7
Exchange ActiveSync mit Mobiltelefon (Aktuelle Konto hat keine Berechtigungen zu Synchronisieren)
Es wird versucht ein HTC Desire (Android Smartphone) mit einem Exchange-Postfach über ActiveSync zu verbinden. Doch leider erhalte ich dabei die Fehlermeldung:
Für das Konto im Microsoft Exchange Server gibt es keine Berechtigung zu Synchronisierung mit den aktuellen Einstellungen.
Kontaktieren Die den Exchange-Server-Administrator.
Hallo zusammen,
ich versuche momentan mein HTC Desire Smartphone mit meinem Exchange-Server 2007 zu verbinden um E-Mails usw... abrufen zu können.
Doch leider erhalte ich hierbei die folgende Fehlermeldung:
Für das Konto im Microsoft Exchange Server gibt es keine Berechtigung zu Synchronisierung mit den aktuellen Einstellungen.
Kontaktieren Die den Exchange-Server-Administrator.
Umgebung:
- Windows Server 2008 R2
- Exchange 2007
- Eigenes Zertifikat
Der Zugriff auf die OWA-Seite funktioniert ohne Probleme. Es wird nur ein Warnhinweis angezeigt das dass Zertifikat nicht vertrauenswürdig ist da ich es selbst erstellt habe!
Mit dem Smartphone komme ich soweit das er mir das Zertfikat anzeigt und eben auch eine Warnung. Dieses Zertifikat aktzeptiere ich und dann kommt die oben genannte Fehlermeldung.
Muss ich hier noch irgendwelche Einstellungen am Exchange oder IIS vornehmen?
Welche IIS-Authentifizierungsmethoden für die Microsoft ActiveSync Site müssen den aktiv sein? Dort stehen alle auf "Disabled". Und was gibt es noch zu beachten? Ich denke das es nicht viel sein kann da ich ja kurz vor dem Ziel bin!
Ich weiß momentan nicht mehr weiter und würde mich über eure Hilfe sehr freuen.
Freundliche Grüße
ich versuche momentan mein HTC Desire Smartphone mit meinem Exchange-Server 2007 zu verbinden um E-Mails usw... abrufen zu können.
Doch leider erhalte ich hierbei die folgende Fehlermeldung:
Für das Konto im Microsoft Exchange Server gibt es keine Berechtigung zu Synchronisierung mit den aktuellen Einstellungen.
Kontaktieren Die den Exchange-Server-Administrator.
Umgebung:
- Windows Server 2008 R2
- Exchange 2007
- Eigenes Zertifikat
Der Zugriff auf die OWA-Seite funktioniert ohne Probleme. Es wird nur ein Warnhinweis angezeigt das dass Zertifikat nicht vertrauenswürdig ist da ich es selbst erstellt habe!
Mit dem Smartphone komme ich soweit das er mir das Zertfikat anzeigt und eben auch eine Warnung. Dieses Zertifikat aktzeptiere ich und dann kommt die oben genannte Fehlermeldung.
Muss ich hier noch irgendwelche Einstellungen am Exchange oder IIS vornehmen?
Welche IIS-Authentifizierungsmethoden für die Microsoft ActiveSync Site müssen den aktiv sein? Dort stehen alle auf "Disabled". Und was gibt es noch zu beachten? Ich denke das es nicht viel sein kann da ich ja kurz vor dem Ziel bin!
Ich weiß momentan nicht mehr weiter und würde mich über eure Hilfe sehr freuen.
Freundliche Grüße
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 156314
Url: https://administrator.de/contentid/156314
Printed on: April 16, 2024 at 10:04 o'clock
7 Comments
Latest comment
Zitat von @Simon-MCP:
Der Zugriff auf die OWA-Seite funktioniert ohne Probleme. Es wird nur ein Warnhinweis angezeigt das dass Zertifikat nicht
vertrauenswürdig ist da ich es selbst erstellt habe!
Der Zugriff auf die OWA-Seite funktioniert ohne Probleme. Es wird nur ein Warnhinweis angezeigt das dass Zertifikat nicht
vertrauenswürdig ist da ich es selbst erstellt habe!
Wenn das Zertifikat bzw. der Stammzertifizierungsstelle nicht vertraut wird, gibt es eine Fehlermeldung, richtig! Deswegen muss ihr vertraut werden. Sowohl Zertifikat des Servers, als auch das Zertifikat der Root CA (Stammzertifizierungsstelle) MUSS installiert werden!
