none
Exchange Activesync Certificate Based Authentification und WAP (Web Application Server) RRS feed

  • Frage

  • Hallo,
    Wir haben einen Windows Server 2012 WAP-Server im Einsatz (Web Application Proxy), den wir für Exchange Active Sync (EAS) einsetzen wollen. Wenn ich das richtig verstanden habe, dann muss ActiveSync mit Pass-Through konfiguriert werden, da keine PreAuthentication mit ADFS nicht unterstützt wird.
    Die Exchange Active Sync Anmeldung soll mittels Certificate-Base-Authentication (EAS-CBA) realisiert werden. Im internen LAN funktioniert das auch einwandfrei. Die externen Anfragen, welche über den WAP-Server und dann über den Loadbalancer laufen und letztendlich an den Exchange Server CAS 2013 zugestellt werden, erhalten eine 403.7 Fehlermeldung. Die veröffentlichte Web Applikation auf dem WAP ist wie folgt konfiguriert:

    Name: Exchange-EAS
    External URL: https://owa.externedomäne.de/microsoft-server-activesync
    Backend Server URL: https://owa.externedomäne.de/microsoft-server-activesync
    Preauthentication: PASS-THROUGH

    Der WAP-Server leitet die Anfrage dann an den Exchange-CAS über den Loadbalancer. Die Anfrage ist auch sichtbar auf dem Exchange-CAS, aber mit 403.7 abgewiesen.

    Ich wäre über jeden Hinweis und Tipp dankbar.


    Donnerstag, 28. Januar 2016 20:55

Antworten

  • Hi,

    Activesync mit Zertifikaten geht mit WAP derzeit leider nicht. Problem an der Sache ist, dass der WAP das Zertifikat nicht an den Exchange weiterleiten kann.

    AFAIK wird sich das mit 2016 ändern.

    Gruß

    Christian


    Christian Groebner MVP Forefront

    Donnerstag, 28. Januar 2016 21:48

Alle Antworten

  • Hi,

    Activesync mit Zertifikaten geht mit WAP derzeit leider nicht. Problem an der Sache ist, dass der WAP das Zertifikat nicht an den Exchange weiterleiten kann.

    AFAIK wird sich das mit 2016 ändern.

    Gruß

    Christian


    Christian Groebner MVP Forefront

    Donnerstag, 28. Januar 2016 21:48
  • Hallo Christian,

    vielen Dank für Deine Antwort. "AFAIK wird sich das mit 2016 ändern" ... Du sprichst dann vom zukünftigen Windows Server 2016 als WAP, der dann evtl. diese Funktionalität mitbringt?

    Freitag, 29. Januar 2016 10:51
  • Jawohl, da meint Christian.

    WAP mit Server 2016 soll das können.

    ;)


    Gruß Norbert

    Freitag, 29. Januar 2016 15:06
    Moderator
  • Kurzes und abschließendes Feedback dazu:

    Wie bereits korrekt erwähnt, liegt es am WAP-Server (Windows Server 2012 R2). Nachdem wir umgestellt haben auf einen Kemp Loadmaster und wir dort den Reverse-Proxyserver benutzen funktioniert die Clientcertificate-Based Authentication einwandfrei.

    Dienstag, 2. Februar 2016 20:21