Microsoft Active-Sync und Android Handys lassen sich nicht synchronisieren

    Bei der Anbindung eines Android Handys an Microsoft ActiveSync, kann es zu einem Fehler kommen, wenn die Veröffentlichung der ActiveSync Website über einen Microsoft Web Application Proxy in der Version Windows Server 2012 R2 in Verbindung mit ADFS 3.0 erfolgt.

     

    Die Einrichtung am Android schlägt mit einer Sicherheitsfehler Warnung fehl.

    Die Ursache dessen liegt in der fehlenden Unterstützung des SNI (Server Name Indication, eine Erweiterung des TLS) Features auf dem Android Handy.


    Die ADFS Version 3.0 auf einem Windows Server 2012 R2 erfordert dieses Feature. Um nun aber die Androiden an das Active Sync anzubinden, müssen nun folgende Schritte durchgeführt werden:


    Schritt 1

    Auf dem WAP (Web Application Proxy) Server Powershell oder cmd öffnen. Folgenden Befehl eingeben:


    netsh http show sslcert


    Die Ausgabe sieht dann in etwa so aus

    SSL-Zertifikatbindungen:

    -------------------------

        Hostname:Port                : autodiscover.domäne.de:443

        Zertifikathash              : ffccd75103de50be4ea74a42fcf6a18dc3104b4f

        Anwendungs-ID               : {f955c070-e044-456c-ac00-e9e4275b3f04}

        Zertifikatspeichername       : MY

        Clientzertifikatsperre überprüfen : Disabled

        Zur Sperrüberprüfung ausschließlich zwischengespeichertes Clientzertifikat verwenden : Disabled

        Verwendungsüberprüfung                  : Enabled

        Sperraktualisierungszeit    : 0

        Zeitlimit für URL-Abruf        : 0

        Steuerelement-ID               : (null)

        Steuerelement-Speichername               : (null)

        DS-Zuordnungsverwendung              : Disabled

        Clientzertifikat aushandeln : Disabled


    Von dieser Ausgabe sind zwei Werte wichtig: Zertifikathash und Anwendungs-ID, diese beiden notieren denn sie werden im Schritt zwei gebraucht.


    Schritt 2

    Nun muss das Zertifikat für die ActiveSync Website auf die IP Adresse des Servers gebunden werden. Und zwar die IP Adresse auf die der WAP Server horcht. Das Zertifikat ist schon auf dem Namen der veröffentlichten Website gebunden, was fehlt ist die IP Adresse.

    Dazu wird wieder die Powershell oder cmd geöffnet.

    Dann wird folgender Befehl abgesetzt:


    netsh http add sslcert ipport=<IPAddress:port> certhash=<Certificate Hash> appid=<Application ID> certstorename=MY


    Wobei:

    <IPAddress:port> ist die IP Adresse wo der WAP Server drauf hört.

    <Certificate Hash> Ist der Zertifikats Hash aus Schritt 1

    <Application ID> ist die Application ID aus Schritt 1


    Wenn die ADFS Authentifizierung auch von Internen Clients durchgeführt werden soll, muss der gleiche Befehl auf dem ADFS Server durchgeführt werden.


    Tags: 2015, Exchange-2013, Mai2015, Allgemein

    Kommentar schreiben

    Kommentare: 0