Activesync Exchange 2007

Hippo · 9. März 2012

Hallo,
ich benutze ActiveSync mit einem Exchange 2007 und einer Astaro mit einem selbstgebauten Zertifikat. Connected sich nun ein bestimmter User mit ein Android Smartphone über Activesync mit dem EX2007, so bekommt er keine E-Mails oder Kontakte zu sehen. Im IIS Log steht folgender Fehle:
Error:InvalidPolicyKey
Hat jemand einen Hinweis, woran das liegen kann?
Andere Benutzer haben diesen Fehler nicht und Activesync funktioniert.

Hippo · 9. März 2012

Ich muss mich korrigieren, bei einem Testbenutzer, mit wenig Inhalt im Postfach, Kalender, ...) sind die "Error-Einträge" auch zu finden, aber trotzdem funktioniert Activesync auf Anhieb. Jetzt weiß ich nicht mehr weiter :cry:

NobbyausHB · 11. März 2012

Hallo,

der wäre beinahe untergegangen...

Zunächst muss man dazu sagen, das MS EAS und Outlook AnyWhere nur mit extern ausgestellten Zertifikaten garantiert und supportet.

Es kann gehen, muss aber nicht.

Die kennst du:
http://www.msxfaq.de/mobil/easerror.htm

Dieser Blog:
http://blogs.msdn.com/b/exchan…-exchange-activesync.aspx
sagt zu dem Fehler:
(Zitat) The policy key sent by the client is no longer valid. This occurs when the policy is changed on the server (a new policy key is generated each time the policy changes). The client has to resend the Provision command request to get the new policy. (Ende Zitat)

Allerdings kann dir die Astaro auch dazwischen funken.

Du könntest mal den Exrca laufen lassen, Haken rein bei Cert-Fehler ignorieren:
http://www.exrca.com

Hippo · 13. März 2012

Hallo Norbert,
danke für die Hinweise.
Ich habe mal den Zugang mit dem Tool ExRCA getestet.
Ohne gesetzten Haken "Vertrauensstellung für SSL ignorieren kommt es zu folgender Fehlermeldung:

Exchange ActiveSync wird von ExRCA getestet.
Fehler beim Testen von Exchange ActiveSync.
Testschritte
Attempting to resolve the host name activesync.Domainname.com in DNS.
The host name resolved successfully.
Weitere Details
IP addresses returned: xxx.xxx.xxx.xxx

Testing TCP port 443 on host activesync.Domainname.com to ensure it's listening and open.
The port was opened successfully.
Testing the SSL certificate to make sure it's valid.
The SSL certificate failed one or more certificate validation checks.
Testschritte
ExRCA is attempting to obtain the SSL certificate from remote server activesync.Domainname.com on port 443.
ExRCA successfully obtained the remote SSL certificate.
Weitere Details
Remote Certificate Subject: E=info@Domainname.com, CN=activesync.Domainname.com, OU=INFO, O=Firmenname, L=Ort, S=Bundesland, C=de, Issuer: E=info@Domainname.com, CN=Firmenname VPN CA, O=Firmenname, L=Ort, C=de.

Validating the certificate name.
The certificate name was validated successfully.
Weitere Details
Host name activesync.Domainname.com was found in the Certificate Subject Common name.

Validating certificate trust for Windows Mobile devices.
Certificate trust validation failed.
Testschritte
ExRCA is attempting to build certificate chains for certificate E=info@Domainname.com, CN=activesync.Domainname.com, OU=INFO, O=Firmenname, L=Ort, S=Bundesland, C=de.
A certificate chain couldn't be constructed for the certificate.
Weitere Details
The certificate chain couldn't be built. You may be missing required intermediate certificates.

