none
Windows-Phone-7 und Exchange-ActiveSync mit Exchange 2003 RRS feed

  • Frage

  • Hallo,

     

    ich habe bei mir zuhause ein kleines Netzwerk auf der Basis von Windows-Server-2003-R2-Standard. Aus Kostengründen – es hängen nur 5 Rechner dran – ist der Server gleichzeitig Domänencontroller und Exchange-Server. Das funktioniert auch gut und schnell.

     

    Auf dem Server läuft auch die Zertifizierungsstelle, der IIS, VPN ist eingerichtet und funktionsfähig und für den Zugriff von unterwegs auf die E-Mails läuft auch OWA, der durch SSL abgesichert ist.

     

    Nun habe ich mir das Windows-Phone „HTC HD7“ gegönnt. Dabei stellte ich etwas Unangenehmes fest:

     

    ·       VPN nicht möglich

    ·       Kein ActiveSync über das Windows-Mobile-Gerätecenter mehr, wodurch das einfache Anzapfen von Outlook nicht mehr möglich ist. Ein schweres Versäumnis, denn nicht jeder, der Outlook hat, nennt auch ein Exchange-Server sein eigen. Wie sollen diese Leute Outlook-E-Mails, -Kalender und -Kontakte mit dem Phone synchronisieren?

     

    Nun blieb mir keine andere Möglichkeit, als Exchange-ActiveSync zu aktivieren. Da ich auf OWA über SSL nicht verzichten möchte, blieb mir nichts anderes übrig, als den von Microsoft beschriebenen Weg über ein zweites virtuelles Verzeichnis, welches das Exchange-Verzeichnis als Vorlage nützt, SSL aber abschaltet, da Exchange-ActiveSync es nicht kann.

     

    Schön, es funktioniert alles, aber wie sieht es mit der Sicherheit aus? Ohne SSL wird die gesamte Information unverschlüsselt (auch Benutzernamen und Kennwörter) durchs Internet gejagt. Unschön.

     

    Nun könnte ich ein Front-End-Server hinstellen – habe noch nie gemacht, sieht aber nicht spektakulär aus -, scheint mir aber für nur ein Windows-Phone reichlich überdimensioniert.

     

    Ich könnte auch einen ISA-Server installieren, schrecke aber vom Aufwand ab, wenn ich denke, wofür das Ganze.

     

    Habe ich bezüglich der Sicherheitsbedenken etwas übersehen und drehe ich mich im Kreis oder die Bedenken sind richtig und es gibt eine einfachere Lösung?

     

    Ich würde mich sehr freuen, wenn jemand mir hilft, meine etwas durcheinander geratenen Gedanken wieder einzusortieren und vielleicht Lösungstipps gibt.

     

    Im Voraus vielen Dank!


    René
    Samstag, 29. Januar 2011 21:48

Antworten

  • Danke, ich sollte es schon wissen, dass wenn man sich zu später Stunde im Kreis dreht, Zeit zum Auffhören ist. Ausgeschlafen sah alles anders aus.

    Ich bin danach vorgegangen: http://support.microsoft.com/kb/817379/de

    Wenn ich das richtig verstehe, erfolgt die Verbindung zwischen dem virtuellen Verzeichnis Microsoft-Server-ActiveSync und dem Benutzerpostfach nur über Port 80, SSL dagegen über Port 443. Genau hier bin ich zur späten Stunde durcheinander geraten.

    Aus diesem Grund die Kopie vom virtuellen Verzeichnis Exchange in ExchangeEAS mit deaktiviertem SSL. Als zusätzliche Sicherheit wird allen Computern außer dem Server der Zugriff verweigert. Schließlich muss man in der Registry dafür sorgen, dass Microsoft-Server-ActiveSync mit dem neuen virtuellen Verzeichnis kommuniziert, was über den Registry-Key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MasSync\Parameters geschieht – Hier den neuen Zeichenfolgenwert ExchangeVDir erstellen und das neu erstellte virtuelle Verzeichnis ExchangeEAS eintragen.

    Und was war geschehen? Ich habe das Einschalten von SSL auf dem Microsoft-Server-ActiveSync vergessen, wodurch die ganze Kommunikation nur über das unsichere HTTPS-Protokoll lief und bin in meiner Müdigkeit aus dem Tritt geraten.

    Nun habe ich SSL auf dem Microsoft-Server-ActiveSync aktiviert und auf dem Windows-Phone-7 das Serverzertifikat installiert und Das Outlook-Konto über SSL eingestellt. Nun sehe ich auch die Zugriffe über den Port 443 in den Logs und ich bin beruhigt.