Ansonsten funktioniert die Synchonisation mittels EAS nicht!
Mit dem Smartphone komme ich soweit das er mir das Zertfikat anzeigt und eben auch eine Warnung. Dieses Zertifikat aktzeptiere ich
und dann kommt die oben genannte Fehlermeldung.
Muss ich hier noch irgendwelche Einstellungen am Exchange oder IIS vornehmen?
und dann kommt die oben genannte Fehlermeldung.
Muss ich hier noch irgendwelche Einstellungen am Exchange oder IIS vornehmen?
Nein, im IIS musst du standardmäßig keine Veränderung vornehmen.
Du musst lediglich garantieren, dass beide Zertifikate auf dem Smatphone installiert sind.
Du darfst schon bei dem Verbindungsaufbau zu OWA keine Zertifikatsfehlermeldung erhalten. Bekommst du diese schon bei OWA, wird die Synchronisierung fehlschlagen.
Grund: Der EAS-Dienst baut eine Verbindung mit Hilfe von OWA zum Postfach des Benutzers auf und gibt die Authentifizierungsinformationen mit.
Welche IIS-Authentifizierungsmethoden für die Microsoft ActiveSync Site müssen den aktiv sein? Dort stehen alle
auf "Disabled". Und was gibt es noch zu beachten? Ich denke das es nicht viel sein kann da ich ja kurz vor dem Ziel
bin!
auf "Disabled". Und was gibt es noch zu beachten? Ich denke das es nicht viel sein kann da ich ja kurz vor dem Ziel
bin!
Alle auf disabled wie sollen sich bei dieser Einstellung Benutzer authentifizieren?
-> Standardauthentifizierung aktivieren! ( wobei BN und PW per SSL/TLS übertragen werden )
Aber zunächst, solltest du die Zertifikatsfehler beheben.
Stammzertifizierungsstelle muss auf dem Smartphone als vertrauenswürdig eingestuft sein.
(bzw. im Zertifikatsspeicher: \Stamm hinterlegt sein)
Das Serverzertifikat musst du ebenfalls auf dem Smartphone implementieren.
Setzt voraus, dass du auf einem Client bzw. vom Server, ohne Zertifikatsfehler auf OWA zugreifen kannst.
Setzt voraus, dass dein Zertifikat auf relevante Namen ausgestellt ist.
Voallem für den FQDN von OWA, Outlook Anywhere, (Autodiscover).
Falls dies nicht der Fall ist, bringt es auch nichts, der Zertifizierungsstelle zu vertrauen (prinzipiell schon),
da aber das Zeritifkat auf falsche Namen (FQDN's) ausgestellt ist, wirst du den Fehler nicht beheben können und somit wird auch keine Synchronisierung erfolgreich sein.
Wie du das Zertifikat richtig installierst, siehst du hier:
Exchange Zertifikat für mehrere DNS-Namen ausstellen (Exchange 2007)/
oder hier:
http://www.msxfaq.de/404.htm
Wie du die Zertifizierungsstelle auf dem Server richtig installierst, siehst du hier:
http://stephan-mey.de/?p=501
Und der Link ist auch noch nützlich aber fang schön von vorne an
http://stephan-mey.de/?p=545
Gruß
Mey
Mahlzeit,
also ich bin der Meinung, das für das Microsoft-Server-Activsync das OWA in diesem Sinne gar nicht gebraucht wird. Smartphones und Mobile Endgeräte kommen über das Virtuelle Verzeichnis OMA und diese wiederum nutzt eine dll welche die OWA zur Authentifizierung nimmt. Daher reicht es aus Sicherheitsgründen aus, den Zugriff auf das Exchangewebverzeichnis auf "lokalen Zugriff" zu beschrenken (Sofern wirklich außerhalb von deinem Netzwerk keiner Zugreifen muss. Selbst wenn, würde ich das via VPN machen, aber das gehört hier nicht her.)
Das der USer an sich nicht Synchronisieren darf, kann auch eine Fehlerhafte Einstellung im AD des jeweiligen Benutzers sein. Die Verwendung von MobileDiensten etc. Kannst du klar definieren!! (Freigeben oder Verweigern!) Dazu einfach die Eigenschaften des Benutzers öffnen und unter "Exchange Erweitert" die Berechtigungen prüfen.
