Exchange ActiveSync

Siehe auch Mobile Information Server, Outlook Webzugriff 2003, Exchange 2003 - Outlook Mobile Access, Exchange 2003 SP2 und Pushdienste, sowie ActiveSync über Server und ActiveSync über Desktop und Windows Mobile 5 und EAS Inside

Mit dem Exchange 2003 Outlook Mobile Access ist auch der Mobile Information Server integriert, welcher " mit. Über diesen Weg ist eine Replikation zwischen einem mobilen Gerät und dem Exchange Server möglich. In Verbindung mit Pocket Windows Phone Edition ist sogar eine Benachrichtigung des Clients bei neuen Nachrichten möglich. Diese Seite schaut etwas hinter die Kulissen von EAS und gibt Tipps zum Einsatz und der Pflege.

Mit Exchange 2010 SP1 hat Microsoft weiteres "Throttling" eingeführt, um Missbrauch und Überlastungen durch Clients zu verhindern. Das "betrifft" allerdings auch ActiveSync. So können per Default maximal 10 Endgeräte eine Partnerschaft mit einem Postfach eingehen. Dies können Sie aber ändern
Set-ThrottlingPolicy (http://technet.microsoft.com/en-us/library/dd298094.aspx) mit dem Parameter "EASMaxConcurrency"

Wenn ihr Postfach "voll" ist, dann kann dies auch dazu führen, dass ActiveSync nicht mehr funktioniert und Sie nicht einmal Mails löschen können.

Background Scan und Virenscanner
Wenn ActiveSync manchmal geht und manchmal nicht oder Ordner oder einzelne Mails fehlen, dann kann ihr ESE-Virenscanner dran Schuld sein. Prüfen Sie die Dokumentation und Supportseiten des Herstellers bezüglich ActiveSync und BackgroundScan.
827615 Server ActiveSync does not download all items during a synchronization session
http://msg-blog.de/2008/03/08/sporadisch-keine-neuen-elemente-auf-exchange-activesync-clients-was-der-exchange-virenscanner-damit-zu-tun-haben-kann/

Exchange ActiveSync
http://en.wikipedia.org/wiki/Exchange_ActiveSync
Enthält eine ausführliche Evolution der Active Sync Versionen und unterstützten Funktionen

So funktioniert EAS

EAS ist eine HTTP/HTTPS-basierte Kommunikation zwischen dem Client und dem Server. Damit ist klar, dass irgendwo ein IIS mit im Spiel ist und TCP/IP genutzt wird. Der Zugriff des Clients erfolgt auf das virtuelle Verzeichnis "/Microsoft-Server-ActiveSync". Damit EAS funktioniert, legt das Installationsprogramm von Exchange 2003 in der Default Webseite ein neues virtuelles Verzeichnis "Microsoft-Server-ActiveSync" an. Dies sind die Einstellungen:

Es ist gut zu sehen, dass in dem virtuellen Verzeichnis eigentlich keine Dateien zum Download drin liegen und daher die Einstellung zum tragen kommt, dass MASSYNC.DLL alle Anfragen annimmt und verarbeitet. Wenn EAS nicht funktioniert, sollten Sie diese Einstellungen prüfen.

Kontrollieren Sie auch mal die "Authentifizierung". Hier sollte NTLM oder Basic aktiv sein aber Client Zertifikate sollten "ignoriert" werden. Wenn diese "erlaubt" sind, dann gibt es Endgeräte, die nicht synchronisieren. Die Einstellung "erforderlich" ist nur in Verbindung mit Exchange ActiveSync mit Zertifikaten korrekt.

Das macht MASSYNC.DLL

Im Verzeichnis Microsoft-Server-ActiveSync sind keinerlei Dateien. Das ist auch nicht erforderlich, da die MASSYNC.DLL alle anfragen bekommt. MASSYNC seinerseits muss aber nun auf das Postfach des Anwenders zugreifen. Dazu nutzt MASSYNC einfach den Zugriff per OWA. MASSYNC nutzt also nicht MAPI, CDO oder andere versteckten Optionen, sondern bedient sich einfach des Outlook Web Access als legitimen Zugriff auf den Server.

