[Exchange 2007] Syncen met mobiel

Is het niet mogelijk om dit met ActiveSync uit te voeren of zit ik nu verkeerd?

DennusB schreef op maandag 16 maart 2009 @ 16:35:

Nu gaat dit goed, maar zodra je verzenden/ontvangen selecteert duurt het even, voordat hij aangeeft dat het synchroniseren mislukt is.

Er staan logfiles op zo'n WM device, je zal er vast wel eentje voor je hebben liggen om de boel aan de praat te krijgen toch?
Kijk dan in die logs (da's gewoon te vinden) en ga met de meldingen die je daarin vind aan de slag?

En dus ga je verder spitten.

Oh ja, en vooral niet vergeten wat meer details te verschaffen aangaande je PKI.

DennusB schreef op maandag 16 maart 2009 @ 17:12:
[...]

PKI?

Public Key Infrastructure. Certificate Aurthorities, CRLs, dat soort dingen.

Het rare is trouwens ook, dat als ik owa benader via een webbrowser, krijg ik ook certificaat-error...
En dat terwijl een gloednieuw certificaat in geladen is..

Je certificate infrastructuur is dus niet goed, waarom ben je dan verbaasd dat het niet werkt?

[ Voor 9% gewijzigd door alt-92 op 16-03-2009 17:25 ]

Het zou ook vooral schelen als je met duidelijke foutmeldingen aangaande je certificaten komt, in plaats van 'doetnie'.

Als we de antwoorden uit je moeten trekken gaat dit nog een lang verhaal worden vrees ik.

Heb je het certificaat wel op je mobiele telefoon geimporteerd? Anders gaat het nooit werken, tenzij je een certificaat koopt bij bijvoorbeeld www.rapidssl.com.
En ik zou heel rap beginnen met het dichtgooien van alle poorten behalve 443 die je voor dit doel hebt geopend in je externe/internet firewall!

Exact welke melding krijg je als je met je browser naar de site toe gaat? Of geef anders even de url, desnoods privé (stoppen@hotmail.com). Als we weten wat er mis is dan kunnen we ook zeggen hoe je het op moet lossen.

Zoals gezegd: klopt je certificaat? Wordt je authoritiy (h)erkend door je mobiel? Hoe heb je het certificaat op je mobiel geïnstalleerd?

StevenK schreef op maandag 16 maart 2009 @ 20:07:
Zoals gezegd: klopt je certificaat? Wordt je authoritiy (h)erkend door je mobiel? Hoe heb je het certificaat op je mobiel geïnstalleerd?

Hij is zelf met certsrv aan de slag gegaan. Dus het is een self-signed certificaat.

Dus de TS krijgt a: melding in OWA dat het certificaat niet getrust is en b: op het mobielje zal hij, naast het certificaat van de server ook die van zijn eigen CA moeten installeren.

DennusB schreef op maandag 16 maart 2009 @ 20:46:
[...]


Ik heb het .cer bestand gekopieerd naar de telefoon, en daarna het bestand geopend.
Ik kreeg toen de melding dat 1 of meerdere certificaten waren geinstalleerd, dat zal wel goed gegaan zijn dus.
Alleen bij IIS klopt het certificaat dus ook niet, en dat is het vage...
Dat terwijl de naam echt klopt

Heb je wel de goede fqdn gebruikt voor het maken van het certificaat? Dus als je als OWA server https://mail.domein.nl opgeeft, dan moet je diezelfde fqdn gebruiken voor het aanvragen van het certificaat.

_Arthur schreef op maandag 16 maart 2009 @ 20:47:
[...]

Hij is zelf met certsrv aan de slag gegaan. Dus het is een self-signed certificaat.

Dus de TS krijgt a: melding in OWA dat het certificaat niet getrust is en b: op het mobielje zal hij, naast het certificaat van de server ook die van zijn eigen CA moeten installeren.

Als die van de server gesigned is met het root cert is alleen de root nodig.

Snake schreef op maandag 16 maart 2009 @ 20:54:
Als die van de server gesigned is met het root cert is alleen de root nodig.

Op een WM 5 mobieltjes moest ik destijds beide installeren. Aangezien het server cert niet geaccepteerd werd (wegens niet trusted). Dunno of dat met nieuwe WM OS-en nog steeds zo is.

Werkt je OWa uberhaupt wel?
Werk je met Ex2003 of Ex2007?

Ik moet zeggen, dat ik met mijn SBS 2008 installatie thuis het ook nog niet voor elkaar heb gekregen om push mail aan de gang te krijgen. Er zijn zo ontzettend veel verschillende sites met stukjes van de hele puzzel te vinden, maar geen een site die het duidelijk als 1 geheel aanpakt en duidelijk kan maken hoe je het moet configureren.

interessant topic. probeer hetzelfde te bereiken met ex2003.