Gruß Knut
also ich bin der Meinung, das für das Microsoft-Server-Activsync das OWA in diesem Sinne gar nicht gebraucht wird. Smartphones und Mobile Endgeräte kommen über das Virtuelle Verzeichnis OMA und diese wiederum nutzt eine dll welche die OWA zur Authentifizierung nimmt. Daher reicht es aus Sicherheitsgründen aus, den Zugriff auf das Exchangewebverzeichnis auf "lokalen Zugriff" zu beschrenken (Sofern wirklich außerhalb von deinem Netzwerk keiner Zugreifen muss. Selbst wenn, würde ich das via VPN machen, aber das gehört hier nicht her.)
Das der USer an sich nicht Synchronisieren darf, kann auch eine Fehlerhafte Einstellung im AD des jeweiligen Benutzers sein. Die Verwendung von MobileDiensten etc. Kannst du klar definieren!! (Freigeben oder Verweigern!) Dazu einfach die Eigenschaften des Benutzers öffnen und unter "Exchange Erweitert" die Berechtigungen prüfen.
Gruß Knut
Zitat von @knut4linux:
also ich bin der Meinung, das für das Microsoft-Server-Activsync das OWA in diesem Sinne gar nicht gebraucht wird.
also ich bin der Meinung, das für das Microsoft-Server-Activsync das OWA in diesem Sinne gar nicht gebraucht wird.
Wird benötigt!, siehe meine Antwort oben!
Siehe auch: http://stephan-mey.de/?p=573
Smartphones und Mobile Endgeräte kommen über das Virtuelle Verzeichnis OMA und diese wiederum nutzt eine dll welche die OWA zur Authentifizierung nimmt
Nein, nicht mehr in Exchange 2007/2010! Das gab es in Exchange 2003.
http://www.msexchange.org/articles_tutorials/exchange-server-2007/mobil ...
Das der USer an sich nicht Synchronisieren darf, kann auch eine Fehlerhafte Einstellung im AD des jeweiligen Benutzers sein. Die
Verwendung von MobileDiensten etc. Kannst du klar definieren!! (Freigeben oder Verweigern!) Dazu einfach die Eigenschaften des
Benutzers öffnen und unter "Exchange Erweitert" die Berechtigungen prüfen.
Verwendung von MobileDiensten etc. Kannst du klar definieren!! (Freigeben oder Verweigern!) Dazu einfach die Eigenschaften des
Benutzers öffnen und unter "Exchange Erweitert" die Berechtigungen prüfen.
Die sind standardmäßig aktiviert!
siehe: http://stephan-mey.de/?p=573
Und siehe auch die Erläuterung seines Fehlers, "Warnung bei Zugriff auf OWA",
welches definitiv auf einen Zertifikatsfehler hindeutet.
Gruß
Hallo ollembyssan,
vielen Dank für den super Link! Danach habe ich schon gesucht als ich damals (schon paar Monate her) den Server eingerichtet habe hatte aber nichts gefunden.
Ich habe nun ein Zertifikat erstellt das für mehrere FQDNs ausgestellt ist. Nun kommt auch endlich nicht mehr die störende Zertifikatsfehlermeldung wenn ich mich von extern über den DynDNS-Dienst auf meine OWA-Site verbinde, Danke!
Da ich selbst noch nicht im Besitz eines Smarthphones bin werde ich das ganze erst am Montag wieder testen können.
Wenn ich aber auf beiden Seiten IIS und Exchange Management Console die Optionen "Zertifikat Required" auswähle, komme ich nicht mehr auf die: https://domain.no-ip.info/Microsoft-Server-ActivceSycn Site!
Fehlermeldung:
Server Error403 - Forbidden: Access is denied.
You do not have permission to view this directory or page using the credentials that you supplied.
Wähle ich hingegen einfach auf beiden Seiten die Funktionen das Zertifkate erlaubt sind funktioniert es und es kommt ein Anmeldefenster...
Welche Optionen sollte ich auf der IIS Seite und Exchange Management Console Seite aktivieren bzw. deaktivieren damit meine Verbindung sicher ist?
Vielen Dank.
Freundliche Grüße
vielen Dank für den super Link! Danach habe ich schon gesucht als ich damals (schon paar Monate her) den Server eingerichtet habe hatte aber nichts gefunden.
