none
Exchange Server, Zugriff per Windows Phone, Fehlercode 80072F0D RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo Community,

    ich bin seit einigen Jahren "nur noch User", habe mich seit mehr als 10 Jahren nicht mehr intensiv mit IT-Fragen befasst und dadurch auch den Anschluss verpasst. Kann auch gut möglich sein, dass diese Frage so oder ähnlich schon hier gestellt und erschöpfend geklärt wurde. Für diesen Fall bitte ich um Entschuldigung.

    Mein Anliegen:

    Ich scheitere an einem Problem, was eventuell lösbar ist oder für das es sicherlich eine akzeptable und nachvollziehbare Antwort geben sollte, was zu tun ist oder was "Andere" (Spezialisten der IT-Abteilung meines Arbeitgebers) unternehmen müssten.

    Ich habe vor wenigen Monaten ein Android- gegen ein Windows Phone (HTC HD7) getauscht. Seit dem habe ich das Problem, dass ich mit dem WP7-Gerät keinen Zugriff mehr auf den Exchange-Server (Mail, Adressbuch, Kalender, Aufgaben) meines Arbeitgebers habe. Sowohl mit iOS, Android, Windows Mobile funktionierte das problemlos, es wurde zwar hin und wieder angezeigt, dass das Zertifikat der Seite fehlerhaft wäre, allerdings wurde nach dem Klick auf "Weiter" stets der Zugriff gewährt. Mit meinem Windows Phone ist das leider nicht mehr möglich und ich erhalte den Fehlercode 80072F0D.

    Wie in vielen Foreneinträgen geschrieben, brachten die Lösungsvorschläge bisher kein Ergebnis (Zertifikat per Browser exportieren, am Smartphone importieren...).

    Die IT-Spezialisten meines Arbeitgebers (öffentlicher Dienst) sind der Meinung, dass die "zugriffsberechtigten" KollegInnen eh per iOs oder Android auf das System zugreifen und dass eine Anpassung wegen eines Einzelnen nicht notwendig sei, zumal die vom Arbeitgeber ausgereichten Diensthandys ebenfalls mit den "weit verbreiteten Systemen Android oder iOS" ausgestattet seien.

    Gibt es eine Möglichkeit, diesen Zertifikats-Fehler zu umgehen? Würde mir eine Zusendung des Server-Zertifikats durch die ITler helfen oder sind die Messen nach der üblichen und leider erfolglosen Installation des Zerifikats (siehe oben) gelesen?


    Besten Dank für die Bemühungen


    Mathias Schreiter

    Donnerstag, 3. Januar 2013 12:04
    |

Antworten

  • Question
    Anmelden
    0
    Anmelden

    Hi Mathias,

    Danke für die Bemühungen! Ich werde noch ein bisschen tüfteln. Sonst bleibt mir eben nur der Zugriff vom Büro aus über mein Android-Tablet und WLAN. Das schränkt mich zwar ein, aber was soll's!

    ...da lasse ich lieber iOS und WP zu als ein OS mit unkontrollierter Entwicklung - das wäre für mich das größere Sicherheitsloch.

    Viele Erfolg und abschließen kannst du den Thread über das markieren einer hilrfreichen Antwort...

    Viele Grüße
    Christian

    Freitag, 4. Januar 2013 10:14
    |
    Moderator

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden

    Moin,

    Gibt es eine Möglichkeit, diesen Zertifikats-Fehler zu umgehen?

    Nein. Wenn das Zertifikat fehlerhaft ist, weigert sich Windows Phone, eine Verbindung auszubauen.

    Würde mir eine Zusendung des Server-Zertifikats durch die ITler helfen oder sind die Messen nach der üblichen und leider erfolglosen Installation des Zerifikats (siehe oben) gelesen?

    Das kann so nicht beantwortet werde, weil zuerst geklärt werden müsste, WARUM das Zertifikat fehlerhaft ist.

