Natalia Merzlyakova - Fotolia

Microft Exchange Server: ActiveSync-Zertifikat-Fehler beseitigen

Bei Problemen mit Exchange ActiveSync spielen oft Zertifikate eine Rolle. Wir zeigen Ihnen, wie Sie die Probleme erkennen und beheben können.

Die meisten der ActiveSync-Probleme sind Zertifikats-bezogen. Wenn Zertifikate nicht korrekt konfiguriert sind, wird ActiveSync nicht korrekt funktionieren. Die nachfolgenden Tipps werden Ihnen dabei helfen ActiveSync-Problemen in Exchange Server 2010 auf den Grund zu gehen und diese zu vermeiden oder zu lösen.

Der einfachste Weg um herauszufinden, ob Sie ein Zertifikats-Problem in Exchange haben, ist ein Test in Outlook Web App (OWA). Für OWA und ActiveSync sind SSL erforderlich, damit sich Anwender korrekt anmelden können.  Verwenden Sie die Client-Zugriffsserver (CAS) für die Tests. ActiveSync und OWA nutzen auch das gleiche SSL-Zertifikat. Wenn OWA funktioniert, können Sie ausschließen, dass Sie Probleme mit dem Zertifikat haben. In diesem Fall liegen die Probleme an einer anderen Stelle.

Wenn Sie OWA testen, beachten Sie die folgenden Kriterien:

  • Standardmäßig ist Exchange Server 2010 so konfiguriert, dass ein selbstsigniertes Zertifikat mit OWA genutzt wird. Allerdings sind selbstsignierte Zertifikate nicht mit ActiveSync kompatibel. Sie müssen ein gültiges X.509-Zertifikat verwenden, damit Exchange ActiveSync funktioniert.
  • Wenn Sie die URL für OWA eingeben, stellen Sie sicher, dass die URL auf den gleichen CAS verweist, der auch ActiveSync verwendet.
  • Achten Sie darauf, das HTTPS-Präfix in Ihrer OWA-URL zu verwenden.
  • Wenn OWA startet, beachten Sie alle zertifikatsbezogene Warnmeldungen, die Sie erhalten. Wenn das Zertifikat abgelaufen ist, wird es nicht mit ActiveSync arbeiten.
  • Erhalten Sie eine Warnung, dass der Name des Zertifikats nicht dem Host-Namen entspricht, stellen Sie sicher dass Sie dem Fully Qualified Domain Name (FQDN) des Servers als Teil der URL eingegeben haben, zum Beispiel https://Lab-E2K10.lab.com/owa, im Gegensatz zu https://Lab-E2K10/owa. Die Eingabe der URL ohne Verwendung eines FQDN kann falsche Zertifikats-Identitäts-Fehler auslösen. Wenn ein Zertifikats-Identitäts-Fehler berechtigt ist, werden Sie ein neues Zertifikat benötigen. In diesem Fall liegt es nicht an der fehlerhaften URL.
  • Sie erhalten eine Warnmeldung (Abbildung 1), wenn der Computer der Zertifizierungsstelle (CA) nicht vertraut, die das Zertifikat für Exchange Server 2010 herausgegeben  hat. Sowohl Windows, als auch Windows Phone (ehemals Mobile) sind so konfiguriert, dass die meisten großen Drittzertifizierungsstellen standardmäßig integriert sind.

Eine Zertifikats-bezogene Warnmeldung kann durch fehlende Vertrauensstellungen zur CA verursacht werden.

  • Wenn Sie mit Ihrer eigenen CA arbeiten, müssen Sie Ihren Computer und mobile Geräte so konfigurieren, dass sie der internen Zertifizierungsstelle vertrauen. Windows-basierte Zertifizierungsstellen haben eine Web-Schnittstelle, die Sie verwenden können, um ein CA-Zertifikat herunterladen. Dieses Zertifikat muss auf dem Computer oder Gerät dem Zertifikatsspeicher hinzugefügt werden. Das Web-Interface ist unter http://CertSrv zu erreichen. (Abbildung 2).

Mit dem Zertifizierungsstellen-Web-Interface können Sie Zertifikate der CA herunterladen.

  • Eine Enterprise-Zertifizierungsstelle auf Basis von Windows Server 2008 lässt keine Web-Registrierung für mobile Geräte zu, es sei denn, Sie installieren den Network Device Enrollment Service (NDES). Obwohl es möglich ist das CA-Zertifikat auf das Gerät herunterzuladen und so zu konfigurieren, dass es Ihrer Enterprise-CA vertraut, müssen Sie dazu andere Verfahren verwenden. Am besten ist es in diesem Fall den NDES zu verwenden.
  • Wenn Sie versuchen, Zugriff auf OWA über eine HTTPS-Sitzung zuzugreifen, kann der Internet Explorer auch aus anderen Gründen eine Fehlermeldung zeigen. Diese besagt, dass die Seite nicht angezeigt werden kann. Wenn dies der Fall ist, versuchen Sie den Zugriff auf OWA über eine HTTP-Sitzung statt HTTPS. Wenn Sie eine Meldung erhalten, dass der Zugriff über eine HTTP-Sitzung verboten ist, gibt es wahrscheinlich ein Problem mit dem SSL-Zertifikat oder den Bindungen des Servers zum Zertifikat. Wenn Sie weiterhin die gleiche Fehlermeldung erhalten, unabhängig davon, ob Sie mit HTTP oder HTTPS zugreifen, kann dies ein DNS-Problem signalisieren.

