

Empfehlen ist wohl übertrieben. Wir kaufen die meisten Zertifikate bei GoDaddy, weil das der günstigste Anbieter ist und auch auf allen halbwegs aktuellen Telefonen akzeptiert wird.

Share this post


Link to post
testexchangeconnectivity.com wird nur mit einem 3rd Party-Zertifikat richtig funktionieren.

 

Gibts dafür nicht extra den Haken zum Ignorieren von SSL Fehlern? ;)

 

Ausserdem brauchst du eh ein SAN-Zertifikat um AutoDiscover richtig zum laufen zu kriegen.

 

Autodiscover läuft auch ohne SAN Zertifikat. ;) Entweder mit entsprechend vielen Einzelzerts oder aber über DNS SRV records.

 

Doku dazu gibts genügend - hol dir erstmal ein passendes SAN-Zertifikat einer 3rd Party CA, danach ist es relativ einfach alles zum laufen zu kriegen.

 

Korrekt. :)

 

Bye

Norbert

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...