Exchange ActiveSync Server

Siehe auch Mobile Information Server, Outlook Webzugriff 2003, Exchange 2003 - Outlook Mobile Access, Exchange 2003 SP2 und Pushdienste, sowie ActiveSync über Server und ActiveSync über Desktop und Windows Mobile 5 und EAS Inside

Geschichte

Der ActiveSync Server und das Protokoll haben sich über die Jahre immer weiter entwickelt. Hier eine kurze Entwicklungsgeschichte:

Version Feature  

MIS

Erste Version von "AirSync"

  • Mail
  • Kontakte
  • Termine

 

Ex2003 Sp1

  • Erste Versionen der Richtlinien
  • Remote Wipe

 

Ex2007PS1

  • Search
    Auf dem Telefon sind nur wenige Tage der Mails gespeichert aber nun kann das gerät über den Server auch ältere  Mails suchen und finden.
  • Always up-to-date

 

Ex2010 SP1

 

Wenn ihr Postfach "voll" ist, dann kann dies auch dazu führen, dass ActiveSync nicht mehr funktioniert und Sie nicht einmal Mails löschen können.

Background Scan und Virenscanner
Wenn ActiveSync manchmal geht und manchmal nicht oder Ordner oder einzelne Mails fehlen, dann kann ihr ESE-Virenscanner dran Schuld sein. Prüfen Sie die Dokumentation und Supportseiten des Herstellers bezüglich ActiveSync und BackgroundScan.
827615 Server ActiveSync does not download all items during a synchronization session
http://msg-blog.de/2008/03/08/sporadisch-keine-neuen-elemente-auf-exchange-activesync-clients-was-der-exchange-virenscanner-damit-zu-tun-haben-kann/

Mit Exchange 2010 SP1 hat Microsoft weiteres "Throttling" eingeführt, um Missbrauch und Überlastungen durch Clients zu verhindern. Das "betrifft" allerdings auch ActiveSync. So können per Default maximal 10 Endgeräte eine Partnerschaft mit einem Postfach eingehen. Dies können Sie aber ändern
Set-ThrottlingPolicy (http://technet.microsoft.com/en-us/library/dd298094.aspx) mit dem Parameter "EASMaxConcurrency"

So funktioniert EAS

EAS ist eine HTTP/HTTPS-basierte Kommunikation zwischen dem Client und dem Server. Damit ist klar, dass irgendwo ein IIS mit im Spiel ist und TCP/IP genutzt wird. Der Zugriff des Clients erfolgt auf das virtuelle Verzeichnis "/Microsoft-Server-ActiveSync". Damit EAS funktioniert, legt das Installationsprogramm von Exchange 2003 in der Default Webseite ein neues virtuelles Verzeichnis "Microsoft-Server-ActiveSync" an. Dies sind die Einstellungen:

Es ist gut zu sehen, dass in dem virtuellen Verzeichnis eigentlich keine Dateien zum Download drin liegen und daher die Einstellung zum tragen kommt, dass MASSYNC.DLL alle Anfragen annimmt und verarbeitet. Wenn EAS nicht funktioniert, sollten Sie diese Einstellungen prüfen.

Kontrollieren Sie auch mal die "Authentifizierung". Hier sollte NTLM oder Basic aktiv sein aber Client Zertifikate sollten "ignoriert" werden. Wenn diese "erlaubt" sind, dann gibt es Endgeräte, die nicht synchronisieren. Die Einstellung "erforderlich" ist nur in Verbindung mit Exchange ActiveSync mit Zertifikaten korrekt.

Das macht MASSYNC.DLL

Im Verzeichnis Microsoft-Server-ActiveSync sind keinerlei Dateien. Das ist auch nicht erforderlich, da die MASSYNC.DLL alle anfragen bekommt. MASSYNC seinerseits muss aber nun auf das Postfach des Anwenders zugreifen. Dazu nutzt MASSYNC einfach den Zugriff per OWA. MASSYNC nutzt also nicht MAPI, CDO oder andere versteckten Optionen, sondern bedient sich einfach des Outlook Web Access als legitimen Zugriff auf den Server.