    Frage am Rande:

    Wie kann man ein  Zertifikat auf dem Windows-Phone-7 wieder deinstallieren?

    Ansonsten vielen Dank!


    René
    • Als Antwort markiert René - ISE Montag, 31. Januar 2011 10:49
    Montag, 31. Januar 2011 10:49

Alle Antworten

  • Hi René,

    ich habe bei mir zuhause ein kleines Netzwerk auf der Basis von Windows-Server-2003-R2-Standard. Aus Kostengründen – es hängen nur 5 Rechner dran – ist der Server gleichzeitig Domänencontroller und Exchange-Server. Das funktioniert auch gut und schnell.

    Du solltest dir mal gedanken über die Migration Richtung SBS machen... Das sollte von der Lizensierung um einiges günstiger sein und es ist in den meisten Punkten vorkonfiguriert und bietet einfache Wizards.

    Auf dem Server läuft auch die Zertifizierungsstelle, der IIS, VPN ist eingerichtet und funktionsfähig und für den Zugriff von unterwegs auf die E-Mails läuft auch OWA, der durch SSL abgesichert ist.

    Nun habe ich mir das Windows-Phone „HTC HD7“ gegönnt. Dabei stellte ich etwas Unangenehmes fest:
    ·       VPN nicht möglich
    ·       Kein ActiveSync über das Windows-Mobile-Gerätecenter mehr, wodurch das einfache Anzapfen von Outlook nicht mehr möglich ist. Ein schweres Versäumnis, denn nicht jeder, der Outlook hat, nennt auch ein Exchange-Server sein eigen. Wie sollen diese Leute Outlook-E-Mails, -Kalender und -Kontakte mit dem Phone synchronisieren?

    Ja, das ist eine gute Frage und zz. ohne weiteres nicht möglich:
    http://social.technet.microsoft.com/Forums/de/windowsmobilede/thread/7861cfc0-a9ba-46a3-ba9a-c1c9fa45a410

    http://social.answers.microsoft.com/Forums/de-DE/windowsphone7de/thread/124ce6c1-8b9e-47cf-961d-b6a36105caca

    Nun blieb mir keine andere Möglichkeit, als Exchange-ActiveSync zu aktivieren. Da ich auch OWA über SSL nicht verzichten möchte, blieb mir nichts anderes übrig, als den von Microsoft beschriebenen Weg über ein zweites virtuelles Verzeichnis, welches das Exchange-Verzeichnis als Vorlage nützt, SSL aber abschaltet, da Exchange-ActiveSync es nicht kann.

    Hä? Das sind doch unabhängige Seiten /owa und /activesync, die unabhängig angesprochen werden ein weiteres virtuelles Verzeichnis ist nicht nötig...

    Schön, es funktioniert alles, aber wie sieht es mit der Sicherheit aus. Ohne SSL wird die gesamte Information unverschlüsselt (auch Benutzernamen und Kennwörter) durchs Internet gejagt. Unschön.

    Nach welcher Anleitung bist du vorgegangen? Eigentlich hättest du nur
    RPCoverHTTPS aktivieren müssen und dafür gibt es genügend Anleitungen:
    http://www.msxfaq.de/clients/rpchttp.htm

    Nun könnte ich ein Front-End-Server hinstellen – habe noch nie gemacht, sieht aber nicht spektakulär aus -, scheint mir aber für nur ein Windows-Phone reichlich überdimensioniert.

    Ist es definitiv, aber du solltest alles über eine IP und 443 abwickeln können.

    Ich könnte auch eine ISA-Server installieren, schrecke aber vom Aufwand ab, wenn ich denke, wofür das Ganze.

    ...verständlich...

    Habe ich bezüglich der Sicherheitsbedenken etwas übersehen und drehe ich mich im Kreis oder die Bedenken sind richtig und es gibt eine einfachere Lösung?

    Ja, an der Stelle, wie ActiveSync einzurichten  ist, bist du falsch abgebogen.


    Viele Grüße
    Christian

    Montag, 31. Januar 2011 05:51
    Moderator
  • Danke, ich sollte es schon wissen, dass wenn man sich zu später Stunde im Kreis dreht, Zeit zum Auffhören ist. Ausgeschlafen sah alles anders aus.