    -> Abgelaufen = keine Chance
    -> URL falsch = keine Chance
    -> nicht vertrauenswürdig: Root-CA-Cert muss importiert werden

    Grüße aus Berlin schickt Robert
    MVP Exchange Server
    Donnerstag, 3. Januar 2013 13:18
    |
  • Question
    Anmelden
    0
    Anmelden

    Moin,

    Gibt es eine Möglichkeit, diesen Zertifikats-Fehler zu umgehen?

    Nein. Wenn das Zertifikat fehlerhaft ist, weigert sich Windows Phone, eine Verbindung auszubauen.

    Würde mir eine Zusendung des Server-Zertifikats durch die ITler helfen oder sind die Messen nach der üblichen und leider erfolglosen Installation des Zerifikats (siehe oben) gelesen?

    Das kann so nicht beantwortet werde, weil zuerst geklärt werden müsste, WARUM das Zertifikat fehlerhaft ist.

    -> Abgelaufen = keine Chance
    -> URL falsch = keine Chance
    -> nicht vertrauenswürdig: Root-CA-Cert muss importiert werden

    Grüße aus Berlin schickt Robert
    MVP Exchange Server
    Donnerstag, 3. Januar 2013 13:18
    |
  • Question
    Anmelden
    0
    Anmelden

    Besten Dank für die ausführliche und erschöpfende Antwort.

    Ich habe mir die Einträge angesehen, die der Chrome-Browser und der IE zu dem Zertifikat machen. Das Zertifikat hat Gültigkeit bis Juni 2013. Unter Details sieht man zwei Einträge mit gelben Ausrufezeichen: "Alternativer Antragstellername" und "Schlüsselverwendung" (Unter Direkthilfe steht: "Gibt eine kritische X-509-Erweiterung der Version 3 an"). Ich tippe mal auf eine falsche URL in den (DNS-)Einträgen.

    Ohne eine Überarbeitung des Zertifikats durch die IT-Abteilung werde ich also keinen Zugriff per Windows Phone erhalten. Warum die Mitarbeiter der IT-Abteilung so vehement bestreiten, dass mit deren Zertifikat etwas nicht stimmt, kann ich nicht verstehen. Dort wird behauptet, dass sich außer mir noch niemand über ein nicht funktionierendes Zertifikat beschwert hätte. Dabei erhalte ich - egal mit welchem System ich mich per Browser einloggen will (Windows, Linux, egal welcher Desktop-Browser) immer eine Meldung wegen des fehlerhaften Zertifikats.

    Also nochmals Danke! Eigentlich kann der Thread dann geschlossen werden, da eine andere Antwort kaum zu erwarten ist. Wie läuft das hier? Macht das der Admin?

    O.k., "Thread schließen" steht ja da!

    Beste Grüße

    Mathias Schreiter


    Donnerstag, 3. Januar 2013 13:39
    |
  • Question
    Anmelden
    0
    Anmelden

    Ich habe mir die Einträge angesehen, die der Chrome-Browser und der IE zu dem Zertifikat machen.

    Chrome benutzt den gleichen Windows-Zertifikatespeicher, d.h. in Chrome und im IE wirst Du keinen Unterschied sehen. Mit Firefox wäre das anders, der hat seinen eigenen Speicher.

    Das Zertifikat hat Gültigkeit bis Juni 2013. Unter Details sieht man zwei Einträge mit gelben Ausrufezeichen: "Alternativer Antragstellername" und "Schlüsselverwendung" (Unter Direkthilfe steht: "Gibt eine kritische X-509-Erweiterung der Version 3 an"). Ich tippe mal auf eine falsche URL in den (DNS-)Einträgen.

    Nein, die Ausrufezeichen zeigen keinen Fehler, sondern nur eine "kritische Erweiterung" an, sind also normal.

    Fehlermeldungen zum Zertifikat stehen immer auf der ersten Seite, im Register "Allgemein".

    Grüße aus Berlin schickt Robert
    MVP Exchange Server
    Donnerstag, 3. Januar 2013 14:34
    |
  • Question
    Anmelden
    0
    Anmelden

    Hi Mathias,

    iOS und Android vertrauen der RootCA nach einer kurzen Abfrage, was beim WP nicht passiert.

