Hallo Kollegen,
es fing an mit einem reverse proxy für owa um die Sicherheit zu erhöhen woraufhin Mobilgeräte nicht mehr funktionieren obwohl owa erreichbar ist ohne VPN und mit korrekten Zertifikat und endet damit das Autodiscover nicht mehr funktioniert.
Das Interne Zertifikat wurde ersetzt weil es abgelaufen war. Zuvor war ein öffentlich anerkanntes Zertifikat im Einsatz und nun ist es ein Selbstsigniertes welches über GPO verteilt wird.
Wir haben den reverse proxy von Securepoint eingesetzt um die Authentifizierungen auf der Firewall abzuwickeln bevor der Exchange Server erreicht wird, dass funktioniert auch und es wurde ein Öffentliches Zertifikat eingesetzt mit *.domain.de als Name. Diese Änderung war nicht meine Idee.
Owa ist erreichbar und der Login funktioniert ohne Probleme. Die ersten Meldungen waren das Smartphones keine Verbindungen mehr zustande bekommen und einige externe Laptops welche über VPN arbeiten (ohne Outlook anywhere) Zertifikatsfehlermeldungen bekommen. Die externen Laptops haben einfach nicht das Zertifikat per GPO bekommen aber die Probleme mit den Smartphones konnte ich mir nicht erklären.
Test mit https://testconnectivity.microsoft.com ergaben probleme mit TLS 1.2 und dem HTML Fehlercode 403 Forbidden
-------------------------------------
Die Microsoft-Verbindungsuntersuchung testet Exchange ActiveSync. Fehler beim Testen von Exchange ActiveSync.
Es wird versucht, den Hostnamen access.bioconstruct.de im DNS aufzulösen.Der Hostname wurde erfolgreich aufgelöst.
Es wird getestet, ob TCP-Port 443 auf Host access.bioconstruct.de überwacht wird/geöffnet ist.Der Port wurde erfolgreich geöffnet.
Die Gültigkeit des SSL-Zertifikats wird überprüft.Das Zertifikat hat alle Überprüfungsanforderungen bestanden.
Testschritte
Die Microsoft-Verbindungsuntersuchung prüft den TCP-Endpunkt IP-Adresse am Port 443, um festzustellen, welche SSL/TLS-Protokolle und Verschlüsselungsverfahren-Sammlungen aktiviert sind.Wir konnten die aktivierten Protokolle und Verschlüsselungsverfahren-Sammlungen erkennen.
Überprüfen, ob Ihr Server modernen TLS-Protokolle und Verschlüsselungssammlungen unterstützt.Test mit Warnungen bestanden. Erweitern Sie die zusätzlichen Details.
Weitere Details
Ihr Server unterstützt nur TLS-Protokolle TLS 1.0, TLS 1.1. Protokolle kleiner als TLS 1.2 werden als unsicher betrachtet und sollten nicht verwendet werden. Die Microsoft-Remote-Verbindungsanalyse wird nach dem Sunday, October 31, 2021 keine Verbindungen unterstützen, welche diese Protokolle verwenden.
Die Microsoft-Verbindungsuntersuchung versucht, das SSL-Zertifikat vom Remoteserver access.domain.de an Port 443 zu erhalten.Die Microsoft-Verbindungsuntersuchung hat das Remote-SSL-Zertifikat erfolgreich abgerufen.
Der Zertifikatsname wird überprüft.Zertifikatsnamen erfolgreich überprüft.
Das Datum des Zertifikats wird getestet, um zu bestätigen, dass das Zertifikat gültig ist.Überprüfung des Datums war erfolgreich. Das Zertifikat ist nicht abgelaufen.
Die Antwort „HTTP 403 Verboten“ wurde empfangen. Die Antwort scheint von Unknown zu stammen. Antworttext: <!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01//EN" "http://www.w3.org/TR/html4/strict.dtd"> <html><head> <meta type="copyright" content="Copyright (C) 1996-2018 The Squid Software Foundation and contributors"> <meta http-equiv="Content-Type" content="text/html; charset=utf-8"> <title>ERROR: The requested URL could not be retrieved</title>
-------------------------------------------------------
Tests mit Test-OutlookWebServices -Identity administrator@domain.de -MailboxCredential (Get-Credential)|fl ergaben folgende Fehlermeldung:
---------------------------
[2021-06-24 12:41:16Z] Antwort von AutoErmittlung:
System.Net.WebException: Der Remoteserver hat einen Fehler zurückgegeben: (401) Nicht autorisiert.
bei System.Net.HttpWebRequest.GetResponse()
bei Microsoft.Exchange.Management.SystemConfigurationTasks.ServiceValidatorBase.InternalInvoke()
---------------------------
Auch ohne Angabe des Benutzer, sprich mit einem ex-test-account gibt es die selbe Fehlermeldung. Ich habe bisher die IIS Authentifizierungsmethoden kontrolliert im Vergleich mit einer Microsoft Seite, da gab es keine Abweichungen und die Bindungen kontrolliert ob das Richtige Zertifikat eingebunden war im Frontend und Backend.
Was könnte ich noch alles kontrollieren?