Warum Exchange ActiveSync mit NAT-Firewalls fehlschlägt

Die Implementierung von ActiveSync in einer Exchange 2003-Organisation erleichtert die Synchronisierung mobiler Geräte. Dies führt jedoch in einer Umgebung mit Exchange 2003-Servern hinter einer NAT-Firewall (Network Address Translation) zu Synchronisierungsfehlern. Es gibt keine einzige Lösung für dieses ActiveSync-Problem, aber Verständnis Warum ActiveSync schlägt mit NAT-Firewalls fehl und kann bei der Fehlerbehebung hilfreich sein.


Die Grundidee hinter NAT ist, dass es nicht genug gibt IPv4 Die meisten ISPs geben den Abonnenten eine einzige öffentlich zugängliche IP-Adresse. Diese Adresse wird der NAT-Firewall zugewiesen, und alle Computer hinter der Firewall verfügen über private IP-Adressen, die nur innerhalb des Netzwerkbereichs gültig sind.

Wenn ein Computer extern kommunizieren muss, sendet er die Anforderung an die NAT-Firewall. Die NAT-Firewall fungiert dann als Proxy und stellt die Anforderung im Namen des Computers. Wenn die Antwort zurückkommt, leitet die NAT-Firewall die Antwort an den anfordernden Computer weiter.

Wenn Server der Außenwelt zur Verfügung gestellt werden, sich diese Server jedoch hinter einer NAT-Firewall befinden, wird häufig die Portweiterleitung verwendet. Beispielsweise kann eine Organisation einen Exchange-Server hinter einer NAT-Firewall haben, und dieser Server muss in der Lage sein, externe SMTP-Nachrichten zu empfangen.

In einem solchen Fall verweist der für die Domäne autorisierende MX-Eintrag auf dem DNS-Server auf die NAT-Firewall und nicht auf den Exchange-Server selbst, da auf diese IP-Adresse nicht extern zugegriffen werden kann. Die NAT-Firewall wird dann mit einer Portweiterleitungsregel konfiguriert, die eingehenden SMTP-Verkehr an die private IP-Adresse des Exchange-Servers weiterleitet.

Das erste Problem bei der Verwendung von Exchange ActiveSync in Verbindung mit NAT besteht darin, dass viele ISPs nur dynamische IP-Adressen leasen. Beispielsweise weist der von mir verwendete ISP alle paar Stunden IP-Adressen neu zu, um zu verhindern, dass Abonnenten ihre eigenen Server hosten.

Das häufige Ändern öffentlicher IP-Adressen kann beim Versuch, Dienste zu hosten, zu Problemen führen, da die DNS-Einträge für die Domäne auf die öffentliche IP-Adresse des Unternehmens verweisen müssen. Es gibt Technologien, um DNS-Einträge auf dem neuesten Stand zu halten, aber einige mobile Geräte speichern DNS-Einträge zwischen. Dieser Cache wird möglicherweise nicht häufig genug erneuert, um mit den Änderungen der IP-Adresse Schritt zu halten.

Wenn Sie über statische IP-Adressen verfügen und Exchange ActiveSync nicht ordnungsgemäß funktioniert, hängt das Problem höchstwahrscheinlich mit Ihren SSL-Zertifikaten zusammen. Wenn Sie Exchange ActiveSync aktivieren, werden drahtlose Clients normalerweise mithilfe der SSL-Verschlüsselung synchronisiert. Für die SSL-Verschlüsselung muss ein SSL-Zertifikat verwendet werden, das die Server enthält vollqualifizierter Domainname (FQDN) und IP-Adresse. Dies kann problematisch sein.

Wenn Clients versuchen, eine Synchronisierung durchzuführen, stellen sie eine Verbindung zur NAT-Firewall her, nicht direkt zum Exchange Client Access-Server (CAS). Die NAT-Firewall leitet die Anforderung an den Server weiter, der antwortet. Der Server versucht, mithilfe seines Zertifikats eine SSL-Verschlüsselung einzurichten. Die Ausgabe des Servers wird jedoch über die NAT-Firewall zurückgesendet, die eine andere IP-Adresse als der Server hat.