Wenn Sie hingegen eine Frontend/Backend Konstellation nutzen, dann sieht das Bild etwas anders aus:

Der Server, auf dem "Microsoft-Server-ActiveSync" aktiv ist, greift seinerseits auf das "/exchange" des Mailboxservers zu. Damit ist natürlich auch klar, dass EAS nicht mehr funktioniert, wenn kein Postfachzugriff über "http://postfachservername/exchange" möglich ist. Und dafür gibt es gleich mehrere Stolpersteine:

  • Namensauflösung und Firewall
    Speziell in Szenarien mit Frontend und Backend Konfigurationen
  • /Exchange nicht vorhanden
    Einige Firmen glauben eine höhere Sicherheit zu erhalten, wenn Defaults verändert werden und das Exchange virtuelle Verzeichnis anders genannt wird. Das können Sie gerne tun, aber Sie müssen dann MASSYNC über die Registrierung umkonfigurieren oder /Exchange nur noch von intern erreichbar lassen.
  • /Exchange hat keine "integrierte Authentifizierung
    Exchange ActiveSync funktioniert nicht, wenn der OWA-Server (virtuelles Verzeichnis /exchange) auf die integrierte Authentifizierung verzichtet.
  • Keine Mailadresse der SMTP-Domäne für virtuelles Verzeichnis "/Exchange"
    Ein Anwender kann nur dann OWA nutzen, wenn er eine Mailadresse mit der Domäne hat, die auch hinter dem virtuellen Verzeichnis "Exchange" hinterlegt ist. (Exchange 2000/2003 Default Empfängerrichtlinie. Siehe RUS und Empfängerrichtlinien). Erschwerend kommt hinzu, wenn die primäre SMTP-Adresse nicht diese Default Adresse ist. Dann müssen Sie die Schritte aus "KB886346 You receive an HTTP_500 error message when you synchronize your mobile device with Microsoft Exchange Server 2003" durchgehen.
  • SSL erzwungen
    OMA kann nicht arbeiten, wenn der OWA-Server (virtuelles Verzeichnis /exchange) zwingend SSL erforderlich macht. Wenn Sie Angst um die Sicherheit haben, dann sollten Sie EAS auf ein neues virtuelles Verzeichnis umkonfigurieren und den Zugriff auf dieses Verzeichnis nur von 127.0.0.1 erlauben. Bei der Konstellation mit Frontend und Backend ist auf dem Backend Server keine "SSL" aktiv und damit das Problem nicht vorhanden
  • Formbased Authentication
    Die Aktivierung der seit Exchange 2003 verfügbaren formularbasierten Anmeldung setzt EAS außer Kraft. Sie müssen EAS manuell mit REGEDIT umkonfigurieren. Bei der Konstellation mit Frontend und Backend ist auf dem Backend Server keine "Formbased Authentication" aktiv und das Problem nicht vorhanden. Das Problem tritt ebenfalls nicht auf, wenn ein ISA-Server die formularbasierte Anmeldung anfordert und auf Exchange keine formularbasierte Anmeldung aktiv ist.
  • falsche Reverse Proxy Konfiguration
    Wenn Sie EAS über den ISA-Server veröffentlichen, dann müssen Sie natürlich auch daran denken, die URL /Microsoft.Server-ActiveSync zuzulassen.
  • IISLockdown
    Wenn Sie IIS nachträglich weiter "sichern" und nicht auf MASSYNC.DLL Rücksicht nehmen, dann kann EAS darunter leiden.
  • Auf dem Client kein oder eigenes SSL-Zertifikat
    Server ActiveSync auf dem Client nutzt per default SSL. Ohne SSL müssen Sie auf dem PDA mit dem Programm "DisableCertChk.EXE" die SSL Prüfung abschalten. Wenn Sie ein eignes Stammzertifikat nutzen, muss das mit AddRootCert.exe erst hinzugefügt werden.

Frontend/Backend
Besteht ihre Struktur hingegen aus einem Frontend Server, so müssen Sie diese Einstellung NICHT machen, da die MASYNC.DLL auf Frontend direkt auf das Verzeichnis /exchange auf dem Backendserver geht, welches keine formularbasierte Anmeldung benötigt.

