ActiveSync Probleme - SBS2003 mit Exchange2003SP2

1. offizieller Beitrag
    • Offizieller Beitrag

    Dieser Beitrag von "ck1" hatte sich in die News verlaufen.


    Wähle in der Forenübersicher ein Thema aus, und drücke dazu auf den entsprechenden Namen. Dann den Button „neuer Beitrag“ drücken um in die Eingabemaske zu gelangen.


    --------------------------------------------------------


    Moin, moin,


    seit einigen Tagen habe ich unseren Server auf SP2 umgestellt.
    Nun habe ich zum testen einen T-Mobile MDA-Pro und wollte diesen mit ActiveSync 4.1 mit Exchange synchronisiern, doch ich scheitere leider.....
    Kurz zum Hintergrund:
    OWA/OMA funktionieren extern über die Firewall mit SSL.
    Ich habe ein 2. ExchangeVDir eingerichtet.
    Einmal lief die Konfiguration (=Sync klappte), doch da hatte ich SSL ausgeschaltet....
    Ich hatte auch Outlook über HTTPS extern laufen :=). Dies klappt auch nicht mehr und auch meine OSX Macs können über Entourage nicht mehr zugreifen (WebDAV).... Son Mist! Mit dem IE6 komme ich aber über WEBDAV in die Postfächer...


    Ich habe mir die IIS Logs angesehen und die zeigen Zugriffsberechtigungprobleme (403er):
    ***********************
    2005-11-25 17:41:07 10.1.1.2 OPTIONS /Microsoft-Server-ActiveSync User=ckoster&DeviceId=42998AFF6CABB43F4B7429CE8045DD31&DeviceType=PocketPC&Log=VNATNASNC:0A0C0D0FS:0A0C0D0SP:0C0I0S0R0S0L0H 443 ADVISION\ckoster 80.187.96.1 MSFT-PPC/4.0 200 0 0
    2005-11-25 17:41:09 10.1.1.2 PROPFIND /ExchangeVDir/Koster.Carsten@advision-digital.de/NON_IPM_SUBTREE/Microsoft-Server-ActiveSync/PocketPC/42998AFF6CABB43F4B7429CE8045DD31 - 80 - 10.1.1.2 Microsoft-Server-ActiveSync/6.5.7638.1 401 1 0
    2005-11-25 17:41:09 10.1.1.2 PROPFIND /ExchangeVDir/Koster.Carsten@advision-digital.de/NON_IPM_SUBTREE/Microsoft-Server-ActiveSync/PocketPC/42998AFF6CABB43F4B7429CE8045DD31 - 80 ADVISION\ckoster 10.1.1.2 Microsoft-Server-ActiveSync/6.5.7638.1 207 0 0
    2005-11-25 17:41:09 10.1.1.2 POST /Microsoft-Server-ActiveSync User=ckoster&DeviceId=42998AFF6CABB43F4B7429CE8045DD31&DeviceType=PocketPC&Cmd=Notify&Log=V4TNASNC:0A0C0D0FS:0A0C0D0SP:1C1I483S1246R0S0L0H0P 443 ADVISION\ckoster 80.187.96.1 MSFT-PPC/4.0 200 0 0
    2005-11-25 17:41:09 10.1.1.2 PROPFIND /ExchangeVDir/Koster.Carsten@advision-digital.de/NON_IPM_SUBTREE/Microsoft-Server-ActiveSync/PocketPC/42998AFF6CABB43F4B7429CE8045DD31 - 80 - 10.1.1.2 Microsoft-Server-ActiveSync/6.5.7638.1 401 1 0
    2005-11-25 17:41:09 10.1.1.2 PROPFIND /ExchangeVDir/Koster.Carsten@advision-digital.de/NON_IPM_SUBTREE/Microsoft-Server-ActiveSync/PocketPC/42998AFF6CABB43F4B7429CE8045DD31 - 80 ADVISION\ckoster 10.1.1.2 Microsoft-Server-ActiveSync/6.5.7638.1 207 0 0
    2005-11-25 17:41:09 10.1.1.2 POST /Microsoft-Server-ActiveSync User=ckoster&DeviceId=42998AFF6CABB43F4B7429CE8045DD31&DeviceType=PocketPC&Cmd=FolderSync&Log=V4TNASNC:0A0C0D0FS:0A0C0D0SP:1C1I483S1246R0S0L0H0P 443 ADVISION\ckoster 80.187.96.1 MSFT-PPC/4.0 403 0 0


    ***********************




    Der PDA melder in der max-Logging Einstellung:
    ***********************
    =-= Build 14352 =-=
    =-= No XIP Information Available =-=



    =-=- [25/11/2005 17:40:57.0] -=-=
    =-=-=-= Client Request =-=-=-=
    OPTIONS Microsoft-Server-ActiveSync?User=ckoster&DeviceId=42998AFF6CABB43F4B7429CE8045DD31&DeviceType=PocketPC
    Accept-Language: de
    MS-ASProtocolVersion: 2.5


