Mail App und Exchange

@ MrEnglish

Ich rede mit sicherheit nicht das OS schlecht.
Es geht doch hier um fakten. Und auch ich verdiene mein Geld mit Kunden, welche Ms Produkte einsetzten.
Ich arbeite im professionellen Bereich. Deshalb erlaube ich mir einfach Dinge zu kritisieren.
Du gehörst ja zu den Leuten die alles schönreden. Kann ich jetzt einfach mal so in den Raum werfen.

Ich habe inzwischen verstanden (durch diverse Kommentare von MS Mitarbeitern) das derzeit Windows 8 (Metro) nicht primär für das Geschäftsumfeld entwickelt wird. Allein der Consumer Markt, mit dem Focus Apps ist priorität Nummer 1.

Wir haben hier unsere Schlüsse draus gezogen und werden unsere Kunden entsprechend beraten.

Es gibt Exchange Policies die auf dem Endgerät eine Device Encryption erfordern. Nachdem aber WP7(.5) das aktuell nicht unterstützt dürfte das nicht die Ursache sein (sonst ginge es dort ja auch nicht). Bei meinen Exchange-Accounts ist das entsprechende Flag nebenbei nicht gesetzt. Zumindest bei Windows RT (also der ARM-Version) scheint die Device Encryption immer dabei zu sein - macht auch Sinn, nachdem es dort nicht mehrere Editionen gibt, sonst könnten sie sich dort die Exchange-Anbindung ja komplett sparen.

Die interessante Frage wäre jetzt aber eigentlich ob das überhaupt Exchange ActiveSync eingesetzt wird bei der Release-Preview oder ob da nicht stattdessen die WebServices für den Outlook-Zugriff via HTTP genutzt werden (nannte sich mal Outlook Anywhere). Evtl. liegt dort der Hund begraben?

Zum Thema Zertifikat würde mir jetzt noch einfallen einfach mal ein normales Outlook 2010 testweise auf dem Windows 8 Gerät zu installieren und zu schauen ob das mit diesen Settings auf den Server kommt bzw. was dort für eine Fehlermeldung kommt (evtl. ist es ja Auskunftsfreudiger - die Mail-App ist ja nach wie vor eine Preview).

Zitat von blau34

Allein der Consumer Markt, mit dem Focus Apps ist priorität Nummer 1...

Selbst dafür taugt die Mail-App noch nicht - s. die Kritiken.

Zitat von StevieBallz

Die interessante Frage wäre jetzt aber eigentlich ob das überhaupt Exchange ActiveSync eingesetzt wird bei der Release-Preview oder ob da nicht stattdessen die WebServices für den Outlook-Zugriff via HTTP genutzt werden (nannte sich mal Outlook Anywhere). Evtl. liegt dort der Hund begraben?

Zum Thema Zertifikat würde mir jetzt noch einfallen einfach mal ein normales Outlook 2010 testweise auf dem Windows 8 Gerät zu installieren und zu schauen ob das mit diesen Settings auf den Server kommt bzw. was dort für eine Fehlermeldung kommt (evtl. ist es ja Auskunftsfreudiger - die Mail-App ist ja nach wie vor eine Preview).

Der Zugriff erfolgt definitiv mittels ActiveSync. Das lässt sich im Log unseres Apache-Gateway sehr gut sehen.
Auch funktioniert Outlook 2010 einwandfrei.

Trotzdem Danke für die Hinweise. Vielleicht finden wir ja die Lösung noch bevor Windows8 auf den Markt kommt.

Spätestens wenns da ist wird da wohl was aufkommen, denn dann muss Microsoft das Zeug offiziell supporten

Hast du schonmal probiert ob ein Tool wie Fiddler auf dem Windows 8 Gerät mitschreiben kann was das Windows 8 Mail Programm da an den Server schickt bzw. interessanter: was der antwortet?

Zitat von StevieBallz

Hast du schonmal probiert ob ein Tool wie Fiddler auf dem Windows 8 Gerät mitschreiben kann was das Windows 8 Mail Programm da an den Server schickt bzw. interessanter: was der antwortet?

Nein, werde ich aber demnächst tun. Ich muss zugeben das Tool bisher noch gar nicht gekannt zu haben.
Werde Euch auf dem laufenden halten.