MASSync ist immer Frontend !
Auch ohne die explizite Konfiguration eines Server als  "Frontend" ist die Funktion von MASSYNC.DLL immer ein Reverse Proxy. Es findet also keine "Umleitung" des PDA auf seinen Homeserver statt. Insofern können Sie jeden Exchange 2003 Server hierfür nutzen.
Weitere Details Frontend/Backend Konstellation

Wichtig in Verbindung mit SSL und Formularbasierter Authentifizierung ist auch folgender Artikel:

  • 817379 Exchange ActiveSync and Outlook Mobile Access errors occur when SSL or forms-based authentication is required für Exchange Server 2003
  • 886346 You receive an HTTP_500 error message when you synchronize your mobile device with Microsoft Exchange Server 2003

Dieser erklärt, wie sie MASSYNC so umkonfigurieren, dass ein anderes virtuelles Verzeichnis für den Postfachzugriff genutzt wird. Dann können Sie OWA und EAS auf dem Webserver trennen. Sie müssen dazu

  1. Das "\Exchange"- Verzeichnis einfach im IIS kopieren.
    Das funktioniert am einfachsten über deinen Export und Import als XML-Datei. Das neue Verzeichnis kann z.B. "Exchange-oma" heißen
  2. MASYNC das neue Verzeichnis mitteilen.
    Das funktioniert über eine Änderung in der Registrierung des Servers, z.B. mit folgender REG-Datei.

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MasSync\Parameters]
"ExchangeVDir"="/exchange-oma"

So kann ActiveSync dann weiter "normal" arbeiten während Sie auf dem virtuellen Verzeichnis "/Exchange" mit SSL, Formbased Authentication, RSA und anderen Dingen arbeiten können.

Achtung: Beim Small Business Server heißt dieses Verzeichnis zwingend "exchange-oma". Siehe auch KB 817379 Exchange ActiveSync and Outlook Mobile Access errors occur when SSL or forms-based authentication is required für Exchange Server 2003

Alternativ können Sie natürlich gleich einen eigenen virtuellen Webserver für EAS konfigurieren.

SSL mit Windows Mobile 2003

Natürlich will niemand seine Kennwort im Klartext über die Leitung senden. Daher sollten Sie Zugriffe per HTTP (und dazu zählt auch Server ActiveSync) per SSL verschlüsseln. Hierfür sind zwei Dinge erforderlich:

  • SSL-Zertifikat auf dem Webserver
    Hierzu können Sie einsetzen:
    Ein Selbstzertifikat (Siehe SelfSSL)
    Ein eigenes Zertifikat mit einer eigenen CA (siehe CA installieren und IIS SSL einrichten)
    Ein offizielles Zertifikat (Kaufen)
  • Ausstellende CA auf dem Client als vertrauenswürdig eingestuft
    Damit der Client aber die Verbindung auch akzeptiert, muss die Zertifizierungsstelle, die das Zertifikat ausstellt, als "vertrauenswürdig" auf dem Client abgelegt sein.

Auf den meisten mobilen Geräten sind schon einige namhafte Zertifizierungsstellen hinterlegt, aber dies hilft ihnen nur, wenn Sie von diesen Stellen ein Zertifikat erhalten haben. Wenn Sie mit eigenen Zertifikaten oder einer anderen Zertifizierungsstelle arbeiten, dann hilft dies nicht weiter. Sie müssen das Stammzertifikat auf dem PocketPC importieren. Das ist aber leider gar nicht so einfach.

