Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Exchange ActiveSync mit Mobiltelefon (Aktuelle Konto hat keine Berechtigungen zu Synchronisieren)

Frage Microsoft Exchange Server

Mitglied: Simon-MCP

Simon-MCP (Level 1) - Jetzt verbinden

03.12.2010, aktualisiert 18.10.2012, 17281 Aufrufe, 7 Kommentare, 1 Danke

Es wird versucht ein HTC Desire (Android Smartphone) mit einem Exchange-Postfach über ActiveSync zu verbinden. Doch leider erhalte ich dabei die Fehlermeldung:

Für das Konto im Microsoft Exchange Server gibt es keine Berechtigung zu Synchronisierung mit den aktuellen Einstellungen.
Kontaktieren Die den Exchange-Server-Administrator.

Hallo zusammen,

ich versuche momentan mein HTC Desire Smartphone mit meinem Exchange-Server 2007 zu verbinden um E-Mails usw... abrufen zu können.

Doch leider erhalte ich hierbei die folgende Fehlermeldung:
Für das Konto im Microsoft Exchange Server gibt es keine Berechtigung zu Synchronisierung mit den aktuellen Einstellungen.
Kontaktieren Die den Exchange-Server-Administrator.


Umgebung:
- Windows Server 2008 R2
- Exchange 2007
- Eigenes Zertifikat

Der Zugriff auf die OWA-Seite funktioniert ohne Probleme. Es wird nur ein Warnhinweis angezeigt das dass Zertifikat nicht vertrauenswürdig ist da ich es selbst erstellt habe!

Mit dem Smartphone komme ich soweit das er mir das Zertfikat anzeigt und eben auch eine Warnung. Dieses Zertifikat aktzeptiere ich und dann kommt die oben genannte Fehlermeldung.
Muss ich hier noch irgendwelche Einstellungen am Exchange oder IIS vornehmen?

Welche IIS-Authentifizierungsmethoden für die Microsoft ActiveSync Site müssen den aktiv sein? Dort stehen alle auf "Disabled". Und was gibt es noch zu beachten? Ich denke das es nicht viel sein kann da ich ja kurz vor dem Ziel bin!
Ich weiß momentan nicht mehr weiter und würde mich über eure Hilfe sehr freuen.


Freundliche Grüße
Mitglied: ollembyssan
03.12.2010, aktualisiert 18.10.2012
Zitat von Simon-MCP:
Der Zugriff auf die OWA-Seite funktioniert ohne Probleme. Es wird nur ein Warnhinweis angezeigt das dass Zertifikat nicht
vertrauenswürdig ist da ich es selbst erstellt habe!

Wenn das Zertifikat bzw. der Stammzertifizierungsstelle nicht vertraut wird, gibt es eine Fehlermeldung, richtig! Deswegen muss ihr vertraut werden. Sowohl Zertifikat des Servers, als auch das Zertifikat der Root CA (Stammzertifizierungsstelle) MUSS installiert werden!
Ansonsten funktioniert die Synchonisation mittels EAS nicht!

Mit dem Smartphone komme ich soweit das er mir das Zertfikat anzeigt und eben auch eine Warnung. Dieses Zertifikat aktzeptiere ich
und dann kommt die oben genannte Fehlermeldung.
Muss ich hier noch irgendwelche Einstellungen am Exchange oder IIS vornehmen?

Nein, im IIS musst du standardmäßig keine Veränderung vornehmen.
Du musst lediglich garantieren, dass beide Zertifikate auf dem Smatphone installiert sind.
Du darfst schon bei dem Verbindungsaufbau zu OWA keine Zertifikatsfehlermeldung erhalten. Bekommst du diese schon bei OWA, wird die Synchronisierung fehlschlagen.
Grund: Der EAS-Dienst baut eine Verbindung mit Hilfe von OWA zum Postfach des Benutzers auf und gibt die Authentifizierungsinformationen mit.

Welche IIS-Authentifizierungsmethoden für die Microsoft ActiveSync Site müssen den aktiv sein? Dort stehen alle
auf "Disabled". Und was gibt es noch zu beachten? Ich denke das es nicht viel sein kann da ich ja kurz vor dem Ziel
bin!

Alle auf disabled wie sollen sich bei dieser Einstellung Benutzer authentifizieren?
-> Standardauthentifizierung aktivieren! ( wobei BN und PW per SSL/TLS übertragen werden )

Aber zunächst, solltest du die Zertifikatsfehler beheben.

