Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 1 subscriber
  • Views 25575 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

ActiveSync and UTM9

JustinCredible
Hello everyone...
I know this horse has been beaten to death but I'm going to give it one more shot. Something is just not right here.

OWA and Autodiscover work just fine, but ActiveSync fails on www.testexchangeconnectivity.com saying that Anonymous authentication didn't fail, but Anonymous authentication shouldn't be accepted.

I've checked my backend server and Anonymous is definitely disabled.

If I switch ActiveSync back to going through Forefront TMG, it works just fine. So it appears that the Sophos is accepting Anonymous authentication and I don't see an option anywhere to prevent this.

That's probably not the issue that's stopping ActiveSync from working, but without this issue resolved the testexchangeconnectivity.com test will not proceed. Is there any way to accomplish this?


This thread was automatically locked due to age.
  • 0
    Have you seen this site https://www.winsec.nl/2013/10/11/publishing-exchange-utm-web-application-firewall/

    Managing several Sophos firewalls both at work and at some home locations, dedicated to continuously improve IT-security and feeling well helping others with their IT-security challenges.

  • 0
    Yes I followed it perfectly. I had to do the ActiveSync exception because OWA and AS both use mail.domain.com. Since I used the exception, I didn't need to make an ActiveSync Virtual Webserver. Also we do not use Outlook Anywhere so I skipped anything to do with that.

    First thing on testexchangeconnectivity.com:

    The Microsoft Connectivity Analyzer is attempting to retrieve an XML Autodiscover response from URL https://autodiscover.domain.com/AutoDiscover/AutoDiscover.xml for user user@domain.com.
      The Microsoft Connectivity Analyzer failed to obtain an Autodiscover XML response.
     
    Additional Details
     
    The Autodiscover XML response received by the Microsoft Connectivity Analyzer was invalid. Exception: Exception details:
    Message: There is an error in XML document (1, 2).
    Type: System.InvalidOperationException
    Stack trace:
    at System.Xml.Serialization.XmlSerializer.Deserialize(XmlReader xmlReader, String encodingStyle, XmlDeserializationEvents events)
    at Microsoft.Exchange.Tools.ExRca.Tests.AutoDiscover.AutoDiscoverGetXMLBase`2.Discover()
    Exception details:
    Message:  was not expected.
    Type: System.InvalidOperationException
    Stack trace:
    at Microsoft.Xml.Serialization.GeneratedAssembly.XmlSerializationReaderMobileAutoDiscoverRespon***ML.Read9_Autodiscover()
    Elapsed Time: 361 ms.



    Since this has to do with Autodiscover, I changed these settings:
    Autodiscover Firewall Profile -> Uncheck Form Hardening

    Retest again on testexchangeconnectivity.com, and I get:

    Testing HTTP Authentication Methods for URL https://mail.domain.com/Microsoft-Server-ActiveSync.
      The HTTP authentication test failed.

    The Initial Anonymous HTTPS request didn't fail, but Anonymous isn't a supported authentication method for this scenario.
    Elapsed Time: 194 ms.

    What this is telling me is the UTM is accepting the connection anonymously (perhaps to check for bad reputation or something? I don't know). This has to do with ActiveSync so I tried:
    Set the Firewall Profile to the OWA Virtual Webserver to None. Retest, and same error.
    Set Firewall Profile on OWA Virtual Webserver back to OWA.
    ActiveSync Exception I checked every single exception in the list. Figured this would maybe prevent it from this anonymous authentication, and would also rule out the Exception being the issue without turning it off completely. Retested and failed same error. Tried disabling the exception entirely. Retested and failed with same error again.

    Autodiscover works, and OWA works just fine with Forms auth. Just ActiveSync is screwy... this is on 9.2 Beta 9.192-8
  • 0
    I read if you do a DNAT on an IP you can make a lot of these issues go away. Maybe I'm doing it wrong, but:

    Created DNAT rule:
    Traffic from Any, Service HTTPS, Going to Public IP of mail.domain.com
    Action destination DNS Host of internal mail server mailserver.domain.internal
    Service HTTP
    Firewall rule allow Any HTTP traffic to mailserver.domain.local

    OWA stops working, seems to not work at all really..
    Tried it with Automatic Firewall rule instead of making it manually. No difference...
    Tried removing the destination service so it would pass HTTPS instead of HTTP. No difference.
    Tried turning auto firewall rule off and making the manual one again, same thing. So I think the DNAT route is out. Unless I'm doing it wrong.
  • 0
    Just for kicks, I disabled the OWA virtual webserver. I created the ActiveSync one as specified and enabled it instead. Voila! BUT now going to mail.domain.com to log into webmail you get basic auth instead of forms?! any way to fix THAT?
  • 0
    I shouldn't say voila. Testexchangeconnectivity.com passes but my iPhone is saying cannot get mail
  • 0
    Went to the Site Path Routing for ActiveSync / and set the reverse auth to Forms and lo and behold, it fails with the anonymous auth error.
    So I've figured out the issue. You need to go to Site Path Routing and make a new route for /Microsoft-Server-ActiveSync to have NO reverse authentication on the OWA virtual webserver. that makes testexchangeconnectivity work
  • 0
    But still the iPhone doesn't connect. much confuse
  • 0
    Tried adding a new account to my phone, and it works. So existing phones need to remove/re-add their mail profile now? that would suck...
  • 0
    Kinda weird but it seems to.. .half work.. right now. Not sure what's going on. It's like ActiveSync Push isn't working. not sure how to test it though besides sending an email from another account. the email doesn't pop on my phone until I do a sync.
  • 0
    Turns out if you uncheck the "block clients with bad reputation" in the Firewall Profile for OWA, Push starts working.

    I'll post a followup with all the settings I needed that differed from the post at https://www.winsec.nl/2013/10/11/publishing-exchange-utm-web-application-firewall/
Unfiltered HTML