    Öffne mal auf dem WP die OWA-Seite und sag uns welche Meldung da erscheint.

    Ich vermute, dass du das Root-CA nicht richtig installiert hast und ihr eine interne CA benutzt. Das Kopieren des Certs ist immer etwas schwierig, da das Geräte nicht mehr als Datenträger erkannt wird. Skydrive und Co. unterstützen dich aber.
    http://www.zim.hhu.de/fileadmin/redaktion/ZIM/LSF/Anleitung_zum_Einbinden_von_Zertifikaten_in_Windows_Phone_7-1.pdf
     -- Viele Grüße
    Christian

    Freitag, 4. Januar 2013 06:38
    |
    Moderator
  • Question
    Anmelden
    0
    Anmelden

    Hallo Christian,

    auch an Dich ein großes Dankeschön.

    Ich habe die Anweisungen des pdf-files genau befolgt und das Resultat war wieder ein negatives.

    Genau wie vorher, also nach dem Export/Import des originalen Seitenzertifikats, stellt sich das Phone quer und gibt den üblichen Fehlercode 80072F0D aus.

    Ich habe extra für den Export/Import den Firefox installiert und dann einen Screenshot der Zertifikatsansicht angefertigt, kann allerdings (noch) keine Images hier einfügen, denn das System meldet: "Body text cannot contain images or links until we are able to verify your account."

    Zumindest die oben stehende Meldung kann ich mitteilen: "Dieses Zertifikat konnte aus unbekannten Gründen nicht verifiziert werden."


    Beste Grüße

    Mathias

    Freitag, 4. Januar 2013 07:38
    |
  • Question
    Anmelden
    0
    Anmelden

    Hi Mathias Schreiter,

    Hallo Christian,

    auch an Dich ein großes Dankeschön.

    Ich habe die Anweisungen des pdf-files genau befolgt und das Resultat war wieder ein negatives.

    Genau wie vorher, also nach dem Export/Import des originalen Seitenzertifikats, stellt sich das Phone quer und gibt den üblichen Fehlercode 80072F0D aus.

    Sagt das die OWA-Seite oder der Sync?

    Ich habe extra für den Export/Import den Firefox installiert und dann einen Screenshot der Zertifikatsansicht angefertigt, kann allerdings (noch) keine Images hier einfügen, denn das System meldet: "Body text cannot contain images or links until we are able to verify your account."

    Zumindest die oben stehende Meldung kann ich mitteilen: "Dieses Zertifikat konnte aus unbekannten Gründen nicht verifiziert werden."

    Das ist die Meldung im Firefox?

    Ich glaube das hatte Robert schon geschrieben - Firefox hat seinen eigenen Cert-Speicher und eine lokale Zerifizierungsstelle muss hier zu den vertrauenswürdigen CAs hinzugefügt werden.

    Der Export sollte aber trotzdem geklappt haben, oder? Was sagt OWA am Device?

    Viele Grüße
    Christian

    Freitag, 4. Januar 2013 07:54
    |
    Moderator
  • Question
    Anmelden
    0
    Anmelden

    Das Windows Phone (IE) meldet nach dem Aufruf der Seite:

    "Es besteht ein Problem mit dem Sicherheitszertifikat dieser Webseite.

    Das Sicherheitszertifikat scheint nicht von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt worden zu sein. Das kann darauf hindeuten, dass ein Betrugsversuch vorliegt oder versucht wird, auf die von Ihnen an den Server gesendeten Informationen zuzugreifen.

    Es wird empfohlen, nicht zu dieser Seite zu wechseln. ..."

    Wenn ich die Meldung ignoriere und dennoch ("nicht empfohlen") zu dieser Seite wechsle, wird die Startseite des Exchange-Logins angezeigt.

    Der Export aus dem Firefox, das Abspeichern, Versenden, der Empfang und der Import am Smartphone haben ohne Fehlermeldungen funktioniert. 

    Ich wollte einen Screenshot von den Zertifikatseigenschaften einfügen, welche der Firefox ausgibt. Die Meldung "Body text cannot contain images or links until we are able to verify your account." gibt mir Java-Script von meinem Opera aus. Ich nutze als Standard immer Opera.