Stammzertifizierungsstelle muss auf dem Smartphone als vertrauenswürdig eingestuft sein.
(bzw. im Zertifikatsspeicher: \Stamm hinterlegt sein)

Das Serverzertifikat musst du ebenfalls auf dem Smartphone implementieren.

Setzt voraus, dass du auf einem Client bzw. vom Server, ohne Zertifikatsfehler auf OWA zugreifen kannst.
Setzt voraus, dass dein Zertifikat auf relevante Namen ausgestellt ist.
Voallem für den FQDN von OWA, Outlook Anywhere, (Autodiscover).

Falls dies nicht der Fall ist, bringt es auch nichts, der Zertifizierungsstelle zu vertrauen (prinzipiell schon),
da aber das Zeritifkat auf falsche Namen (FQDN's) ausgestellt ist, wirst du den Fehler nicht beheben können und somit wird auch keine Synchronisierung erfolgreich sein.

Wie du das Zertifikat richtig installierst, siehst du hier:
http://www.administrator.de/wissen/exchange-zertifikat-f%c3%bcr-mehrere ...

oder hier:
http://www.msxfaq.de/404.htm

Wie du die Zertifizierungsstelle auf dem Server richtig installierst, siehst du hier:
http://stephan-mey.de/?p=501

Und der Link ist auch noch nützlich aber fang schön von vorne an
http://stephan-mey.de/?p=545

Gruß

Mey
Bitte warten ..
Mitglied: knut4linux
03.12.2010 um 20:16 Uhr
Mahlzeit,

also ich bin der Meinung, das für das Microsoft-Server-Activsync das OWA in diesem Sinne gar nicht gebraucht wird. Smartphones und Mobile Endgeräte kommen über das Virtuelle Verzeichnis OMA und diese wiederum nutzt eine dll welche die OWA zur Authentifizierung nimmt. Daher reicht es aus Sicherheitsgründen aus, den Zugriff auf das Exchangewebverzeichnis auf "lokalen Zugriff" zu beschrenken (Sofern wirklich außerhalb von deinem Netzwerk keiner Zugreifen muss. Selbst wenn, würde ich das via VPN machen, aber das gehört hier nicht her.)

Das der USer an sich nicht Synchronisieren darf, kann auch eine Fehlerhafte Einstellung im AD des jeweiligen Benutzers sein. Die Verwendung von MobileDiensten etc. Kannst du klar definieren!! (Freigeben oder Verweigern!) Dazu einfach die Eigenschaften des Benutzers öffnen und unter "Exchange Erweitert" die Berechtigungen prüfen.

Gruß Knut
Bitte warten ..
Mitglied: ollembyssan
03.12.2010 um 22:33 Uhr
Zitat von knut4linux:
also ich bin der Meinung, das für das Microsoft-Server-Activsync das OWA in diesem Sinne gar nicht gebraucht wird.

Wird benötigt!, siehe meine Antwort oben!
Siehe auch: http://stephan-mey.de/?p=573

Smartphones und Mobile Endgeräte kommen über das Virtuelle Verzeichnis OMA und diese wiederum nutzt eine dll welche die OWA zur Authentifizierung nimmt

Nein, nicht mehr in Exchange 2007/2010! Das gab es in Exchange 2003.
http://www.msexchange.org/articles_tutorials/exchange-server-2007/mobil ...


Das der USer an sich nicht Synchronisieren darf, kann auch eine Fehlerhafte Einstellung im AD des jeweiligen Benutzers sein. Die
Verwendung von MobileDiensten etc. Kannst du klar definieren!! (Freigeben oder Verweigern!) Dazu einfach die Eigenschaften des
Benutzers öffnen und unter "Exchange Erweitert" die Berechtigungen prüfen.

Die sind standardmäßig aktiviert!
siehe: http://stephan-mey.de/?p=573

Und siehe auch die Erläuterung seines Fehlers, "Warnung bei Zugriff auf OWA",
welches definitiv auf einen Zertifikatsfehler hindeutet.

Gruß
Bitte warten ..
Mitglied: Simon-MCP
03.12.2010 um 23:33 Uhr
Hallo ollembyssan,

vielen Dank für den super Link! Danach habe ich schon gesucht als ich damals (schon paar Monate her) den Server eingerichtet habe hatte aber nichts gefunden.
Ich habe nun ein Zertifikat erstellt das für mehrere FQDNs ausgestellt ist. Nun kommt auch endlich nicht mehr die störende Zertifikatsfehlermeldung wenn ich mich von extern über den DynDNS-Dienst auf meine OWA-Site verbinde, Danke!

