Jump to content

Exchange Mails auf Handy geht nicht mehr - stehe auf dem Schlauch.


Blase
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo in die Runde,

 

wir haben hier über "quick & dirty" seit Jahren unsere Exchange Mails auf die jeweiligen mobilen Endgeräte synchronisiert.

 

Und zwar gibt es schlicht bei unserem Provider (Domainfactory) eine Subdomain Weiterleitung von

 

outlook.Firma.com (wird für owa genutzt)

 

und

 

mail.Firma.com (wird als Zieladresse in den mobilen Endgeräten genutzt)

 

jeweils an die identische Adresse https://unsereFesteIP/Exchange

 

Im Router selbst gibt es dann eine Portweiterleitung des Ports 443 an unseren Exchange. Auch haben wir innerhalb unseres AD unsere eigenen (kostenlosen) Zertfikatsdienste, wo das Exchange Zertifikat erstellt worden ist.

 

Das war es auch schon - wie geschrieben "quick & dirty" - läuft sei Jahren für uns gut.

 

Was hier noch wichtig ist, ist, dass wir zwei DSL Anschlüsse bei zwei Anbietern hatten, also auch zwei öffentliche IPs. Die "alte" Leitung ist nun weg gefallen und wir haben nur noch einen VDSL Anschluss. Über die alte Leitung gingen bis dato die hier beschriebenen Aufrufe.

 

Alles, was beim Wegfall der alten Leitung und damit auch der öffentlichen IP geändert worden ist, ist die Weiterleitung beim Provider. Diese zeigt nun mit dem ansonsten identischen Aufruf eben auf die andere öffentliche IP.

 

OWA kann ich auch direkt wieder nutzen - mit der "neuen" öffentlichen IP dahinter - mit BEIDEN Aufrufen (wird ja letztlich an die selbe Adresse weiter geleitet). Aber die mobilen Endgeräte wollen partout nicht. Es sei kein Server unter der Adresse gefunden worden heißt es nur. Entsprechend werden auch keine Mails zugestellt bwz. Abgeholt. Ich habe auf einem Endgerät auch das komplette Exchange Postfach einmal heraus geschmissen und neu gemacht, ändert nichts.

 

Diese Umstellung der öffentlichen IP ist gestern passiert, falls das eine Rolle spielt.

 

Ich stehe auf dem Schlauch. OWA läuft sofort reibungslos (sowohl Outlook.Firma.com als auch mail.Firma.com), aber mobile will nicht mit dem Exchange Konto. Kann mich mal bitte wer in die richtige Richtung schubsen?

 

Gruß

Björn

Link zu diesem Kommentar

Guten Morgen Björn,

 

da die Umstellung erst gestern stattfand, kann es ggf. sein, das die mobilen Geräte noch mit "alten" (gechachten) DNS Infos arbeiten.

Besteht die Möglichkeit an den mobilen Geräten mal einen PING loszuschicken, mit welchen IPs diese aktuell auflösen?

Ansonst würde ich noch ein wenig abwarten ...

 

Gruß Sebastian

Link zu diesem Kommentar

Hallo ihr beide,

 

vielen Dank schon einmal für das Feedback. Wenn es nur eine Frage der Zeit ist, warum komme ich dann auf das (geänderte) OWA quasi sofort drauf? Passt doch in diesem Kontext dann nicht, oder?

 

Wir sprechen von diversen iPhone und Samsung Handys - ich bin zB noch mit einem älteren iPhone 5S unterwegs. Der überwiegende Rest ist da aber schon deutlich neuer. Es kommt natürlich sowohl bei OWA, als auch beim erstmaligen Verbinden mit den mobilen Endgeräten einen Zertifikatsmeldung (die ich ja trotzdem positiv bestätigen kann). Aber grundsätzlich war das nie ein Problem.

 

Warum das aus der eigenen CA ist... Kosten als Faktor lässt du hier wohl nicht gelten, nehme ich an ;)  Weil wir es schon immer so gemacht haben, scheint mir hier auch keine erschöpfende Antwort zu sein. Wir haben es halt nie anders gemacht...

 

Gruß

Björn

Link zu diesem Kommentar

Was passiert, wenn man neu synchroinisieren will? Fehler?