Ik weet dat je het hier op Tweakers niet mag vragen, maar ik heb ook het donkerbruine vermoeden dat er ook andere Tweakers die dit wel werkend hebben gekrijgen zijn. Heeft iemand een soort van stappen plan om dit werkend te krijgen? Ik hoef echt geen stap voor stap druk hier op, ga daar heen en druk daar op handleiding, maar een lijstje met dingen die gedaan moeten worden zou zeer wenselijk zijn. Dan zouden DennusB en ik het verder uit kunnen werken ter lering en vermaak van anderen.

Het is heel simpel (ja echt!)

1. Je moet een geldig certificaat hebben (dwz, ook voor de url waar je naar toe gaat https://extern.com/owa)
2. De client moet het certificaat trusten. Dwz; als je met IE er naar toe gaat mag je GEEN melding krijgen.

Het certificaat importeren op de telefoon is leuk, maar je moet ook de ROOT importeren. Het certificaat dat op de server staat op de telefoon zetten helpt niet.

Het werkt zo;

Stel jij maakt je eigen paspoort en die laat je zien bij de douane..wat denk je dat ze zeggen? Iets anders is als jij gemachtigd bent om je eigen paspoort te maken.. of dat je je (eigengemaakte) paspoort bij iemand laat zien die jou vertrouwd (je familie ofzo ). Het "vertrouwen" is wat de telefoon/pda niet heeft. Dat moet je dus eerst fixen door OF een public certificate te gebruiken (lees: kopen) OF je eigen Certificate Auhtority op te zetten (je eigen douane zeg maar). Als je een van die 2 hebt werkt het. Een combi kan ook btw.

Werkt je OWA zonder melding, dan werkt je ActiveSync ook en je RPC/HTTPS ook.

[ Voor 3% gewijzigd door Verwijderd op 16-03-2009 23:09 ]

DennusB schreef op maandag 16 maart 2009 @ 21:58:
Heb nu in totaal 9 certificaten gegenereerd, en geen enkele werkt zoals hij moet.
Hoop dat iemand mij(ons) de oplossing kan geven

Ik heb het nooit werkend kunnen krijgen met een zelf gegenereerd certificaat. (ook niet lang geprobeerd trouwens.)

Wij hebben bij Network Solutions een SSL certificaat gekocht, en dat werkt gewoon perfect.

Jazzy, dat gaat wel werken, maar is (imo) niet de juiste weg. Self signed server certificates zijn vies Ok, als je kijkt naar het doel en de middelen dan is het ok, maar toch.

Verwijderd schreef op dinsdag 17 maart 2009 @ 08:15:
Jazzy, dat gaat wel werken, maar is (imo) niet de juiste weg. Self signed server certificates zijn vies Ok, als je kijkt naar het doel en de middelen dan is het ok, maar toch.

De topicstarter wil ActiveSync op een paar devices. Die 3 x 5 minuten werk die het kost om het certificaat op het device te zetten weegt (mijns insziens) niet op tegen de kosten van een trusted certificate. Verder kan het certificaat altijd nog vervangen worden door een vertrouwd certificaat, maar dan moet de TS eerst vertrouwd zijn met het proces en weten waar je op moet letten.

Even voor de volledigheid, als je echt alle fucntionaliteit wilt gebruiken dan moeten er meerdere hostnamen op je certificaat staan. Maar voor OWA en ActiveSync is dit nu voldoende.

Jazzy schreef op dinsdag 17 maart 2009 @ 08:42:
[...]
De topicstarter wil ActiveSync op een paar devices. Die 3 x 5 minuten werk die het kost om het certificaat op het device te zetten weegt (mijns insziens) niet op tegen de kosten van een trusted certificate. Verder kan het certificaat altijd nog vervangen worden door een vertrouwd certificaat, maar dan moet de TS eerst vertrouwd zijn met het proces en weten waar je op moet letten.

Even voor de volledigheid, als je echt alle fucntionaliteit wilt gebruiken dan moeten er meerdere hostnamen op je certificaat staan. Maar voor OWA en ActiveSync is dit nu voldoende.

Dat is ook zo. Ik bedoel alleen dat de CA dan de server zelf is als ik mij niet vergis. Je kan dan beter een dedicated CA hebben.. en daar hoef je geen certificaat voor te kopen. Het is wel meer werk ja..eens.

Verder wat copy en paste werk:

Limitations of the Self-Signed Certificate
The following list describes some limitations of the self-signed certificate.