  • ROOT CA installieren
    Besonders die Smartphones sind stark gesichert. Sie können ein Stammzertifikat nur dann installieren, wenn die Anwendung zur Installation selbst für das Smartphone "Trusted Code" darstellt oder Sie selbst "Manager"-Zugriff auf das Smartphone haben. Oft ist genau das aber vom Hersteller blockiert und es ist auch Sache der Hersteller eine "Zertifikat Installationsanwendung" mitzuliefern oder nicht.
  • Blockiertes Smartphone
    In diesem Fall können Sie nur versuchen das Smartphone "entsperren" zu lassen oder erhalten vom Telefonlieferant ein Programm zur Installation von Zertifikaten.
  • Wildcard Zertifikate
    Der IIS unterstützt zwar Wildcard-Zertifikate, aber nicht alle mobilen Geräte (z.B. Windows Mobile 5 und früher) können damit noch nicht umgehen.
  • SSL deaktivieren
    Bei Windows Mobile 2003 gibt es das Programm "certchk.exe", mit dem die Prüfung des Zertifikats abgeschaltet werden konnte. Damit war dann eine Verschlüsselung mit SSL trotz ungültigem oder abgelaufenen Zertifikat möglich. Dies ist mit Windows Mobile 5 NICHT mehr möglich.
    Hier kann man sich aber über einen Registrierungsschlüssel behelfen, den man z.B.: mit dem Programm RegeditSTG eintragen.  kann. Addieren Sie folgenden Key um die Prüfung des Stammzertifikats zu deaktivieren. (Danke an Meinrad Wimmer für den Tipp). Allerdings schaltet diese Funktion jegliche Prüfung des Zertifikats

HKEY_CURRENT_USER\Software\Microsoft\ActiveSync\Partners\--Partner-ID---\secure:dword = 0

ACHTUNG:
Diese Einstellung deaktiviert jegliche Zertifikatsprüfung. Zwar ist die Verbindung weiterhin per SSL verschlüsselt, aber ein Angreifer könnte als "Man in the Middle" durchaus die Daten decodieren, ja jeder ein Zertifikat mit dem Namen ausstellen kann und die Verbindung annehmen.

Überlegen Sie sich, ob wie wirklich dann auf allen Endgeräten ihr Stammzertifikat installieren wollen oder nicht einfach ein offizielles Zertifikat einfacher zu nutzen ist. So bietet z.B. GoDaddy ein Serverzertifikat für unter 20 US-$/Jahr an. https://www.godaddy.com/gdshop/ssl/ssl.asp.
Bei http://www.comodo.com können sie kostenfrei ein Zertifikat für 90 Tage erhalten

Alternativ können Sie einfach unter dem Link https://www.t-refer.com/t-refer/DENETATW-1 bei Thawte ein Zertifikat bestellen (Vermittlungsprovision kommt der MSXFAQ zugute). Natürlich beraten und unterstützen wie Sie auch bei der Beantragung und Installation.

Die Problematik mit Zertifikaten ist nicht nur für Exchange Server ActiveSync relevant, sondern betrifft auch andere zertifikatbasierte Zugriffe per WiFI oder VPN auf Services. Eine Beschreibung zur Installation von Zertifikaten auf Windows Mobile 5 und Windows Mobile 5 Smartphones finden sie auf Windows Mobile 5.

EAS und Firewalls / ISA-Server / RSA

Wie Sie mittlerweile wissen, nutzt der PocketPC oder ein anderes Endgerät mit ActiveSync Unterstützung einfach nut HTTPS und als URL etwas in der Form "http://servername/Microsoft-Server-ActiveSync/*" um mit dem Server zu kommunizieren. Sie müssen also nicht den kompletten IIS aus dem Internet erreichbar machen. Wenn ihre Firewall oder ein vor geschalteter Reverse Proxy explizit einzelne URLs bzw. Pfade einer URL veröffentlichen kann, ist das nat����rlich der ideale Weg, den ActiveSync Server erreichbar zu machen.

Allerdings geben einige Firewalls nicht nur URLs frei, sondern überwachen auch die damit verbundenen Befehle. Wer etwas HTTO "kennt", sollte zumindest die Befehle "GET" und "POST" können. Aber es gibt derer noch einige mehr, die von der Firewall auch entsprechend durchgelassen werden müssen. In Verbindung mit Active Sync ist dabei das Kommando "OPTIONS" wichtig, was aber vom vielen Proxies und Firewalls gerne blockiert wird.