 

Mal ein nicht so wichtiges Gerät neu eingerichtet?

 

Kann man die URL für EAS von extern aufrufen?

 

Und Zertifikat - ja, Kosten lasse ich nicht mehr gelten, man bekommt mittlerweile für 99€ oder sogar weniger ein externes Zertifikat, z.B. bei PSW Group.

 

Ist gar nicht so schwer...

 

;)

Link zu diesem Kommentar

Bei den iDevices ggfs.: https://www.heise.de/mac-and-i/meldung/iOS-11-Erhebliche-Mail-Probleme-mit-Exchange-und-Office-365-3836321.html

Ansonsten evtl. ein SHA1 Zertifikat?

 

Ich würde die Vermutung in den Raum werfen, dass es günstiger ist ein SAN Zertifikat zu kaufen und einzubinden anstatt ein Let's Encrypt Zertifikat "in Betrieb zu nehmen" ;)

Link zu diesem Kommentar

Ich würde die Vermutung in den Raum werfen, dass es günstiger ist ein SAN Zertifikat zu kaufen und einzubinden anstatt ein Let's Encrypt Zertifikat "in Betrieb zu nehmen" ;)

 

Weil?

Ist das so aufwändig einzurichten oder wie? Es gibt doch sogar schon Tools, die dir das immer wieder erneuern..

Also ich finde das ne feine Sache :) 

Link zu diesem Kommentar

Hallo in die Runde,

 

ich komme leider nicht weiter.

 

Ich habe ja spaßeshalber an meinem Handy bereits das Exchange Konto raus gelöscht und versucht, es neu zu erstellen.

 

Erstelle ich es, sagt er beim Speichern, das die "Accountinformationen nicht überprüft werden konnten." Wenn ich dann in den Mails selbst abrufe, sagt er, dass "die Verbindung mit dem Server fehlgeschlagen ist".

 

Vom selben Handy aus, über den integrierten Safari Browser, komme ich aber in das OWA - mit der selben Adresse, die auch als "Server" in der E-Mail Konfiguration drin steht.

 

@ Sebastian - ping vom Handy aus? Habe hier leider keine zusätzlichen Apps oder einen iTunes Account. Der Ping von meinem PC aus (auf die Adresse mail.Firma.com) bringt die IP unseres Providers zurück. Von hier aus wird ja weiter geleitet auf die öffentliche IP unseres Routers mit einem HTTPs Aufruf und "/Exchange" dahinter. So wie es halt sein Ewigkeiten lief - bis wir die Umstellung auf eine neue IP gemacht haben.

 

Da ich ja vom Handy aus in das OWA rein komme, dürften die DNS Weiterleitungs-Probleme und TLS hier wohl nicht das Thema sein, oder?!

 

@Nobbyaushb - also wirklich nach außen hin erreichbar ist unser Exchange ja nicht. Wir schleifen lediglich den Port 443 Routerseitig zum Exchange hin durch. Der Microsoft Activity Test für Exchange ActiveSync meckert natürlich unser Zertifikat an.

 

@Testperson - ich habe noch die iOS 10er Version drauf. Und selbst wenn Version 11 im Spiel sein sollte (Mein Chef wird das zB sicherlich haben), haben wir nicht den im Artikel genannten Windows Server 2016/Exchange 2016 sondern noch einen 2008 R2 mit Exchange 2010. Das Exchange Zertifikat ist ja schnell einmal neu gemacht - Not macht ja bekanntlich erfinderisch...

 

Gruß

Björn

Link zu diesem Kommentar

Erst mal bei Frank (wie fast immer...)

http://www.msxfaq.de/exchange/mobil/easdebug.htm

 

Dann

https://www.msxfaq.de/e2007/casurls.htm

 

Und alle URL sind dank Split-DNS intern und extern gleich, somit passt auch das extern signierte Zertifikat nach innen.

 

Und ja, man braucht nur den Port 443 zum Exchange, wenn inbound Port 25 anders geregelt ist.

 

;)

Link zu diesem Kommentar

Mahlzeit.
 