    -=-=-=- Start of Body -=-=-=-



    =-=- [25/11/2005 17:41:3.0] -=-=
    =-=-=-= Server Response =-=-=-
    HTTP/1.1 200 OK
    Date: Fri, 25 Nov 2005 17:41:07 GMT
    Server: Microsoft-IIS/6.0
    MicrosoftOfficeWebServer: 5.0_Pub
    X-Powered-By: ASP.NET
    Pragma: no-cache
    Content-Length: 0
    Public: OPTIONS, POST
    Allow: OPTIONS, POST
    MS-Server-ActiveSync: 6.5.7638.1
    MS-ASProtocolVersions: 1.0,2.0,2.1,2.5
    MS-ASProtocolCommands: Sync,SendMail,SmartForward,SmartReply,GetAttachment,GetHierarchy,CreateCollection,DeleteCollection,MoveCollection,FolderSync,
    FolderCreate,FolderDelete,FolderUpdate,MoveItems,GetItemEstimate,MeetingResponse,ResolveRecipients,ValidateCert,Provision,Search,Notify,Ping



    -=-=-=- Start of Body -=-=-=-



    =-=- [25/11/2005 17:41:4.0] -=-=
    =-=-=-= Client Request =-=-=-=
    POST Microsoft-Server-ActiveSync?User=ckoster&DeviceId=42998AFF6CABB43F4B7429CE8045DD31&DeviceType=PocketPC&Cmd=Notify
    Accept-Language: de
    MS-ASProtocolVersion: 2.5
    Content-Type: application/vnd.ms-sync.wbxml


    -=-=-=- Start of Body -=-=-=-
    <?xml version="1.0" encoding="utf-8"?><Notify xmlns="AirNotify:"><DeviceInfo></DeviceInfo></Notify>


    =-=- [25/11/2005 17:41:5.0] -=-=
    =-=-=-= Server Response =-=-=-
    HTTP/1.1 200 OK
    Date: Fri, 25 Nov 2005 17:41:09 GMT
    Server: Microsoft-IIS/6.0
    MicrosoftOfficeWebServer: 5.0_Pub
    X-Powered-By: ASP.NET
    Pragma: no-cache
    Content-Type: application/vnd.ms-sync.wbxml
    Content-Length: 15
    MS-Server-ActiveSync: 6.5.7638.1



    -=-=-=- Start of Body -=-=-=-
    <?xml version="1.0" encoding="utf-8"?><Notify xmlns="AirNotify:"><Status>1</Status><ValidCarrierProfiles></ValidCarrierProfiles></Notify>


    =-=- [25/11/2005 17:41:5.0] -=-=
    =-=-=-= Client Request =-=-=-=
    POST Microsoft-Server-ActiveSync?User=ckoster&DeviceId=42998AFF6CABB43F4B7429CE8045DD31&DeviceType=PocketPC&Cmd=FolderSync
    Accept-Language: de
    MS-ASProtocolVersion: 2.5
    Content-Type: application/vnd.ms-sync.wbxml


    -=-=-=- Start of Body -=-=-=-
    <?xml version="1.0" encoding="utf-8"?><FolderSync xmlns="FolderHierarchy:"><SyncKey>{B77BB966-E6CC-4969-864C-B185FCBA3882}1</SyncKey></FolderSync>


    =-=- [25/11/2005 17:41:5.0] -=-=
    =-=-=-= Server Response =-=-=-
    HTTP/1.1 403 Request Forbidden
    Date: Fri, 25 Nov 2005 17:41:09 GMT
    Server: Microsoft-IIS/6.0
    MicrosoftOfficeWebServer: 5.0_Pub
    X-Powered-By: ASP.NET
    Pragma: no-cache
    Content-Type: text/html
    Content-Length: 44
    MS-Server-ActiveSync: 6.5.7638.1


    ************************



    Wer kann mir heir helfen?
    Wie bekomme ich die Std. IIS Einstellungen wieder her??
    Woran kann es liegen? (Eigentlich nur an den IIS 6.0 Einstellungen...
    Soll ich etwa Form-Based Login aktivieren??


    Liebe Grüsse



    Carsten

    • Offizieller Beitrag

    Hi,


    das sind ja gleich mehrere Fragen in einem Thread. :)


    Wie schon in den How-To und auch anderen Threads beschrieben, dürfen die Verzeichnissen Microsoft-Server-ActiveSync, OMA und Public nicht unter dem IIS, SSL aktiviert werden, wenn Du keine Frontend / Backand Umgebung hast.


    http://www.nobbysweb.de/community/newbb/howto/044.pdf


    Bei der Aktivierung von SSL auf das Verzeichnissen Exchange, muss zu dem Form-Based Login aktivieren??