    Der Firefox meldete auf der Eigenschaftsseite für das Zertifikat: "Dieses Zertifikat konnte aus unbekannten Gründen nicht verifiziert werden." Opera meldet mir: "Das Zertifikat wurde von einer nicht vertrauenswürdigen Seite unterzeichnet."

    Freitag, 4. Januar 2013 09:16
    |
  • Question
    Anmelden
    0
    Anmelden

    Hi Mathias,

    "Es besteht ein Problem mit dem Sicherheitszertifikat dieser Webseite.

    Das Sicherheitszertifikat scheint nicht von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt worden zu sein. Das kann darauf hindeuten, dass ein Betrugsversuch vorliegt oder versucht wird, auf die von Ihnen an den Server gesendeten Informationen zuzugreifen.

    Es wird empfohlen, nicht zu dieser Seite zu wechseln. ..."

    Wenn ich die Meldung ignoriere und dennoch ("nicht empfohlen") zu dieser Seite wechsle, wird die Startseite des Exchange-Logins angezeigt.

    Es liegt also weiter an dem Cert der Zertifizieurnsstelle - du vertraust dem Herausgeber noch nicht. Hast du das Gerät mal neugestartet?

    Ich wollte einen Screenshot von den Zertifikatseigenschaften einfügen, welche der Firefox ausgibt. Die Meldung "Body text cannot contain images or links until we are able to verify your account." gibt mir Java-Script von meinem Opera aus. Ich nutze als Standard immer Opera.

    Der Firefox meldete auf der Eigenschaftsseite für das Zertifikat: "Dieses Zertifikat konnte aus unbekannten Gründen nicht verifiziert werden." Opera meldet mir: "Das Zertifikat wurde von einer nicht vertrauenswürdigen Seite unterzeichnet."

    Ja die RootCA wird nicht unterstützt und es ist die Frage, ob du nur das Cert der Website oder das Cert der Zertifizierungsstelle gesichert hast.

    Du musst dem Herausgeber vertrauen und vielleicht fragst du einfach deine Admins, ob sie es dir nicht einfach zusenden.

    Viele Grüße
    Christian

    Freitag, 4. Januar 2013 09:21
    |
    Moderator
  • Question
    Anmelden
    0
    Anmelden

    Ja, einen Neustart des Gerätes habe ich sofort nach der Installation gemacht, dennoch keine Chance, der Fehler besteht weiterhin.

    Leider zeigen die Admins bzw. Fachinformatiker meiner Behörde kein Entgegenkommen. Es gibt anscheinend nur sehr wenige "Heilige", die offiziell Zugriff von Außerhalb per Smartphone auf den Exchangeserver erhalten. Einige davon (Fachbereichsleiter u.ä.) bekommen ihre Geräte von der IT-Abteilung konfiguriert. Ich bin nur ein kleiner Angestellter im Außendienst, der sich auf Grund einiger IT-Kenntnisse den Zugang per Smartphone selbst eingerichtet hatte. So etwas wird nicht gern gesehen! Nach dem Umstieg auf Windows Phone habe ich mir den Zugang wohl selbst wieder verbaut und die Antwort der IT-Abteilung auf meine Supportanfrage fiel entsprechend ernüchternd aus: Wir vertrauen auf iOS- und Android-Smartphones, damit ist der LogIn ohne Probleme möglich. Windows Phone werden wir auch zukünftig nicht extra berücksichtigen. Überhaupt könne man meine Anfrage wegen des Zertifikatsfehlers nicht verstehen, denn außer mir hätte noch niemand einen solchen Fehler festgestellt oder gemeldet. Selbst der für Exchange und der für die betriebseigenen Smartphones zuständige Fachinformatiker bestritt, jemeils eine Fehlermeldung eines Browsers erhalten zu haben. Dabei - und das hatte ich oben schon geschrieben - meckert jeder Browser über ein nicht sicheres Zertifikat der https-Seite.