RSA und Zertifikate - Hohe Sicherheitsanforderungen

Viele Firmen vertrauen nicht nur auf einen Benutzernamen und Kennwort für die Anmeldung. Diese beiden Daten sind zu leicht zu kopieren. Der Wunsch nach einer starken Authentifizierung (two factor authentication) ist der Auslöser, dass eine Firma für den Zugriff auf Ressourcen eine weiteres Kriterium erfordert. Neben dem "Wissen" um den Benutzernamen und das Kennwort kommt noch ein "Haben" dazu, d.h. ein Ding, was man nicht einfach kopieren oder erraten kann. Zwei Hilfsmittel sind hier gebräuchlich:

  • Hardware oder Software-Token
    Ein Stück Hardware könnte eingesetzt werden, welche dieses Endgerät oder den Benutzer eindeutig identifiziert. Solch ein Token sind z.B.: die RSA-Tokens, die alle 20 Sekunden eine neue 6-stellige Zahl erzeugen, die bei der Anmeldung mit eingegeben werden muss. Der RSA-Server kennt ebenfalls diese Zahl, die aber für Außenstehende nicht zu erraten ist.
  • Zertifikat
    Die zweite Option sind Client Zertifikate, die ebenfalls nicht einfach gefälscht werden können und die Identität des Clients (Gerät oder Benutzer) sicherstellen.

Damit kann zumindest kein Zugriff von anderen Geräten oder anderen Personen ohne solch ein Token erfolgen. Es kann aber dennoch sein, dass solch ein Gerät gestohlen wird. Dann muss es möglich sein, dieses sehr schnell zu löschen. ActiveSync erlaubt dazu die Funktion "Remote Wipe" und LocalWipe"

Kilobytes oder Megabytes

Wie viel Daten bei einer Replikation mit Server ActiveSync letztlich übertragen wird, ist natürlich abhängig von der Anzahl der Mail, der Größe der Mails und letztlich der Einstellungen, die Sie bei Pocket Outlook eingestellt haben. Vielleicht helfen aber folgende Werte zur besseren Einschätzung:

Ich nutze seit Dezember 2004 einen MDA3 der Telekom mit Windows 2003, welcher sich mit ActiveSync über GRPS an einem Exchange 2003 Server repliziert. Repliziert wird die komplette Mail der letzten 2 Wochen ohne Anlagen. Mit dem Programm "Spb GPRS Monitor" sind die übertragenen Daten gut zu protokollieren:

Die Bilder zeigen einmal die komplette Ansicht des Dezember und dann den 20.12 und 21.12 in der Tagesüberblick.

Und es ist gut zu erkennen, dass bei normalem Gebrauch die Datenmenge sogar überschaubar ist. Obwohl GPRS ein "permanent on" erlauben würde, ist das mit dem MDA3 so nicht möglich. Eine Lange Laufzeit ist nur möglich, wenn das System bei Nichtbenutzung sich abschalten kann. Damit geht aber auch die GPRS-Verbindung verloren, obwohl das Mobilteil selbst natürlich eingeschaltet bleibt.

Eine einmalige Replikation benötigt ca. 30-150kByte, je nach Menge. Wenn ich damit am Tag ein paar Mal repliziere, dann kommen nicht mal 1 MByte pro Tag zusammen. Mit 20 Megabyte kann man damit schon hinkommen. Wobei hier jeder natürlich seine eigenen Erfahrungen machen wird. Wenn Sie hingegen "always on" sein wollen, dann sollten Sie sich auch einen Blackberry Client anschauen.

SMS Push Notification

Beim Einsatz von Exchange ActiveSync in Verbindung mit Windows 2003 Phone Edition oder SmartPhone gibt es auch die Option, dass der Exchange Server per SMS das Endgerät über eine neue Mail informiert. Details hierzu finden Sie auf Exchange 2003 - Outlook Mobile Access.

Mit dem Exchange 2003 SP2 in Verbindung mit Windows Mobile 5 gibt es durch die Funktion Always up-to-date eine neue Möglichkeit, Clients aktuell mit Nachrichten zu versorgen, so dass die SMS-Funktion nicht mehr genutzt werden muss.

Was EAS nicht kann und welche Alternativen es gibt

EAS hat aber auch Grenzen und Probleme. daher gibt es einen Markt für Zusatzprodukte

Weitere Links