    Um Deine alten IIS Einstellungen wieder zu erhalten, kannst Du die Metabase des IIS zurückspielen.


    http://www.nobbysweb.de/community/newbb/howto/016.pdf


    Ausserdem kannst Du auch die Default Einstellungen im IIS neu aufbauen lassen. Der MS Artikel KB883380 beschreibt das Vorgehen.


    http://support.microsoft.com/kb/883380/de


    Gruss
    Heinz

    Hallo lieber Heinz,


    vielen Dank für die prompte Antwort.


    >Wie schon in den How-To und auch anderen Threads beschrieben, dürfen die Verzeichnissen Microsoft-Server-ActiveSync, OMA und Public nicht unter dem IIS, SSL aktiviert werden, wenn Du keine Frontend / Backand Umgebung hast.


    Natürlich habe ich darauf geachtet, dass ich nur das EXCHANGE Verzeichnis mit SSL versehen habe.
    Habe mir sogar ein Cert gekauft...
    Auch ein /ExchVDir ist eingerichtet (Die muss lt. MS bei SSL so sein).


    Ich sehe wirklich nur noch die Möglichkeit die original-Verzeichnisse herzustellen....(Hast Du evtl. eine Screenshot Doku der IIS Einstellungen im Originalzustand der Exchange Verzeichnisse??)
    Das IIS-Log zeigt ja deutlich, das die Anfrage richtig rein kommt, aber mit 403 nicht zugelassen wird...


    Ich bin ratlos....


    Liebe Grüsse an meine fast Heimat (Neuss) jetzt HH



    Carsten

    • Offizieller Beitrag

    Hi,


    hast Du den die mobile features im AD Benutzerobjekt für diesen Benutzer aktiviert?


    Hast Du auf Deinem Gerät auch SSL deaktiviert?


    Um die alten Einstellungen im IIS wieder zu bekommen, kannst Du entwerde die IIS Metabase zurücksichern oder Du verwendest den Artikel um IIS neu aufbauen zu lassen.


    Dabei werden die Ordner gelöscht und ein hakten in der Metabase gesetzt. Wenn dann die Systemaufsicht neu startet, sind die Standard Ordner wieder da.


    Gruss
    Heinz

    Hallo lieber Heinz,


    sorry das ich mich erst jetzt wieder melde, war aber viel unterwegs.
    Ich habe die Exchange-Verzeichnissse neu erstellen lassen nach einem MS-Artikel.
    Auch das hat nicht geholfen....
    Auf einmal könenn unsere MACs nicht mehr mit Entourage drauf. Zugriff verweigert, da nicht autorisiert, obwohl die User sich richtig angemeldet hatten.
    Diesen Fehler konnte ich teilweise bheben.
    Es lag am RPC über HHTPS.
    Jetzt können die Macs wieder auch einige Ihrer Order aber z.B. nicht auf dem Posteingang.
    Das IIS log meldet 401.1????
    Als Workarround habe ich ein Unterverzeichnis angelegt im Ordner Posteingang, diese läuft unter Entourage und lasse alle Mails dorthin schieben....
    Als hätten die Ordner eigene Rechte...


    Das Problem mit dem MDA Pro habe ich auch noch nicht gelöst.
    Hier kommt immer noch die gleiche Fehlermeldung.
    Irgendetwas läuft im IIS und den Zugriffsrechten schief.
    Gibte es ein Tools, wo ich die Rechte neu erstellen/vergeben kann??


    Ich bin mit meinem Latain am Ende...



    LG


    Carsten :) :)

    Hallo Carsten,


    Du erwähntest das Du ein Zertifikat gekauft hast. Für SSL und RPC over HTTPS, sollte der Servername intern wie extern mit dem Zertifikat übereinstimmen. Des Weiteren müssen Deine Clients MAC, PCs und PPC diesem Zertifikat vertrauen.


    Auch sagtest Du, das es mal klappte - mit einem eigenen Zerti oder schon mit dem gekauften...?


    Gruss
    Frank

    Auf dem MDA Pro muss das Zertifikat des Servers importiert werden. In den Zertifikatsserver gehen das Cert exportieren als *.crt und dann auf den Pocket kopieren und ausführen. Das importiert das Certificat auf den Pocket und schon geht alles.


    Das Zertifikate und die Aufrufende Serveradresse (also die im Active Sync eingetragene Serveradresse) muss übereinstimmen. GGf. eine Nameserveranpassung für deine externe Domain machen.


    Das ganze kannste dann auch intern mit Active Sync 4.x testen, indem du es dort mit dem Server syncen lässt und nicht mit dem PC. Allerdings mus Dein Rechner dann die (eigentlich externe) Adresse (also z.B. Extranet.xxx.de) auch intern im LAN auf den Exchgange Server zeigen lassen -> also einen Eintrag im DNS-Server oder in der Lokalen HOSTS-Datei entsprechend ergänzen...


    Healey