Expiration Date: The self-signed certificate expires 12 months after Exchange 2007 is installed. When the certificate expires, a new self-signed certificate must be manually generated by using the New-ExchangeCertificate cmdlet.

Outlook Anywhere: The self-signed certificate cannot be used with Outlook Anywhere. We recommend that you obtain a certificate from a Windows PKI or a trusted commercial third party if you will be using Outlook Anywhere.

Exchange ActiveSync: The self-signed certificate cannot be used to encrypt communications between Microsoft Exchange ActiveSync devices and the Exchange server. We recommend that you obtain a certificate from a Windows PKI or a trusted commercial third party for use with Exchange ActiveSync.

Outlook Web Access: Microsoft Outlook Web Access users will receive a prompt informing them that the certificate being used to help secure Outlook Web Access is not trusted. This error occurs because the certificate is not signed by an authority that the client trusts. Users will be able to ignore the prompt and use the self-signed certificate for Outlook Web Access. However, we recommend that you obtain a certificate from a Windows PKI or a trusted commercial third party.

[ Voor 43% gewijzigd door Verwijderd op 17-03-2009 08:49 ]

Wat is de meerwaarde van een dedicated CA in dit geval dan?

Jazzy schreef op dinsdag 17 maart 2009 @ 08:49:
Wat is de meerwaarde van een dedicated CA in dit geval dan?

Met een dedicated CA bedoel je dan een Enterprise CA door het installeren van Certificate Services?
Je kan daar wat meer mee dan alleen een certificaatje voor OWA, bijvoorbeeld je certificaten voor EFS en de bijbehorende DRA's, of machine certificaten voor ipSec of andere devices.

Ligt er een beetje aan of je verder nog wat met PKI wil doen binnen je netwerk.

Maar voor enkel OWA/ServerActiveSync ietwat overkill. Wel leerzaam.

Jazzy, ik snap je redenatie wel en feitelijk is daar ook niks mis mee. Wat jij doet is een oplossing aanbieden die exact het probleem oplost. Is natuurlijk prima en verder geen speld tussen te krijgen. Persoonlijk zou ik alleen voor iets gaan dat ook op de langere termijn voordelen heeft. Tja..is een keuze he.

Daarnaast is de oplossing die je bied een unsupported oplossing.

[ Voor 9% gewijzigd door Verwijderd op 17-03-2009 09:15 ]

Is prima, maar dan wordt het in één keer een ander verhaal. Ten eerste denk ik dat je dan eerder een certificaat laat signen door een vetrouwde uitgever, dan heb je niet meer de noodzaak voor een interne PKI en dit geeft je het voordeel dat er geen extra handelingen meer nodig zijn voor 99% van de browsers/devices. Bovendien is het veel minder werk om je certificaat door een vertrouwde uitgever te laten signen dan een Enterprise CA te installeren en het truukje hiermee te doen.

En als je het dan echt netjes wilt doen dan regel je ook gelijk de rest van de configuratie. Dus gaan we een DNS record aanmaken voor Autodiscover.bedrijfsnaam.nl, controleren we de InternalUrl en ExternalUrl voor de diverse webdiensten en zetten we de SCP goed.

Ik ben met je eens dat het allemaal beter en mooier kan, maar volgens mij heeft de TS nu al zijn handen vol aan het werkend krijgen van de oplossing.

Verwijderd schreef op dinsdag 17 maart 2009 @ 09:12:
Daarnaast is de oplossing die je bied een unsupported oplossing.

Want?

[ Voor 9% gewijzigd door Jazzy op 17-03-2009 09:22 ]

Ik gok dat ie dit bedoelt.

Exchange ActiveSync: The self-signed certificate cannot be used to encrypt communications between Microsoft Exchange ActiveSync devices and the Exchange server. We recommend that you obtain a certificate from a Windows PKI or a trusted commercial third party for use with Exchange ActiveSync.

Lees dit maar; daar staat dat het niet gesupport wordt: http://technet.microsoft.com/en-us/library/bb851554.aspx

Important:
The self-signed certificate is not supported for use with Outlook Anywhere or Exchange ActiveSync.

Maw, voor huis tuin en keuken; prima, doen. Voor testdoeleinden om later in productie te nemen; slecht idee.

De beste oplossing is imo een eigen CA en die laten signen met een public CA. Zo heb je geen gedoe met untrusted certificates EN je hebt alles zelf in de hand en kun je alles doen dat met certificaten te maken heeft. Een combi dus van publicly trusted en een eigen CA. Maar dat is wel erg overkil voor nu

@r!k schreef op dinsdag 17 maart 2009 @ 09:35:
Ik gok dat ie dit bedoelt.