Ein Crash-Kurs in IIS 7

Im Gegensatz zu seinen früheren Versionen, erfordert Exchange Server 2010 den Windows Server 2008 und neuer, sowie Internet Information Service (IIS) 7. Das Verfahren zur Einrichtung von SSL unterscheidet sich zwischen IIS 7 und IIS 6. Auch neue Versionen des IIS in Windows Server 2012/2012 R2 für Exchange Server 2013 funktionieren ähnlich zu Windows Server 2008. Wer die folgenden Schritte mit Windows Server 2008 einrichten kann, versteht auch die Einrichtung unter aktuellen Versionen von Windows-Server.

Ab IIS 7 werden SSL-Zertifikate auf Server-Ebene angewendet. Wenn Sie den IIS-Manager öffnen, und den Eintrag für den IIS-Server wählen, finden Sie im Detailbereich ein neues Server-Zertifikat-Symbol (Abbildung 3).

Abbildung 3

SSL-Zertifikate werden ab IIS 7 auf Server-Ebene angewendet.

Wenn Sie auf das Server-Zertifikats-Symbol klicken, sehen Sie im Detailbereich die SSL-Zertifikate, die derzeit mit dem Server verbunden sind. Wie Sie sehen können, gibt es auch  eine Option, um eine Zertifikatsanforderung zu erstellen. Sie finden diese im Bereich Aktionen. Wenn Sie mit Ihrer eigenen CA arbeiten, werden Sie dieses Menü nutzen, um eine Textdatei mit der Zertifikatsanforderung erstellen oder sich direkt mit der Zertifizierungsstelle zu verbinden. Das funktioniert in Windows Server 2012/2012 R2 und Exchange Server 2013 nahezu identisch.

Verwenden Sie als Nächstes die Zertifikats-Registrierungs-Website, um eine Zertifikatsanforderung durchzuführen. Nutzen Sie dazu den Inhalt der Textdatei. Wenn dieser Prozess abgeschlossen ist, können Sie ein Zertifikat von dieser Webseite herunterladen. Nachdem Sie diese Schritte abgeschlossen haben, müssen Sie den Link zum Abschließen der Anforderung verwenden (Abbildung 4). Erst dann wird das Zertifikat korrekt eingebunden.

Abbildung 4

Ein Klick auf das Zertifikate-Symbol zeigt die hinterlegten Zertifikate in IIS an.

Obwohl SSL-Zertifikate auf Server-Ebene verwaltet werden, ist die SSL-Verschlüsselung tatsächlich auf der individuellen Ebene jeder Website deaktiviert oder aktiviert. Hier müssen Sie die Einstellungen entsprechend überprüfen. OWA und ActiveSync sind auch ein Teil der Standard-Website und für die Verwendung von SSL standardmäßig aktiviert. Sie können das Symbol SSL-Einstellungen verwenden um zu überprüfen, ob die SSL-Verschlüsselung aktiviert ist (Abbildung 5).

Abbildung 5

SSL aktiviert kann auf Basis von Websites aktiviert oder deaktiviert werden.

Konfigurieren der Bindings einer Website

Ein Schritt, der oft übersehen wird, ist das Konfigurieren der Bindungen einer Website. Im Fall von SSL, teilen Website-Bindungen dem Server mit, welches IIS-Zertifikat für eine bestimmte Website verwendet werden soll. Wenn Sie zurück auf Abbildung 5 schauen, werden Sie einen Link Bindings erkennen. Durch Klicken auf diesen Link werden die vorhandenen Website-Bindings angezeigt. Hier steuern Sie die Zertifikate, Ports und andere Einstellungen, die für externe Verbindungen zu IIS verantwortlich sind.

Um sicherzustellen dass die Website mit dem richtigen Zertifikat verbunden ist, wählen Sie die HTTPS-Binding und klicken Sie auf Bearbeiten. Im IIS-Manager sehen Sie dann das Dialogfeld zum Bearbeiten der Bindings (Abbildung 6). Hier können Sie das Zertifikat wählen und konfigurieren welche Verbindungen zum Server mit den unterschiedlichen Zertifikaten akzeptiert werden.

Abbildung 6

Wählen Sie das Zertifikat aus, welches der Server mit SSL verwenden soll.

Beim Testen dieses Verfahren im Labor, bin ich auf einige Probleme gestoßen und entdeckte, dass diese durch fehlerhafte Bindings verursacht wurden. Auch wenn die Bindungen auf meinem Exchange 2010-Server richtig konfiguriert waren, wurden sie beschädigt. Das führt dazu, dass der Internet Explorer nicht in der Lage war auf OWA zuzugreifen und Fehlermeldungen gezeigt hat. Setzen Sie in diesem Fall die Bindings einfach neu.

Folgen Sie SearchEnterpriseSoftware.de auch auf Twitter, Google+, Xing und Facebook!

Erfahren Sie mehr über Collaboration-Software