Mit aktiven "Vertrauenstellung für SSL ignorieren" wird folgenden Fehler gemeldet:

Exchange ActiveSync wird von ExRCA getestet.
In der Anwendung ist ein unerwarteter Fehler aufgetreten. Ein Ereignis wurde für den Systemadministrator protokolliert. Wenn dieser Fehler weiterhin auftritt, senden Sie uns Ihr Feedback.
Weitere Details
Ausnahmedetails:
Nachricht: End of stream reached by ReadByte before parsing was complete
Typ: Microsoft.Exchange.Tools.ExRca.Tests.ActiveSync.Wbxml.WbxmlException
Stacktrace:

Server stack trace:
at Microsoft.Exchange.Tools.ExRca.Tests.ActiveSync.Wbxml.WbxmlReader.ReadByte()
at Microsoft.Exchange.Tools.ExRca.Tests.ActiveSync.Wbxml.WbxmlReader.ReadInlineString()
at Microsoft.Exchange.Tools.ExRca.Tests.ActiveSync.Wbxml.WbxmlReader.FillXmlElement(XmlElement elem, Int32 depth, Boolean issecureTag)
at Microsoft.Exchange.Tools.ExRca.Tests.ActiveSync.Wbxml.WbxmlReader.FillXmlElement(XmlElement elem, Int32 depth, Boolean issecureTag)
at Microsoft.Exchange.Tools.ExRca.Tests.ActiveSync.Wbxml.WbxmlReader.FillXmlElement(XmlElement elem, Int32 depth, Boolean issecureTag)
at Microsoft.Exchange.Tools.ExRca.Tests.ActiveSync.Wbxml.WbxmlReader.FillXmlElement(XmlElement elem, Int32 depth, Boolean issecureTag)
at Microsoft.Exchange.Tools.ExRca.Tests.ActiveSync.Wbxml.WbxmlReader.FillXmlElement(XmlElement elem, Int32 depth, Boolean issecureTag)
at Microsoft.Exchange.Tools.ExRca.Tests.ActiveSync.Wbxml.WbxmlReader.FillXmlElement(XmlElement elem, Int32 depth, Boolean issecureTag)
at Microsoft.Exchange.Tools.ExRca.Tests.ActiveSync.Wbxml.WbxmlReader.FillXmlElement(XmlElement elem, Int32 depth, Boolean issecureTag)
at Microsoft.Exchange.Tools.ExRca.Tests.ActiveSync.Wbxml.WbxmlReader.FillXmlElement(XmlElement elem, Int32 depth, Boolean issecureTag)
at Microsoft.Exchange.Tools.ExRca.Tests.ActiveSync.Wbxml.WbxmlReader.ReadXmlDocument()
at Microsoft.Exchange.Tools.ExRca.Tests.ActiveSync.ActiveSyncSyncTest.PerformTestReally()
at Microsoft.Exchange.Tools.ExRca.Tests.Test.PerformTest()
at Microsoft.Exchange.Tools.ExRca.Tests.Test.PerformChildren()
at Microsoft.Exchange.Tools.ExRca.Tests.Test.PerformTest()
at Microsoft.Exchange.Tools.ExRca.Tests.Test.PerformChildren()
at Microsoft.Exchange.Tools.ExRca.Tests.Test.PerformTest()
at System.Runtime.Remoting.Messaging.StackBuilderSink._PrivateProcessMessage(IntPtr md, Object[] args, Object server, Int32 methodPtr, Boolean fExecuteInContext, Object[]& outArgs)
at System.Runtime.Remoting.Messaging.StackBuilderSink.PrivateProcessMessage(RuntimeMethodHandle md, Object[] args, Object server, Int32 methodPtr, Boolean fExecuteInContext, Object[]& outArgs)
at System.Runtime.Remoting.Messaging.StackBuilderSink.AsyncProcessMessage(IMessage msg, IMessageSink replySink)

Exception rethrown at [0]:
at System.Runtime.Remoting.Proxies.RealProxy.EndInvokeHelper(Message reqMsg, Boolean bProxyCase)
at System.Runtime.Remoting.Proxies.RemotingProxy.Invoke(Object NotUsed, MessageData& msgData)
at Microsoft.Exchange.Tools.ExRca.Website.PerformTestAsyncDelegate.EndInvoke(IAsyncResult result)
at Microsoft.Exchange.Tools.ExRca.Website.TestExecutionManager.TestCompleted(IAsyncResult asyncResult)
Ausnahmedetails:
Nachricht: Attempted to read past the end of the stream.
Typ: System.IO.EndOfStreamException
Stacktrace:

Mit oder ohne SSL erhalte ich eine Fehlermeldung. Sagt dir spontan eine Fehlermeldung etwas?

