ActiveSync mit Zertifikaten Fehlersuche

Wenn ihr PDA wider erwarten dennoch nicht mehr per ActiveSync repliziert und auch keine Zertifikate abruft, dann müssen wir etwas genauer die Umgebung anschauen.

Wirken die Richtlinien ?

Der erste ein einfachste Weg ist natürlich eine Kontrolle des PDAs. Über Programme wie den "Mobile Registry Editor" ( http://www.breaksoft.com/Blog/Utilities/2005/1/Mobile_Registry_Editor.aspx) können Sie in der Registrierung des PDA nach den Einträgen der Richtlinie suchen.

Alternativ gibt es auf dem PC auch ein Programm "RapiConfig.exe", welches die Konfiguration ausliest.

RapiConfig.exe /P /M QryCertReg.xml

Die QryCertReg.xml-Datei muss im gleichen Verzeichnis vorliegen. Die Ausgabe ist dann eine RapiConfigOut.XML, welche die aktuelle Konfiguration enthält, z.B.:

<wap-provisioningdoc>
    <characteristic type="Registry">
        <characteristic type="HKCU\Software\Microsoft\CertEnroll">
            <characteristic type="ServerDef">
                <parm name="PrimaryServer" value="http://srv01.msxfaq.de" />
            </characteristic>
            <parm name="CertReqPage" value="/certsrv/certfnsh.asp" />
            <parm name="CertPickupPage" value="/certsrv/certnew.cer" />
            <parm name="Template" value="User" />
        </characteristic>
    </characteristic>
</wap-provisioningdoc>

Wenn die Richtlinien hier nicht angewendet werden, dann gibt es ein Problem mit der Kommunikation der ActiveSync Desktopsoftware und dem Domain Controller bzw. dem PDA. Um dieses Detailproblem zu klären, ist ein Netzwerk Monitor wie NetMon oder Packetyzer hilfreich, mit dem die Netzwerkverbindung zwischen PC und DC überwacht wird. Die LDAP-Anfrage an den DC ist Klartext (Kennwort ist aber verschlüsselt) und sollte daher identifizierbar sein.

Auch die Verbindung von PocketPC zum Desktop über USB-Kabel ist eine "Netzwerkverbindung" Auch hier kann man natürlich "mitschnüffeln". Es soll aber Geräte geben, die per ActiveSync nicht sauber konfiguriert werden können.

Geräte, die die Konfiguration nicht übernehmen können manuell konfiguriert werden. Speichern Sie dazu die XML-Datei ohne den Text "<CertEnrollXML>"  als "_setup.xml", packen Sie diese in ein CAB-_Archiv und führen dies auf dem PDA aus. (Details siehe WM5 Provisioning)

Ziel muss sein, dass die Registrierungseinträge im PDA sichtbar werden.

Probleme mit der Zertifizierungsstelle

Mit den Einstellungen in der Registrierung muss der PDA nun selbst sein Zertifikat anfordern. Versuchen Sie einfach einmal auf dem PDA die Zertifikatswebseite aufzurufen. Ist die Seite erreichbar ?. Ansonsten müssen Sie das IP-Routing und die Namensauflösung kontrollieren. Vielleicht liegt es auch einfach nur an einem nicht vertrauenswürdigen Stammzertifikat. Einige Firmen nutzen eine interne CA und erfordern SSL für den Zugriff auf die Zertifizierungsstelle. Wenn Sie hier eine eigene CA nutzen und SSL erzwingen, dann wird der PocketPC natürlich kein Zertifikat anfordern können, ohne der Stamm zu vertrauen.

Neben dem Zugriff mit dem Pocket IE auf die Zertifizierungsstelle können Sie natürlich auch im Zertifikatsspeicher nachschauen, ob die entsprechenden eigenen Stammzertifikate schon addiert wurden.

ISA/IIS-Logs

Die nächste Anlaufstelle ist natürlich der IIS bzw. Wenn der PDA die Einstellungen bezüglich Zertifikaten "verstanden" hat, dann muss er eine HTTP-Verbindung zum Zertifizierungsserver aufbauen. Diese Zugriffe sind im IIS zu finden. Zumindest der Zugriff mit dem Pocket IE auf die Zertifizierungsstelle muss sichtbar sein, ansonsten gibt es generelle Probleme der Erreichbarkeit zwischen PDA und Servern.

Wenn der PDA das Clientzertifikat erhalten hat, dann finden Sie dies auch im lokalen Zertifikatsspeicher auf dem PDA. Der nächste Schritt ist dann die Anfrage des Clients an den ActiveSync-Server. Auch hier verbirgt sich ja ein IIS mit dem virtuellen Verzeichnis "/Microsoft-Server-ActiveSync" dahinter, der seine Zugriffe ebenfalls im IISLog hinterlegt. Kontrollieren Sie dieses Log auf die Zugriffs des Clients. Sind keine Zugriffe zu finden, dann liegt vermutlich eine Fehlkonfiguration im Bereich GRPS, Internet, Provider vor. Hat vorher die Anmeldung ohne Zertifikate problemlos funktioniert ?. Wenn ja, dann ist nun vermutlich eine Komponente dazwischen, die Clientzertifikate blockiert. Zugriffe vom PDA müssen direkt auf dem Frontend oder Mailboxserver landen oder über einen ISA2006 als Reverse Proxy durchgereicht werden. Alle anderen Proxies oder Firewalls sollten die Verbindung per "Address Translation (NAT)" bzw. beim ISA-Server als "Serververöffentlichung" anstelle einer Webveröffentlichung umsetzen.

EventLogs

Zuletzt kann es natürlich noch an der Anmeldung selbst liegen. Der IIS bekommt das Client Zertifikat und fordert mit diesem Zertifikat beim DC ein Kerberos-Ticket an, um dann weitere Zugriffe durchzuführen. Kontrollieren Sie das Security-Eventlog auf Probleme bei der Anmeldung und das System-Eventlog bezüglich Fehlern bei Kerberos. Eventuell müssen Sie dazu die Überwachung aktivieren. (Gruppenrichtlinien)

Unterstützung durch Net at Work:
Sollten Sie bis jetzt noch keine Lösung gefunden haben, oder andere Fragen offen geblieben sein, dann können Wir Sie aktiv unterstützen. Rufen Sie einfach an.

Weitere Überlegungen

  • Netmon auf "LDAP"
    ActiveSync Client muss nach "Outlook Mobile Settings" suchen und finden
  • Erreichbarkeit der CA mit Pocket IE
    Kurzname, Langername, Netzwerkverbindungen -> muss erreichbar sein entsprechend in XML
    Eventuell Netzwerk auf "Firma" stellen
  • Netmon auf TCP-Address Filter auf CA
    Kommt die Anfrage, welche Antwort ?
    Die meisten PDAs können nur 1024 Bit Zertifikate, d.h. Vorlage darf keine 2048 oder höher erzwingen
    EAS kann keinen Privaten Key an die CA senden -> CA darf kein Privat Key Archival erzwingen

Weitere Links