    Ich bin danach vorgegangen: http://support.microsoft.com/kb/817379/de

    Wenn ich das richtig verstehe, erfolgt die Verbindung zwischen dem virtuellen Verzeichnis Microsoft-Server-ActiveSync und dem Benutzerpostfach nur über Port 80, SSL dagegen über Port 443. Genau hier bin ich zur späten Stunde durcheinander geraten.

    Aus diesem Grund die Kopie vom virtuellen Verzeichnis Exchange in ExchangeEAS mit deaktiviertem SSL. Als zusätzliche Sicherheit wird allen Computern außer dem Server der Zugriff verweigert. Schließlich muss man in der Registry dafür sorgen, dass Microsoft-Server-ActiveSync mit dem neuen virtuellen Verzeichnis kommuniziert, was über den Registry-Key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MasSync\Parameters geschieht – Hier den neuen Zeichenfolgenwert ExchangeVDir erstellen und das neu erstellte virtuelle Verzeichnis ExchangeEAS eintragen.

    Und was war geschehen? Ich habe das Einschalten von SSL auf dem Microsoft-Server-ActiveSync vergessen, wodurch die ganze Kommunikation nur über das unsichere HTTPS-Protokoll lief und bin in meiner Müdigkeit aus dem Tritt geraten.

    Nun habe ich SSL auf dem Microsoft-Server-ActiveSync aktiviert und auf dem Windows-Phone-7 das Serverzertifikat installiert und Das Outlook-Konto über SSL eingestellt. Nun sehe ich auch die Zugriffe über den Port 443 in den Logs und ich bin beruhigt.

    Frage am Rande:

    Wie kann man ein  Zertifikat auf dem Windows-Phone-7 wieder deinstallieren?

    Ansonsten vielen Dank!


    René
    • Als Antwort markiert René - ISE Montag, 31. Januar 2011 10:49
    Montag, 31. Januar 2011 10:49
  • Hi ihr beiden
     
    >> Nun blieb mir keine andere Möglichkeit, als Exchange-ActiveSync zu
    >> aktivieren.
    >> Da ich auch OWA über SSL nicht verzichten möchte, blieb mir nichts
    >> anderes übrig,
    >> als den von Microsoft beschriebenen Weg über ein zweites virtuelles
    >> Verzeichnis,
    >> welches das Exchange-Verzeichnis als Vorlage nützt, SSL aber abschaltet,
    >> da
    >> Exchange-ActiveSync es nicht kann.
    >
    > Hä? Das sind doch unabhängige Seiten /owa und /activesync, die unabhängig
    > angesprochen werden ein weiteres virtuelles Verzeichnis ist nicht nötig...
     
    er hat es wohl verwechselt und meint statt dessen das IIS-Verzeichnis
    "/Exchange", welches das OWA abbildet (s.u.), dass (wie bei einem SBS 2003
    vorkonfiguriert) wie hier beschrieben diesbzgl. umkonfiguriert werden muss:
     
    Exchange ActiveSync and Outlook Mobile Access errors occur when SSL or
    forms-based authentication is required for Exchange Server 2003
    http://support.microsoft.com/kb/817379/en-us
     
    Wenn dieses - wie oben in Methode 2 beschrieben - umgesetzt wird,
    funktioniert weiterhin die Verbindung externer EAS-Smartphones mit dem
    IIS-Verzeichnis "/Microsoft-Server-ActiveSync"->MASSYNC.DLL mittels einer
    verschlüsselten Verbindung via SSL/443, da lediglich der interne Verkehr
    (hier: Abarbeitung der Anfragen an MASSYNC.DLL mit Hilfe des jetzt neuen
    IIS-Verzeichnis "/exchange-oma") dann wieder über HTTP/80 abgewickelt wird,
    wie auch hier beschrieben:
     
    Exchange ActiveSync
    http://www.msxfaq.de/mobil/eas.htm
     
    --
    Tobias Redelberger
    StarNET Services (HomeOffice)
    Frankfurter Allee 193
    D-10365 Berlin
    Tel: +49 (30) 86 87 02 678
    Mobil: +49 (163) 84 74 421
    Email: T.Redelberger@starnet-services.net
    Web: http://www.starnet-services.net
     
     
     
    Montag, 31. Januar 2011 10:53
  • Vielen Dank! Wie du siehst, bin ich Opfer einer unsinnigen, nächtlichen Aktion geworden und habe auf mein inneres Ich nicht gehört. Was du beschreibst ist genau die Lösung.
    René
    Montag, 31. Januar 2011 10:57