Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Active Sync mit 2 CAS, HTTP 449 ohne Text

Wir haben 3 Exchange 2007 SP2, einer vom Internet erreichbar, 2 intern (3 Sites). OWA etc. funktioniert alles, ActiveSync (android und iphone) ging auch bis jetzt, wir hatten Isa Server als Proxy. Nach Umstellung auf eine Astaro Firewall (die verwendet Apache Reverse Proxy zum Publishen des Mailservers) können wir keine Geräte mehr mit Active Sync einrichten für Konten, die die Mailbox nicht auf dem Internet-facing Exchange haben. Bereits eingerichtete Geräte funktionieren aber weiter. Der MS Exchange Remote Connectivity Analyser meldet auch dass alles ok ist für alle 3 Server. Ich habe in einer VM 2 Exchange 2007 'aus der Box' aufgesetzt zum Testen, und in einer VM ein Android-Handy, das selbe problem. Jeweils einmal den einen Exchange Server als Frontend (incl. interne/öffentliche URL etc.), und den anderen; Mailboxen auf dem jeweiligen Backend lassen sich nicht einrichten auf dem Gerät, gestestet mit dem Android Handy in der VM, einem Samsung Galaxy mit Android und einem HTC mit WM 6.5. Mit einer simplen Portweiterleitung funktioniert es, mit ISA ging es, mit dem Reverse-Proxy gehts nicht. Wir haben die Pakete analysiert und die logs der jeweiligen IIS, dabei ist folgendes herausgekommen: wenn man ein gerät erstmals verbindet, sendet der Exchange Server irgendwann ein "HTTP/1.1 449 Retry after sending a PROVISION command" da das Gerät noch nicht validiert ist. (die Active Sync Policy lässt es übrigens zu und ist default). Daraufhin sendet das gerät als cmd ein 'provision' und gut. Das klappt mit dem Frontendserver; bei einer Mailbox auf dem Backendserver (wo der Frontend die Requests ja weiterleitet an den Backend) kommt auf dem Reverseproxy aber nur an: "HTTP/1.1 449" ohne den Text. Der Proxy macht dann daraus ein "Network Error 500: Internal Server Error" und gibt das an das mobile Gerät, das bricht daraufhin ab.

Ich hab das mal mit php (header) nachgebaut, aus einem "HTTP/1.1 449 blablabla" macht der Reverseproxy auch wieder ein "HTTP/1.1 449 blablabla", aus einem "HTTP/1.1 449" einen 500er Fehler. Ich würde mal vermuten, ein header mit Status 449 ohne nachfolgenden Text ist nicht zulässig bzw. nicht standardkonform.

Antworten a la 'nimm keine Astaro' oder 'nimm keinen Apache reverse proxy' sind nicht hilfreich, Fakt ist dass der Frontendserver anders antwortet als der Backend Server, und ein reverse proxy incl. virenscanner+spamfilter ist ein muß vor dem mailserver.

Es hilft übrigens per console die default active sync policy zu entfernen, auf allen exchange servern. dann versucht exchange anscheinend gar nicht erst das gerät zu provisionieren bzw. die policy anzuwenden (obwohl die alles erlaubt). ist aber auch keine dauerlösung.

Kennt sich denn jemand mit mod_security2 aus, das man dort ggf. eine Rule bzw. Action auf der Astaro einsetzt um den HTTP 449 Request ohne Text von der Security auszuschließen.

Mit Freundlichen Grüßen

Exelant


This thread was automatically locked due to age.
  • Hat keiner eine idee bzw. Ahnung von mod_security des apache? Also laut der analyse macht die astaro ja alles richtig und microsoft ist nicht konform und schickt zu dem http 449 header keinen text mit. Aber um an microsoft ranzukommen scheint mir eher schwierig. Vllt kann man ja auf der astaro per console die mod_security irgendwie anzupassen.
  • Kann denn keiner helfen oder Energie mit darein setzen? Hat keiner das Problem, bin ich der einzigste? Vorallem weil es ja eindeutig reproduzierbar ist.
  • Push...
     Hat keiner 2 exchange client access server, wo jeder mailboxen hat und je in einer ad-site im betrieb. Wo einer über die waf für active sync veröffentlicht ist?

    Gruß Exelant