Da ich selbst noch nicht im Besitz eines Smarthphones bin werde ich das ganze erst am Montag wieder testen können.

Wenn ich aber auf beiden Seiten IIS und Exchange Management Console die Optionen "Zertifikat Required" auswähle, komme ich nicht mehr auf die: https://domain.no-ip.info/Microsoft-Server-ActivceSycn Site!
Fehlermeldung:
Server Error403 - Forbidden: Access is denied.
You do not have permission to view this directory or page using the credentials that you supplied.


Wähle ich hingegen einfach auf beiden Seiten die Funktionen das Zertifkate erlaubt sind funktioniert es und es kommt ein Anmeldefenster...

Welche Optionen sollte ich auf der IIS Seite und Exchange Management Console Seite aktivieren bzw. deaktivieren damit meine Verbindung sicher ist?
Vielen Dank.

Freundliche Grüße
Bitte warten ..
Mitglied: ollembyssan
04.12.2010 um 10:23 Uhr
Zitat von Simon-MCP:
Wenn ich aber auf beiden Seiten IIS und Exchange Management Console die Optionen "Zertifikat Required" auswähle,
komme ich nicht mehr auf die: https://domain.no-ip.info/Microsoft-Server-ActivceSycn Site!
Fehlermeldung:
Server Error403 - Forbidden: Access is denied.
You do not have permission to view this directory or page using the credentials that you supplied.


Das kommt daher, dass du kein Clientzertifikat besitzt, welches du auch nicht brauchst, außer du hast vor, dass sich der Client am Server mit einem Zertifikat authentifiziert.
Ansonsten authentifiziert sich nur der Server mit seinem Zertifikat beim Client (genauer: mit einer Kopie seines öffentlichen Zertifikatsschlüssels)
Bitte wähle die Option: Clientzertifikate ignorieren oder akzeptieren

Wähle ich hingegen einfach auf beiden Seiten die Funktionen das Zertifkate erlaubt sind funktioniert es und es kommt ein Anmeldefefenster

Richtig so, siehe oben.

Gruß

Stephan
Bitte warten ..
Mitglied: knut4linux
04.12.2010 um 11:11 Uhr
Ach Ollembyssan, vielen Dank für dein teaching. Das hätte ich nun nicht gedacht, dass die Redmonder ihr Konzept schon wieder verworfen haben... Nun ja, jetzt weiß darüber auch bescheid.

Das kommt daher, dass du kein Clientzertifikat besitzt, welches du auch nicht brauchst, außer du hast vor, dass sich der Client am Server mit einem Zertifikat authentifiziert

In diesem Fall würde ich (Wenn OWA benötigt wird) die Clients nur durch ein Zertifikat authentifizieren lassen. Ein Client Zertifikat kannst du erstellen wenn du den "Zertifikatsdienst" ausrollst. Aber einen eigenen CA Dienst in einer Domäne wegen ein paar Clients finde ich eher Aufwändig und das Problem dabei ist zu dem, das du diesen Dienst auch bei jeder Migration mitschleifen musst bzw. deinstallieren und das ist ne unschöne Angelegenheit.

Zerts kaufen für diesen Anwendungsfall ist noch nicht mal teuer.

Knut
Bitte warten ..
Mitglied: Simon-MCP
08.12.2010 um 23:26 Uhr
Herzlichen Dank an alle für die Hilfe.
Es hat nun alles funktioniert!
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(1)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Outlook & Mail
Outlook 2010, Exchange mit zusätzlichen IMAP-Konto, im Auftrag von (1)

Frage von StefanKittel zum Thema Outlook & Mail ...

Exchange Server
gelöst Exchange 2010 Berechtigungen wiederherstellen (21)

Frage von semperf1delis zum Thema Exchange Server ...

Exchange Server
gelöst Exchange 2010 Activesync Problem bei IOS 10.1.1 und Wildcard SSL Zertifikat (2)

Frage von hasel123 zum Thema Exchange Server ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Outlook & Mail
Outlook 2010 findet ost datei nicht (18)

Frage von Floh21 zum Thema Outlook & Mail ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...