    Aber ich lerne ja noch dazu! ;-)

    Beste Grüße

    Mathias

    Freitag, 4. Januar 2013 09:32
    |
  • Question
    Anmelden
    0
    Anmelden

    Sicherlich habe ich per Firefox nur das Zertifikat der Webseite gesichert. Das Zertifikat des Ausstellers (Zertifizierungsstelle) müsste ich mir dann zusenden lassen. Diese Bitte richte ich aber lieber nicht an die Admins. Könnte sein, dass ich sie verärgere und das könnte mir zum Nachteil gereichen. :(

    Freitag, 4. Januar 2013 09:41
    |
  • Question
    Anmelden
    0
    Anmelden

    Hi Mathias,

    dann selber weiter versuchen! :-)

    Schau dir den Reiter "Vertrauenswürdige..." an:
    http://www.pentaware.com/pw_de/How_to_export_a_PFX_file_from_your_browser.htm

    Im Firefox solltest du das RootCA auch installieren und im Anschluss exportieren können. Schaffst du die Meldung an deinem PC wegzubekommen, schaffst du es auch am Gerät. :-)

    Viele Grüße
    Christian

    Freitag, 4. Januar 2013 09:54
    |
    Moderator
  • Question
    Anmelden
    0
    Anmelden

    Hi Mathias,

    Leider zeigen die Admins bzw. Fachinformatiker meiner Behörde kein Entgegenkommen. Es gibt anscheinend nur sehr wenige "Heilige", die offiziell Zugriff von Außerhalb per Smartphone auf den Exchangeserver erhalten. Einige davon (Fachbereichsleiter u.ä.) bekommen ihre Geräte von der IT-Abteilung konfiguriert. Ich bin nur ein kleiner Angestellter im Außendienst, der sich auf Grund einiger IT-Kenntnisse den Zugang per Smartphone selbst eingerichtet hatte. So etwas wird nicht gern gesehen!

    Na da gibt es eine Konfigurationsdiskrepanz. Entweder Sie lassen es zu und unterstützen, oder sie blocken es, was auch nicht schwer ist. Es ist vom Endgerät abhängig und nur "nicht gern gesehen" ist eine interessante Regelung.

    Viele Grüße
    Christian

    Freitag, 4. Januar 2013 09:57
    |
    Moderator
  • Question
    Anmelden
    0
    Anmelden

    Jo, süß, nicht wahr?! Aber es sind eben diese kleinen Ungereimtheiten, weshalb in einigen oder auch vielen Behörden die Abläufe nicht so rund laufen, wie sie es sollten. Die Aussage, dass hinter dem "nicht gern gesehen" Sicherheitsbedenken stünden verwundert umso mehr, wenn man Android-Geräten ohne Blick auf die Nutzer unbeschränkten Zugriff gewährt, einem übervorsichtigen Menschen mit IT-Erfahrungen (war früher mal Admin und für Netzwerke mit unterschiedlichsten Systemen wie Windows, Novell, UNIX/IRIX/LINUX in einem größeren Unternehmen zuständig) allerdings die Tür vor der Nase zuschlägt.

    Danke für die Bemühungen! Ich werde noch ein bisschen tüfteln. Sonst bleibt mir eben nur der Zugriff vom Büro aus über mein Android-Tablet und WLAN. Das schränkt mich zwar ein, aber was soll's!

    Beste Grüße

    Mathias

    Freitag, 4. Januar 2013 10:05
    |
  • Question
    Anmelden
    0
    Anmelden

    Hi Mathias,

    Danke für die Bemühungen! Ich werde noch ein bisschen tüfteln. Sonst bleibt mir eben nur der Zugriff vom Büro aus über mein Android-Tablet und WLAN. Das schränkt mich zwar ein, aber was soll's!

    ...da lasse ich lieber iOS und WP zu als ein OS mit unkontrollierter Entwicklung - das wäre für mich das größere Sicherheitsloch.

    Viele Erfolg und abschließen kannst du den Thread über das markieren einer hilrfreichen Antwort...

    Viele Grüße
    Christian

    Freitag, 4. Januar 2013 10:14
    |
    Moderator