Ja, ich bin ja momentan in der Webentwicklung, da braucht man sowas halt fürs Debugging. Fürchte aber eh, dass der sich da bei den Systemapps nicht dazwischenschalten kann. Weiß auch nicht wieviel Zeit du da in der Fehlersuche versenken willst - hoffe aber dass damit dann sinnvolle Infos rauskommen.

So, nach langem Suchen habe ich nun endlich die Lösung gefunden (zumindest für den Zugriff auf einen der beiden Exchange).

Falls also jemand von euch den Exchange-Server hinter einem Apache-Proxy versteckt gibt es folgendes zu beachten:

<Location "/Microsoft-Server-ActiveSync">
ProxyPass http://<MAILSERVER>/Microsoft-Server-ActiveSync
ProxyPassReverse http://<MAILSERVER>/Microsoft-ServerActiveSync
SetEnv force-proxy-request-1.0 1
SetEnv proxy-nokeepalive 1
</Location>

Die rot markierten müssen entfernt werden, dann funktioniert es einwandfrei. Die Einträge verhindert, dass die HTTP 401 Challenge sauber an den Exchange-Server weitergeleitet wird.

Eigentlich ganz einfach, wenn man's weiss

Den zweiten Exchange-Server habe ich nun auch zum Laufen gebracht, zumindest temporär (Danke StevieBallz für den Fiddler Hinweis).

Das Problem hängt mit dem Zertifikat zusammen. Konkret steckt mein zweiter Exchange-Server hinter einer DynDNS Adresse. Logischerweise ist damit kein Zertifikat einer offiziellen Zertifizierungsstelle möglich. Zum Einsatz kommt also ein Self-Signed Zertifikat.

Unter WP7 kann man sich das diese Zertifikat über das Hotmailkonto schicken, installieren und nach einem Neustart des Handys wird dem Zertifikat vertraut.

Unter Windows8 scheint dieser Ansatz nicht mehr zu funktionieren. Das Zertifikat kann zwar nach wie vor installiert werden. Ein Zugriff über den IE sowohl vom Desktop als auch von Metro aus klappt ohne Zertifikatsfehler. Die MailApp scheint dies aber zu ignorieren und verweigert die Zusammenarbeit.

Was macht nun Fiddler?
Mit der Applikation ist es möglich den HTTP-Transfer zu loggen. Über eine Zusatzoption kann sogar der HTTPS Transfer "decryptet" werden. Dazu wird ein offizielles Zertifikat verwendet. Mit einem Zusatztool lässt dann sogar Netzwerkverkehr der MetroApp (AppContainer) über Fiddler leiten. Damit klappt dann der Zugriff auf den Exchange, da der MailApp ein gültiges Zertifikat vorliegt.

Selbstverständlich ist das Ganze im produktiven Umfeld nicht akzeptabel (Fiddler = Man in the Middle).

Ich bin gespannt ob Microsoft diese Restriktion mit der endgültigen Version von Windows8 lockert. Falls nicht, denke ich mir, dass einige, vor allem kleinere Firmen durchaus Probleme haben.

Frägt sich, warum sie das gemacht haben. Wenn es die Sicherheit erhöhen soll, dann könnte es durchaus sein, dass es mit WP8 auch geändert wird.

Mit der kostenlosen PocketPC.ch App von meinem TITAN X310e aus geschrieben.

Was soll daran die Sicherheit erhöhen?

Es geht hierbei meistens um einen eigenen nicht öffentlichen Exchange Server. Schon mal von den ganzen gefälschten offiziellen Zertifikaten gehört?

Was ist daran so schwierig eine Meldung wie im Browser zu bringen, welche einen Hinweis macht? Und dann kann der Anwender entscheiden.

Sollte MS das bis zum offiziellen Start nicht hinbekommen, dann sind die MS Tablets bei uns erst mal Tabu.

Das ist wirklich nicht praxisnah von MS. Die meisten der von mir betreuten Firmen nutzen eigene Zertifikate da eben die meisten DSL Anbieter im Normalfall keine feste IP anbieten.

Zitat von blau34

Was soll daran die Sicherheit erhöhen?

Was ist daran so schwierig eine Meldung wie im Browser zu bringen, welche einen Hinweis macht? Und dann kann der Anwender entscheiden.