NobbyausHB · 13. März 2012

Hallo,

hmm, Fehler sagt mir so direkt nix.

Geht das ganze über eine vernünftige externe URL, oder ist das verbogen für Dyndns?

Welches SP und RU hat dein Exchange 2007?

Was meckert der BPA dir an?

RobertW · 14. März 2012

Moin,

wenn Du also die SSL-Prüfung aktivierst, gibt es den Fehler, dass das Zertifikat ungültig ist?

Das mögen manche ActiveSync Clients nicht (keine Ahnung, wie das bei Android ist, kann sich aber in jeder Version ändern).

Und das hier, wenn Du die Prüfung auslässt:

Zitat

Ausnahmedetails:
Nachricht: End of stream reached by ReadByte before parsing was complete

deutet daraufhin, dass Deine Astaro irgendwas rausfiltert.

Ich würde EAS mal unter Umgehung der Firewall ausprobieren. Wenn es dann geht, weißt Du, dass es an der FW liegt.

Hippo · 14. März 2012

Norbert
Es geht über eine vernünftige externe URL und unser Exchange Stand ist SP3 RU5, das RU6 wird am Wochenende installiert.
BPA bringt tatsächlich Fehler, was ich vorher ausgeschlossen hätte

Folgende Fehler werden die dem Test „Systemdiagnose“ protokolliert:

'Administratoren' verfügen nicht über die Berechtigung 'Vollzugriff' für Ordner 'C:\Program Files\Microsoft\Exchange Server\ClientAccess\OAB\xxx

'Authentifizierte Benutzer' verfügen nicht über die Berechtigung 'Lesen' für Ordner 'C:\Program Files\Microsoft\Exchange Server\ClientAccess\OAB\xxx

'Domänen-Admins' verfügen nicht über die Berechtigung 'Lesen' für Ordner 'C:\Program Files\Microsoft\Exchange Server\ClientAccess\OAB\xxx

'Organisationsadministratoren' verfügen nicht über die Berechtigung 'Lesen' für Ordner 'C:\Program Files\Microsoft\Exchange Server\ClientAccess\OAB\xxx

Schaue ich mir aber die Berechtigungen auf den Ordnern an, sind die Berechtigungen wie verlangt vergeben, irgendwie komisch.

@ RobertW
Die Astaro ist aber mein Reverse Proxy, so dass ich sie nicht so einfach weg lassen kann. Ich schau mal was ich in dieser Sache machen kann.
Mit SSL Prüfung kommt:
Validating certificate trust for Windows Mobile devices.
Certificate trust validation failed

NobbyausHB · 14. März 2012

Hallo,

die Meldung mit den fehlenden Rechten kannst du in der Regel ignorieren, da es sich hier lediglich um einen translation-error im BPA handelt - natürlich trotzdem prüfen!

Zumindest lokal solltest du den Exchange in die Ausnahmen für den Proxy einstellen.

Hast du das mal intern über wlan versucht?

Es gibt auch einen Device-Emulator, damit kann man das zumindest intern erst einmal testen.

Wenn ihr mehrere externe User habt, solltet ihr über die Anschaffung eines extern ausgestellten SAN-Zertifikates nachdenken, dann bist im supporteten Bereich.

Und rede mal mit den Leuten von Astaro.

Das der Exrca dir den Fehler ausgibt, ist auch logisch, da die Cert-Cain nicht geprüft werden kann (self-signed)

RobertW · 14. März 2012

Zitat

@ RobertW
Die Astaro ist aber mein Reverse Proxy, so dass ich sie nicht so einfach weg lassen kann. Ich schau mal was ich in dieser Sache machen kann.

Du sollst es ja auch nur testen. Es kommt leider häufiger vor, dass eine Firewall da irgendwie reinpfuscht. Manchmal sind auch Protokoll-Besonderheiten von Microsoft daran schuld, die in der Firewall berücksichtigt werden müssen.

Zitat

Mit SSL Prüfung kommt:
Validating certificate trust for Windows Mobile devices.
Certificate trust validation failed

Das solltest Du beheben. Da fehlt in der Astaro wohl ein Zwischenzertifikat.

Teilen