Nur um es kurz noch einmal zu erwähnen, diese Konstellation lief so seit Jahren. Die einzige "Änderung" war der Wegfall eines leider defekten LANCOM Routers, welcher nun durch eine FritzBox ersetzt worden ist. Und damit einhergehend der Umstand, dass wir unseren alten, aber immer noch aktiven, ersten DSL Anschluss mit fester IP aktuell nicht mehr aktiv nutzen, sondern nur noch unseren "neuen" VDSL Anschluss. Dieser wird nun über die FritzBox bereit gestellt. Der LANCOM Router konnte halt beide Zugänge gleichzeitig bereitstellen. Und weil aber die DNS Weiterleitungen bei unserem Provider bezüglich OWA/ActiveSync noch über die alte Leitung liefen (brauchte ja nicht viel "Bums"), wurden hier schlicht die öffentlichen IP Adressen angepasst.
 
"Mehr" wurde an der kompletten Konstellation überhaupt nicht verändert. In der FritzBox wurde dann natürlich Port 443 zum Exchange konfiguriert. OWA läuft ja auch einwandfrei. Nur dieses ActiveSync will nicht...
 
@Norbert - mail.firma.com/Microsoft-Server-ActiveSync bringt mich sowohl von einem PC aus, als auch vom mobilen Endgerät in die klassische OWA Eingabemaske (EDIT - vorher "meckert" er natürlich das Zertifikat an). Authentifiziere ich mich hier, bekomme ich im Anschluss die Meldung, dass die Seite nicht gefunden worden ist (HTTP 400) - was ja aber, wenn ich das richtig verstanden habe, "ok" ist, oder?

 

In den LOGs des IIS habe ich diverse Einträge á la (gekürzt):

 

2017-09-03 23:58:12 192.168.100.20 POST /Microsoft-Server-ActiveSync/default.eas User=ADBenutzer&DeviceId=BLABLABLA&DeviceType=iPhone&Cmd=Ping&Log=V141_Fid:13_Sk:XXXXXXXX_UserInfo:UserMailbox_S1_Mbx:SRVEXCHANGE.Firma.local_Dc:domserv01.Firma.local_Throttle0_Budget:(D)Conn%3a1BLABLABLA2cPolicy%3aDefaultThrottlingPolicy%5Ff78439a0-6a60-42a3-8172-8075782a181e%2cNorm_ 443 Firma\ADBenutzer XXX.182.XXX.163 Apple-iPhone7C2/1406.89 200 0 64 600009

 

Auch habe ich "Errors" im Sinne von (gekürzt):

 

2017-09-03 22:44:28 192.168.100.20 POST /Microsoft-Server-ActiveSync/default.eas User=ADBenutzer&DeviceId=XXXXXXXXXX&DeviceType=iPhone&Cmd=Ping&Log=V141_Fid:31_Sk:XXX:BLABLABLA_S3_Error:PingCollisionDetected_Mbx:SRVEXCHANGE.Firma.local_Throttle0_Budget:(D)Conn%XXXXXXXX%2f0%2cPolicy%3aDefaultThrottlingPolicy%5Ff78439a0-6a60-42a3-8172-8075782a181e%2cNorm%5bResources%3a(Mdb)Mailbox+Database+0789780805(Health%3a-1%25%2cHistLoad%3a0)%2c%5d%3bGC%3a3%2f2%2f1%3b_ 443 Firma\ADBenutzer XXX.182.XXX.163 Apple-iPhone9C4/1407.60 200 0 64 358998

 

Wobei die "PingCollisionDetected" Meldung wohl auch "ok" sein soll, nachdem was ich diesbezüglich bei Google gefunden habe.

 

Was heißt das denn generell? Dass zumindest diese beiden Endgeräte den Weg hin zum ActiveSync finden (weil entsprechende Protokolleinträge vorhanden sind)?

 

Ich stöbere noch weiter - bin aber wirklich dankbar für jeden weiteren Kommentar diesbezüglich. Wie geschrieben - was mich halt so wundert, ist, dass bis auf die oben genannte Umstellung eben nichts verändert worden ist. In der Theorie sollte das doch wirklich einfach sein - DNS Weiterleitung auf die andere öffentliche IP (analog, wie es eben vorher auch getan wurde), Portweiterleitung 443 im neuen Router in "fertig". So viel zur "Theorie"....

 

Gruß

Björn

bearbeitet von Blase
Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...