Das sich mit diesem Verhalten die Sicherheit erhöht denke ich auch nicht.

Leider gibt es bei MS unterschiedliche Entwicklerteams, welche sich nicht immer allzu gut miteinander absprechen. Ich kenne das nur zu gut aus dem Umfeld SCE 2010, WSUS, Windows7 und Softwareverteilung.

Aber warten wir ab. Es steht ja schliesslich "AppPreview". Ich kann mir durchaus vorstellen, dass das noch bei ganz anderen Firmen sauer auf-stösst und von MS gelöst wird.

Kurze Frage ob ich das richtig verstanden habe. Wenn du Fiddler mit dem HTTPS-Modul dazwischenschaltest funktioniert es? Das wundert mich deshalb weil Fiddler ja für sich selbst auch eben ein vertrauenswürdiges Zertifikat erstellt und im System installiert. Insofern müsste es doch eigentlich auch klappen wenn du das öffentliche Stammzertifikat deiner Zertifizierungsstelle in Windows importierst. Evtl. passt da beim Import einfach nicht in welchem Zertifikatsspeicher es landet?

Ansonsten ist Fiddler zwar eher ein Entwicklertool, statt ein Tool für die Analyse fremder Software aber trotzdem recht praktisch weil es halt quasi alle Infos zu HTTP-Verbindungen recht schön darstellt. Ich mag das Tool jedenfalls sehr.

Ja, Du hast es richtig verstanden .

Beide Zertifikate sind aber im selben Ordner "Trusted Root Certification Authorities" Daran liegt es also nicht.

Der Unterschied ist, dass das Fiddler-Zertifikat "hochoffiziell" von Comodo ausgestellt ist. Das meines Exchange von meiner Domain-CA, welche nicht durch einen weitern offiziellen Anbieter abgedeckt wird.

Ich habe aber sowohl das Root-Zertifikat meiner CA als auch das meines Exchange installiert. Einen Unterbruch im Zertifikatspfad gibt es also auch nicht. Wie erwähnt funktioniert es auch problemlos im IE (sowohl Metro als auch Desktop). Die MailApp geht also einen anderen Weg.

Im Augenblick heisst es wohl wirklich warten, was Microsoft in der finalen Version bringt.
Falls es aber ohne Fiddler nicht klappt ist Windows8 ganz klar ein NoGo für mich.

Ja, für mich klingt das momentan tendenziell noch nach Bug aber immerhin wissen wir damit jetzt ziemlich genau wo das Problem liegt.

Insofern mal ein Danke für deine detektivische Arbeit in der Hinsicht.

Hey,
Ich kann euch noch genauer sagen, wo das Problem liegt:
Und zwar beim CRL von selbstsignierten Zertifikaten. Wenn man beim IE10 unter Einstellungen das überprüfen der Zertifikate deaktiviert (ersten Zwei Punkte bei Extras->Sicherheit), dann funktionierts.

Siehe auch http://answers.microsoft.com/en-us/w...7-9b464044251e

Zitat von Probot

Hey,
Ich kann euch noch genauer sagen, wo das Problem liegt:
Und zwar beim CRL von selbstsignierten Zertifikaten. Wenn man beim IE10 unter Einstellungen das überprüfen der Zertifikate deaktiviert (ersten Zwei Punkte bei Extras->Sicherheit), dann funktionierts.

Siehe auch http://answers.microsoft.com/en-us/w...7-9b464044251e

Funktioniert tatsächlich.
Mir graut aber, wenn ich versuche die Zusammenhänge zwischen Desktop- und Metro-Einstellungen zu verstehen. Ich hoffe, dass wird mit der RTM Version dann doch noch etwas durchsichtiger.

Trotzdem Danke für den Hinweis.

Na ja, das war ja bisher auch schon so, dass das Zonenmodell z.B. fast nur via IE konfigurierbar war (ohne XML Files zu schnitzen) und das wurde dann aber auch für die Code-Sicherheit von .Net genutzt. War auch immer ne spannende Sache wie das im Hintergrund alles zusammenhängt. Das ist jetzt also nicht unbedingt eine Neuerung die man mit der Metro-Welt eingeschleppt hätte.