Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 38 subscribers
  • Views 7112 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Problem ActiveSync bei Kennwortänderung

Sn0wm4n
Hallo zusammen,

wir haben ein Exchange 2010 Server über die WAF mit hilfe der Umkehrauthentifizierung veröffentlicht. 

Die Ersteinrichtung von ActiveSync funktioniert immer fehlerfrei...
Sobald jedoch der User sein Passwort ändern (alle 3 Monate, Unternehmensrichtlinie) bekommt man ActiveSync nur wieder zum laufen, indem man das Exchange Profil auf dem Smartphone neu anlegt (verschiedene Modelle).

Das Smartphone bekommt auch irgendwie nie mit das sich das Kennwort geändert hat. Erst wenn man mehrfach versucht das Profil zu Synchronisieren erkennt das Smarpthone das was mit der Authentifizierung nicht stimmt. Ändert man nun nur das Kennwort kommt die Fehlermeldung "Derzeit kann keine Verbindung zum Server hergestellt werden".
In den Logs der Sophos steht dann:
"frontend and backend credentials differ, authentication impossible"

Wenn man jetzt das Profil auf dem Smartphone neu anlegt... funktioniert alles wieder.

Auch längere Zeit nach der Passwortänderung warten bringt nichts... (hab schon 24h probiert)

Deaktiviere ich die Umkehrauthentifizierung, läuft alles fehlerfrei... ändern des Kennworts keine Probleme.

Jemand eine Idee/Lösung?

Das Profil der Reversauthentfikations ist so eingerichtet:
Virtueller Webserver Modus: Basis
Echter Webserver Modus: Basis
Benutzer-Sitzung: ist alles Standard (5min, 8h)

Achja Installiert ist UTM 9.305-4.


This thread was automatically locked due to age.
  • 0
    Problem erstmal gefunden...

    Der Benutzer war wegen VPN-Einwahl auf der Sophos Lokal angelegt.

    Jemand vielleicht dafür eine Lösung?

    Beim Benutzer ist als Authentifizierung "Entfernt" eingestellt und Backend-Sync aktiviert.

    VPN-Einwahl würde der User schon gerne nutzen [:)]
  • 0
    Zu früh gefreut... mit einem anderen Benutzer (nicht auf der Sophos Lokal angelegt) selbes Problem wie oben beschrieben.

    Die Sophos cached doch meines wissens auch keien Kennwörter und Benutzer aus dem AD?
  • 0
    Hi, also lokale User gehen vor, also User umbenennen.

    Man kann einstellen, wann die Anmeldedaten synchronisiert werden.
    Täglich zu einer bestimmten Uhrzeit, bei jeder Anmeldung des Users etc.
    Per Default werden die Zugangsdaten auf der UTM gecached, damit nicht jeder Proxyaufruf ans AD weitergeleitet werden muss.

    Das es etwas dauert, ist somit normal --> lösche den Cache bei der Authentifizierung.

    Nice greetings
  • 0
    Im Handbuch der UTM steht allerdings:
    "Wichtiger Hinweis – Authentifizierung (das Herausfinden, wer ein Benutzer ist) und Autorisierung
    (das Herausfinden, was ein Benutzer darf) für einen Benutzer, dessen Benutzerobjekt
    automatisch erstellt wurde, geschieht immer auf dem entfernten Backend-Server
    bzw. Verzeichnisdienst    . Aus diesem Grund sind automatisch erzeugte Benutzerobjekte in der Sophos UTM nutzlos, wenn der entsprechende Backend-Server nicht erreichbar ist oder das
    Benutzerobjekt am entfernten Standort gelöscht wurde."

    und

    "Beachten Sie auch, dass die Sophos UTM Benutzerauthentifizierungsdaten, die es von einem
    entfernten Authentifizierungsserver geholt hat, für 300 Sekunden zwischenspeichert. Ausgenommen
    hiervon ist Active Directory Single Sign-On (SSO)    . Deshalb werden sich Änderungen
    an den entfernten Benutzereinstellungen erst auswirken, wenn der Speicherzeitraum
    abgelaufen ist."

    Das sind alles alles automatisch erstellte Benutzer.

    Müsste es dann nicht Problemlos gehen?

    In zwischenzeit hab ich allerdings ja auch das Problem das der Fehler bei Benutzern auftritt die nicht in der Sophos angelegt sind.
  • 0
    Das was du zitierst ist klar.
    Ich meinte damit, lokale UTM User, nicht Backend-Auth User die auf der UTM aus dem AD angelegt werden.

    Ändere das Kennwort und geh  unter:
    Definitionen & Benutzer - Authentifizierungsdienste - Erweitert - "Synchronisierung der Active-Directory-Gruppenmitgliedschaft"

    Außerdem in der Webserver Protection.

    Was sagen denn deine Logs?

    Nice greetings
  • 0
    Wenn die Sophos meine Authentifizierung cached wundert mich nur warum es nach dem neu anlegen des AciveSync Profiles auf dem Smartphone bisher immer funktioniert hat. Ich werde nachher mal bisschen mit der Hintergrundsync rumspielen...

    Die Token Einstellungen im IIS hab ich bereits angepasst und ohne Umkehrauthentifizierung geht es ja.
  • 0
    Ich glaube fast das der Apache auf der Sophos das ganze cached...

    Ich bin jetzt kein ActiveSync Experte aber kann es sein das ActiveSync auch so ein art Cookie oder Session-ID benutzt die halt beim neu erstellen neu generiert/gelöscht wird.

    Wenn das so ist müsste man eher die Cache dauer auf dem Apache anpassen.
  • 0
    Frank hats ja ohne reverse authentication eingerichtet, sonst würde glaube ich auch NTLM nicht funktionieren.

    Logs Post ich nahher nochmal... Hab momentan die reverse authentication deaktiviert... Ich stells für die Logs nachher nochmal um.
Unfiltered HTML