• Active Directory
    • AD Consulting
    • AD Design
      • Domain Name festlegen
      • Domain Struktur einrichten
      • Forest Struktur definieren
    • AD Management
    • AD Automation
      • Dynamic Access Control (DAC)
    • AD Federation Services
      • ADFS Betrieb
      • ADFS und Office365
      • ADFS und Cisco Unified Communications Manager
      • SAML und ADFS 2.0
  • Azure / M365
    • Azure AD
    • Microsoft 365 (O365)
  • Migration
    • Active Directory Migration
    • Exchange Migration
    • File Server Migration
    • Lotus Notes Migration
    • Novell Migration
  • Wissen
    • Alle Beiträge
    • Administration
    • PowerShell
    • Migration
    • Exchange
    • Tools
  • Kontakt
    • Wir über uns
    • Kontakt
  • EN
info@firstattribute.com
by FirstAttribute
Active Directory FAQActive Directory FAQ
  • Active Directory
    • AD Consulting
    • AD Design
      • Domain Name festlegen
      • Domain Struktur einrichten
      • Forest Struktur definieren
    • AD Management
    • AD Automation
      • Dynamic Access Control (DAC)
    • AD Federation Services
      • ADFS Betrieb
      • ADFS und Office365
      • ADFS und Cisco Unified Communications Manager
      • SAML und ADFS 2.0
  • Azure / M365
    • Azure AD
    • Microsoft 365 (O365)
  • Migration
    • Active Directory Migration
    • Exchange Migration
    • File Server Migration
    • Lotus Notes Migration
    • Novell Migration
  • Wissen
    • Alle Beiträge
    • Administration
    • PowerShell
    • Migration
    • Exchange
    • Tools
  • Kontakt
    • Wir über uns
    • Kontakt
  • EN

Exchange und Android: ActiveSync via WAP funktioniert nicht

Jul 28, 2016 (Letztes Update) | Posted by Marvin Poser Exchange |

 

Exchange und Android: ActiveSync via WAP funktioniert nicht

Wenn man ActiveSync über den Windows WAP (Web Application Proxy) veröffentlichen möchte, sollte man beachten, dass der WAP SNI verwendet. Bei einem unserer Kunden fiel uns dann auf, dass einige Android Versionen diese Erweiterung des TLS SSL Protokolls (SNI) nicht unterstützen.

Inhaltsverzeichnis

  • 1 ActiveSync Mails: iPhones ja, Android Geräte nein
  • 2 Was ist SNI?
  • 3 Lösung: http.sys Fallback Zertifikat
    • 3.1 Certhash
    • 3.2 Installierte Zertifikate prüfen
    • 3.3 Vollständiger Befehl

ActiveSync Mails: iPhones ja, Android Geräte nein

Wir standen also vor dem spannenden Problem, dass iPhones über ActiveSync E-Mails erhalten konnten – bei Android Geräten funktionierte ActiveSync via WAP hingegen nicht. Daraufhin gingen wir auf Spurensuche, woran dies denn liegen könnte. Nach unzähligen Support Calls und ein wenig Glück entdeckten wir die SNI Thematik. Diese wiederum führte uns dann zur Lösung unseres Problems.

Was ist SNI?

SNI steht für „Server Name Indication“ und ist eine Erweiterung des TLS SSL Protokolls. Dieses Protokoll kommt zum Einsatz, wenn hinter einer IP mehrere Hostnamen zu finden sind. Hierbei sendet der Client ein „ClientHello“ Paket. In diesem Paket ist unter dem Feld „ClientHelloExtension“ der entsprechende Servername enthalten. Dieser taucht dann erst wieder auf, sobald der verschlüsselte Tunnel aufgebaut wurde.  

Genau hier setzte auch unser Problem an, da die Android Devices unseres Kunden nicht SNI sprechen konnten.

Lösung: http.sys Fallback Zertifikat

Um die Einschränkung aufzuheben, mussten wir ein http.sys Fallback Zertifikat erstellen. Auf diese Weise kann die Konnektivität der Geräte wiederhergestellt werden. Also erstellten wir ein http.sys Zertifikat mit einem Binding für 0.0.0.0:443 mittels folgendem Befehl

1
netsh http add sslcert ipport=0.0.0.0:443 certhash=certthumprint appid={applicationguid}

Der appid Parameter ist die GUID der Anwendung, die man an das Binding anlegen möchte. In unserem Fall wäre es WAP.

 Für ADFS und Web Application Proxy existieren folgende fest definierte IDs:

Application appid
AD FS App ID {5d89a20c-beab-4389-9447-324788eb944a}
WAP App ID {f955c070-e044-456c-ac00-e9e4275b3f04}

 

Certhash

Den certhash vom WAP kann über folgenden PowerShell Befehl erhalten. Bitte beachten Sie, dass dieser Befehl nur auf einem Server ausgeführt werden kann, der die Remote Access Command Tools installiert hat.