Exchange ActiveSync: The self-signed certificate cannot be used to encrypt communications between Microsoft Exchange ActiveSync devices and the Exchange server. We recommend that you obtain a certificate from a Windows PKI or a trusted commercial third party for use with Exchange ActiveSync.

Dat bedoelde ik niet Er staat wel "cannot be used", maar zover ik weet werkt het wel.. nooit geprobeerd overigens.


Ik zou in dit geval gewoon zelf de certificaten signed met je eigen CA. Zoveel werk is het niet. Een CA is zo geinstalleerd en het net staat vol met guides over hoe en wat..

[ Voor 80% gewijzigd door Verwijderd op 17-03-2009 09:46 ]

Jup, een CA is zo geïnstalleerd.

Maar dan komt het onderhoud om de hoek

Sommige wm devices accepteren het maar ik ben er ook genoeg tegengekomen die een certificaat waarvan zede CA niet kennen niet willen installeren en dus ook geen verbinding kunnen opzetten met de activesync server.

@r!k schreef op dinsdag 17 maart 2009 @ 14:05:
Sommige wm devices accepteren het maar ik ben er ook genoeg tegengekomen die een certificaat waarvan zede CA niet kennen niet willen installeren en dus ook geen verbinding kunnen opzetten met de activesync server.

Dan kun je dus op die devices nooit een certificaat in de trusted root zetten.. lijkt me erg onwaarschijnlijk voor WM devices.

Sommige nokia's willen niet werken met SAN certificaten.. die N serie dingen geloof ik, maar dat is geen WM.

Oke ik heb de guide gevolgd van Erwinvz1 en ik kan nu zonder waarschuwingen inloggen vanaf mijn Vista PC op OWA. Volgens mij loop ik nu tegen OMA problemen aan:
- reeds opgelost, OMA stond uit

Als ik nu via de browser naar oma ga dan krijg ik nu een fout in de eventlogs van de server:

Event Type: Error
Event Source: MSExchangeOMA
Event Category: (1000)
Event ID: 1805
Date: 17-3-2009
Time: 20:48:36
User: N/A
Computer: SERVER2
Description:
Request from user userx@capteam.local resulted in the Microsoft(R) Exchange back-end server SERVER2 returning an HTTP error with status code 405

Response:
Date: Tue, 17 Mar 2009 19:48:36 GMT
Server: Apache/2.2.4 (Win32)
Allow: GET,HEAD,POST,OPTIONS,TRACE
Content-Length: 312
Keep-Alive: timeout=15, max=100
Connection: Keep-Alive
Content-Type: text/html; charset=iso-8859-1

Nu wil het geval dat IIS op poort 81 (niet beveiligd) en poort 443 (beveiligd) draait.
Op poort 80 zit Apache te webserveren...

iis moet (ook) op poort 80 draaien anders werkt het niet.

[ Voor 5% gewijzigd door Zwelgje op 17-03-2009 21:18 ]

Draai dat eens effe om dan.

Je CRL wordt namelijk ook door je CA over IIS poort 80 geserveerd - evenals OMA.
Reden te meer om dat soort fratszen dus niet te doen

[ Voor 72% gewijzigd door alt-92 op 17-03-2009 21:20 ]

Mis ik trouwens iets? Voor zover ik weet zit er helemaal geen OMA meer in 2007.

Jazzy schreef op dinsdag 17 maart 2009 @ 21:28:
Mis ik trouwens iets? Voor zover ik weet zit er helemaal geen OMA meer in 2007.

CAP-Team heeft een 2003 exchange doosje

Op poort 80 doet ie 't ook niet..

A System error has occurred while processing your request. Please try again. If the problem persists, contact your administrator

Zowel voor OMA als voor Active-Sync staat SSL aan. Ik had ook ergens gelezen dat dat juist niet moet, maar dat werkt ook niet.

In de eventlogs op de server houd ik een 403 forbidden foutmelding (event 1503)

[ Voor 11% gewijzigd door CAP-Team op 17-03-2009 21:50 ]

CAP-Team schreef op dinsdag 17 maart 2009 @ 21:49:
Op poort 80 doet ie 't ook niet..


[...]


Zowel voor OMA als voor Active-Sync staat SSL aan. Ik had ook ergens gelezen dat dat juist niet moet, maar dat werkt ook niet.

In de eventlogs op de server houd ik een 403 forbidden foutmelding (event 1503)

open anders een nieuw topic voor dit probleem, je zit nu in andermans topic

Pff, wat een zootje wordt het dan.