Ich habe nun ein Zertifikat erstellt das für mehrere FQDNs ausgestellt ist. Nun kommt auch endlich nicht mehr die störende Zertifikatsfehlermeldung wenn ich mich von extern über den DynDNS-Dienst auf meine OWA-Site verbinde, Danke!
Da ich selbst noch nicht im Besitz eines Smarthphones bin werde ich das ganze erst am Montag wieder testen können.
Wenn ich aber auf beiden Seiten IIS und Exchange Management Console die Optionen "Zertifikat Required" auswähle, komme ich nicht mehr auf die: https://domain.no-ip.info/Microsoft-Server-ActivceSycn Site!
Fehlermeldung:
Server Error403 - Forbidden: Access is denied.
You do not have permission to view this directory or page using the credentials that you supplied.
Wähle ich hingegen einfach auf beiden Seiten die Funktionen das Zertifkate erlaubt sind funktioniert es und es kommt ein Anmeldefenster...
Welche Optionen sollte ich auf der IIS Seite und Exchange Management Console Seite aktivieren bzw. deaktivieren damit meine Verbindung sicher ist?
Vielen Dank.
Freundliche Grüße
Zitat von @Simon-MCP:
Wenn ich aber auf beiden Seiten IIS und Exchange Management Console die Optionen "Zertifikat Required" auswähle,
komme ich nicht mehr auf die: https://domain.no-ip.info/Microsoft-Server-ActivceSycn Site!
Fehlermeldung:
Server Error403 - Forbidden: Access is denied.
You do not have permission to view this directory or page using the credentials that you supplied.
Wenn ich aber auf beiden Seiten IIS und Exchange Management Console die Optionen "Zertifikat Required" auswähle,
komme ich nicht mehr auf die: https://domain.no-ip.info/Microsoft-Server-ActivceSycn Site!
Fehlermeldung:
Server Error403 - Forbidden: Access is denied.
You do not have permission to view this directory or page using the credentials that you supplied.
Das kommt daher, dass du kein Clientzertifikat besitzt, welches du auch nicht brauchst, außer du hast vor, dass sich der Client am Server mit einem Zertifikat authentifiziert.
Ansonsten authentifiziert sich nur der Server mit seinem Zertifikat beim Client (genauer: mit einer Kopie seines öffentlichen Zertifikatsschlüssels)
Bitte wähle die Option: Clientzertifikate ignorieren oder akzeptieren
Wähle ich hingegen einfach auf beiden Seiten die Funktionen das Zertifkate erlaubt sind funktioniert es und es kommt ein Anmeldefefenster
Richtig so, siehe oben.
Gruß
Stephan
Ach Ollembyssan, vielen Dank für dein teaching. Das hätte ich nun nicht gedacht, dass die Redmonder ihr Konzept schon wieder verworfen haben... Nun ja, jetzt weiß darüber auch bescheid.
In diesem Fall würde ich (Wenn OWA benötigt wird) die Clients nur durch ein Zertifikat authentifizieren lassen. Ein Client Zertifikat kannst du erstellen wenn du den "Zertifikatsdienst" ausrollst. Aber einen eigenen CA Dienst in einer Domäne wegen ein paar Clients finde ich eher Aufwändig und das Problem dabei ist zu dem, das du diesen Dienst auch bei jeder Migration mitschleifen musst bzw. deinstallieren und das ist ne unschöne Angelegenheit.
Zerts kaufen für diesen Anwendungsfall ist noch nicht mal teuer.
Knut
Das kommt daher, dass du kein Clientzertifikat besitzt, welches du auch nicht brauchst, außer du hast vor, dass sich der Client am Server mit einem Zertifikat authentifiziert
In diesem Fall würde ich (Wenn OWA benötigt wird) die Clients nur durch ein Zertifikat authentifizieren lassen. Ein Client Zertifikat kannst du erstellen wenn du den "Zertifikatsdienst" ausrollst. Aber einen eigenen CA Dienst in einer Domäne wegen ein paar Clients finde ich eher Aufwändig und das Problem dabei ist zu dem, das du diesen Dienst auch bei jeder Migration mitschleifen musst bzw. deinstallieren und das ist ne unschöne Angelegenheit.
Zerts kaufen für diesen Anwendungsfall ist noch nicht mal teuer.
Knut
Herzlichen Dank an alle für die Hilfe.
Es hat nun alles funktioniert!
Es hat nun alles funktioniert!