1
Get-WebApplicationProxyApplication | fl Name, ExternalUrl, ExternalCertificateThumbprint

Die Ausgabe sieht dann in etwa so aus:

Name : WAP
ExternalUrl : https://wap.testdomain.com/WAP/
ExternalCertificateThumbprint : 1C96DC2450A01B5660F756D1BDDE3B49B4887035

 

Installierte Zertifikate prüfen

Mit folgenden Befehl können Sie in der PowerShell die bereits auf dem Server installierten Zertifikate sehen und überprüfen.

1
dir Cert:\LocalMachine\My

Thumbprint                    Subject
———-                                ——-
1FAAA1B7FA33D266E5CC54E4EBE41CB6C68E583B  CN=ADFS ProxyTrust – 2012R2-WAP01
1C96DC2450A01B5660F756D1BDDE3B49B4887035  CN=*.testdomain.com

 

Vollständiger Befehl

So könnte dann z. B. der vollständige Befehl aussehen:

1
netsh http add sslcert ipport=0.0.0.0:443 certhash=3638de9b03a488341dfe32fc3ae5c480ee687793 appid={5d89a20c-beab-4389-9447-324788eb944a}

 

Für einen tieferen Einblick hat Ian Parramore noch einen sehr guten Artikel geschrieben. Diesen finden Sie hier:
https://blogs.technet.com/b/applicationproxyblog/archive/2014/06/19/how-to-support-non-sni-capable-clients-with-web-application-proxy-and-ad-fs-2012-r2.aspx

Active-Directory-Experten-FirstAttribute

Artikel weiterempfehlen:
  • teilen
  • tweeten
  • sharen
  • xingen
  • mailen
Artikel erstellt am: 17.03.2016
Tags: Active SyncAndroidcerthashhttp.sysWAPWep Application proxy
1

Leave a Reply

<p>Danke für Ihre Anregungen, Fragen und Hinweise.<br/>Infos zum <a href="https://www.active-directory-faq.dekontakt/">Datenschutz</a></p>
Cancel Reply

FirstWare IDM-Portal im Test: IT-Administrator 08-2022

 

ADFAQ-FirstAttribute

Wer schreibt ?

Team der FirstAttribute AG

Consultants und Entwickler der FirstAttribute arbeiten seit mehr als 20 Jahren in IAM- und Cloud-Transition-Projekten.
Zusammen verfügen Sie über einen wertvollen Erfahrungsschatz im Bereich Active Directory und Azure AD und teilen diesen auf Active Directory FAQ.

Neueste Artikel

  • 8 Tipps für mehr Sicherheit in Active Directory und Backups von AD
  • Azure AD Custom Security Attributes ermöglichen flexible Berechtigungsstrukturen
  • Dateiberechtigungen in MS Teams und SharePoint Online verwalten – So funktioniert es
  • AD-Gruppen in Microsoft Teams verwenden – Dynamische Gruppen in der Praxis
  • Verbindung zwischen Microsoft 365 und SharePoint Online zu Azure AD

Unsere IAM-Lösungen

Ihre IAM-Lösung: FirstWare IDM-Portal

 

my-IAM für Cloud Identity Management in Microsoft Teams

Kontakt aufnehmen

Sie haben eine Frage oder Anmerkung? Schicken Sie uns schnell eine Nachricht.

Nachricht senden
Jetzt AD Tasks vereinfachen und delegieren: FirstWare IDM-Portal

Folgen Sie uns

Kontakt

  • FirstAttribute AG
  • Am Büchele 18, 86928 Hofstetten, Germany
  • +49 89 215 442 400
  • https://www.firstattribute.com

Schlagwörter

.Net ACL Active Directory AD LDS AD Objekt Azure AD Berechtigung Cloud cmdlets Delegation Domain Controller dynamicgroup dynamische Gruppen Exchange Exchange-Ordner Exchange-Postfach Exchange Migration Federation FirstWare Get-Mailbox Global Catalog Group Policy Gruppen Gruppenmitgliedschaft IDM-Portal LDAP m365 Microsoft Azure Migration New-ADUser Novell NTFS Office 365 PowerShell QMM QMM AD QMM Exchange Quest Migration Manager Schema Set-ADUser SID SID History Update Windows 10 Windows Server 2012 R2

Neueste Kommentare

  • activedirectoryfaq.com sharepoint login - infoslist bei Windows 365 und Azure AD verstehen in Theorie und Praxis
  • Domäne Letzte Anmeldung - ObenGesichert.com bei LastLogon vs. LastLogonTimestamp
  • Teams Code Zur Anmeldung - ObenGesichert.com bei Authentifizierung für MS Teams in hybriden Netzwerken
Login
Impressum
Datenschutzerklärung

© 2023 · Active-Directory-FAQ by firstattribute.com

Prev Next