DennusB, als je nog meeleest. Kun je misschien even samenvatten wat je nu precies gedaan hebt en wat er nog fout gaat?

hmm was niet mijn bedoeling om het topic te kapen, misschien wil een van de heren admins het topic splitsen?

Okay, dan gaan we daar verder. Welke fout krijg je in IE?

DennusB schreef op dinsdag 17 maart 2009 @ 23:44:
Certificaat is aangemaakt in de console van Exchange

Als ik eea goed heb gelezen kun je een in Exchange gegenereerd certificaat hier ook niet voor gebruiken. Wat gebeurt er als je een certificate server optuigt of een certificaat van een free provider gebruikt?

DennusB schreef op woensdag 18 maart 2009 @ 10:06:
Verder krijg ik deze error in IE:
[afbeelding]

Dat is niet de error, daar staat alleen dat er iets mis is met het certificaat. Klik op doorgaan en bekijk dan het certificaat. Ik gok dat er twee fouten op staan.

Geef trouwens ook nog even het commando die je hebt gegeven om het certificate signing request te genereren (New-ExchangeCertificate -GenerateRequest... enz.).

[ Voor 16% gewijzigd door Jazzy op 18-03-2009 10:37 ]

Wat is de foutmelding nu in IE, nog steeds de zelfde of een iets andere?

DennusB schreef op woensdag 18 maart 2009 @ 11:35:
[...]


Ja is nogsteeds hetzelfde.

Welke naam staat er nu precies in je adresbalk en naam staat er nu precies in je certificaat? Die namen moeten gewoon hetzelfde zijn.

Als jij jouw mailserver van buitenaf benaderd op mail.dennus.nl, dan moet de hostname in het certificaat ook mail.dennus.nl zijn.

DennusB, technisch klopt het allemaal wel wat je doet. Alleen administratief gaat het niet helemaal goed. Maak even een lijstje met de namen waarop de server te bereiken is.

Stel mijn server heet piet.domain.local en extern heb ik extern.net. Namen die ik dan kan bedenken voor mijn server en het certificaat;

piet
piet.domain.local
owa.domain.local
rpchttp.domain.local
piet.extern.net
owa.extern.net
rpchttp.extern.net

etc etc.. je ziet al, dat lijstje kan aardig lang worden.

Op het moment dat je de server benaderd via een bepaalde naam, dan MOET die naam ook op het certificaat staan. Stel je zet mail.extern.net op je certificaat, dan krijg je dus een foutmelding als je gaat naar https://extern.net want die staat er niet op. Zorg dus dat je het hetzelfde houdt.

Maar om het dan weer even overzichtelijk te maken... Doorgaans is intern geen versleuteling nodig dus ga je gewoon via HTTP, geen certificaat nodig. Dus hoeft alleen de externe naam op het certificaat te staan en dat hoeft er maar eentje te zijn, bijvoorbeeld owa.extern.net.

Als intern ook SSL moet zijn dan kun je in DNS een A-record maken die de externe naam owa.extern.net verwijst naar het internet IP-adres van je server, bijvoorbeeld 192.168.1.100.

StevenK schreef op woensdag 18 maart 2009 @ 11:48:
Welke naam staat er nu precies in je adresbalk en naam staat er nu precies in je certificaat? Die namen moeten gewoon hetzelfde zijn.

Kijk ook welk certificaat je browser krijgt voorgeschoteld. Dus wanneer je owa bezoekt - kijk welke url je gebruikt en vergelijk dit met het certificaat dat de browser ziet (dubbel klikken op het slotje in je status balk in IE).

Heb je aanpassingen gedaan in IIS op de Exchange server?

Edit: En als het nu gelukt is, vertel dan even wat er fout ging en hoe je dat opgelost hebt. Het is redelijk irritant als je zo veel informatie achter houdt.

[ Voor 58% gewijzigd door Jazzy op 18-03-2009 13:00 ]

Als het in IE werkt, verwijder dan eens je root certificaat en je webserver/exchange certificaat op je WM device.

Daarna in IE op dat slotje klikken zodat je in IE je certificaten kan zien. Exporteer zowel je webserver certificaat als je root certificaat opnieuw en installeer ze eens opnieuw op je wm device. Doe voor de zekerheid ook eens een softreset.

Is het trouwens een WM5 of WM6.1 device ? Is het 6.1 dan kun je autodiscover ook aanzetten op je exchange en niet geheel onbelangrijk, autodiscover.domeinnaam.nl in je certificaat toevoegen. OP je wm device hoef je dan alleen maar je gebruikers naam en ww ingeven, de rest van de configuratie gaat dan vanzelf.