Da die Organisation über eine öffentliche IP-Adresse verfügt, wird diese Adresse für die gesamte ausgehende Kommunikation verwendet. Der Client glaubt, dass die Antwort von der IP-Adresse der NAT-Firewall und nicht von der IP-Adresse des Exchange-Servers stammt. Das SSL-Zertifikat enthält die IP-Adresse des Servers. Daher hält der Client das Zertifikat für ungültig.

Eine Lösung hierfür besteht darin, auf dem mobilen Gerät einen Hosteintrag zu erstellen, der dem vollqualifizierten Domänennamen zugeordnet ist, dem das SSL-Zertifikat zugewiesen ist. Windows Mobile-Geräte unterstützen die Verwendung von Hostdateien nicht, Sie können jedoch den erforderlichen Hostdatensatz zur Registrierung des Geräts hinzufügen. Hostinformationen können in die Registrierung des Mobilgeräts eingegeben werden unter: HKEY_LOCAL_MACHINE comm tcpip host.

Eine andere mögliche Lösung besteht darin, Ihre NAT-Firewall durch einen ISA-Server zu ersetzen. Dies ist eine praktikable Option, da ISA Server als NAT-Firewall fungieren kann und eine Funktion namens bietet SSL-BridgingHiermit kann der Endbenutzer eine SSL-Sitzung mit dem ISA-Server einrichten. Die Sitzung mit dem dahinter liegenden Exchange-Server muss nicht eingerichtet werden. Der ISA-Server kann eine separate SSL-Sitzung mit dem Exchange-Server einrichten und als eine Art SSL-Proxy fungieren.

Das Konfigurieren der SSL-Überbrückung kann schwierig sein, da Sie das SSL-Zertifikat Ihres Clientzugriffsservers exportieren und zum Zertifikatspeicher des ISA-Servers hinzufügen müssen. Microsoft bietet weitere Informationen zu SSL-Bridging.

ÜBER DEN AUTOR

Brien M. Posey, MCSE wurde viermal mit dem Most Valuable Professional Award von Microsoft für seine Arbeit mit Windows Server, Internet Information Server (IIS) und Exchange Server ausgezeichnet. Brien war CIO einer landesweiten Kette von Krankenhäusern und Gesundheitseinrichtungen und war einst Netzwerkadministrator für Fort Knox. Sie können Briens persönliche Website unter besuchen www.brienposey.com.

MITGLIEDER-FEEDBACK ZU DIESEM AUSTAUSCHMOBILITÄTS-TIPP

Nur ein Gedanke … Ich denke, dieses ganze Problem kann mit 1) einer statischen IP und 2) einem SSL-Zertifikat einer anerkannten Behörde – z. B. Thawte, das auf die externe öffentliche IP verweist – gelöst werden. Dieser interne SSL-Zugriff wird wie bei OWA in die Luft gesprengt, kann jedoch leicht behoben werden, indem das Zertifikat dauerhaft akzeptiert wird.

Diese Methode sprengt auch den Zugriff auf Exchange-Öffentliche Ordner über Exchange System Manager. Aber auch das lässt sich leicht beheben. Es funktioniert wie ein Champion für die über 40 Websites, auf denen diese Konfiguration ausgeführt wird.
– – Eric H.

Haben Sie Kommentare zu diesem Tipp? Lass uns wissen.

Bitte lassen Sie andere über die unten stehende Bewertungsskala wissen, wie nützlich dieser Tipp war. Kennen Sie einen hilfreichen Exchange Server-, Microsoft Outlook- oder SharePoint-Tipp, eine Zeitersparnis oder eine Problemumgehung? Senden Sie eine E-Mail an die Redakteure, um über das Schreiben für SearchExchange.com zu sprechen.

Similar Posts

Leave a Reply