Wenn Sie hingegen eine Frontend/Backend Konstellation nutzen, dann sieht das Bild etwas anders aus:

Der Server, auf dem "Microsoft-Server-ActiveSync" aktiv ist, greift seinerseits auf das "/exchange" des Mailboxservers zu. Damit ist natürlich auch klar, dass EAS nicht mehr funktioniert, wenn kein Postfachzugriff über "http://postfachservername/exchange" möglich ist. Und dafür gibt es gleich mehrere Stolpersteine:

Frontend/Backend
Besteht ihre Struktur hingegen aus einem Frontend Server, so müssen Sie diese Einstellung NICHT machen, da die MASYNC.DLL auf Frontend direkt auf das Verzeichnis /exchange auf dem Backendserver geht, welches keine formularbasierte Anmeldung benötigt.

MASSync ist immer Frontend !
Auch ohne die explizite Konfiguration eines Server als  "Frontend" ist die Funktion von MASSYNC.DLL immer ein Reverse Proxy. Es findet also keine "Umleitung" des PDA auf seinen Homeserver statt. Insofern können Sie jeden Exchange 2003 Server hierfür nutzen.
Weitere Details Frontend/Backend Konstellation

Wichtig in Verbindung mit SSL und Formularbasierter Authentifizierung ist auch folgender Artikel:

Dieser erklärt, wie sie MASSYNC so umkonfigurieren, dass ein anderes virtuelles Verzeichnis für den Postfachzugriff genutzt wird. Dann können Sie OWA und EAS auf dem Webserver trennen. Sie müssen dazu

  1. Das "\Exchange"- Verzeichnis einfach im IIS kopieren.
    Das funktioniert am einfachsten über deinen Export und Import als XML-Datei. Das neue Verzeichnis kann z.B. "Exchange-oma" heißen
  2. MASYNC das neue Verzeichnis mitteilen.
    Das funktioniert über eine Änderung in der Registrierung des Servers, z.B. mit folgender REG-Datei.

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MasSync\Parameters]
"ExchangeVDir"="/exchange-oma"

So kann ActiveSync dann weiter "normal" arbeiten während Sie auf dem virtuellen Verzeichnis "/Exchange" mit SSL, Formbased Authentication, RSA und anderen Dingen arbeiten können.

Achtung: Beim Small Business Server heißt dieses Verzeichnis zwingend "exchange-oma". Siehe auch KB 817379 Exchange ActiveSync and Outlook Mobile Access errors occur when SSL or forms-based authentication is required for Exchange Server 2003

Alternativ können Sie natürlich gleich einen eigenen virtuellen Webserver für EAS konfigurieren.

SSL mit Windows Mobile 2003

Natürlich will niemand seine Kennwort im Klartext über die Leitung senden. Daher sollten Sie Zugriffe per HTTP (und dazu zählt auch Server ActiveSync) per SSL verschlüsseln. Hierfür sind zwei Dinge erforderlich:

Auf den meisten mobilen Geräten sind schon einige namhafte Zertifizierungsstellen hinterlegt, aber dies hilft ihnen nur, wenn Sie von diesen Stellen ein Zertifikat erhalten haben. Wenn Sie mit eigenen Zertifikaten oder einer anderen Zertifizierungsstelle arbeiten, dann hilft dies nicht weiter. Sie müssen das Stammzertifikat auf dem PocketPC importieren. Das ist aber leider gar nicht so einfach.

HKEY_CURRENT_USER\Software\Microsoft\ActiveSync\Partners\--Partner-ID---\secure:dword = 0

ACHTUNG:
Diese Einstellung deaktiviert jegliche Zertifikatsprüfung. Zwar ist die Verbindung weiterhin per SSL verschlüsselt, aber ein Angreifer könnte als "Man in the Middle" durchaus die Daten decodieren, ja jeder ein Zertifikat mit dem Namen ausstellen kann und die Verbindung annehmen.

Überlegen Sie sich, ob wie wirklich dann auf allen Endgeräten ihr Stammzertifikat installieren wollen oder nicht einfach ein offizielles Zertifikat einfacher zu nutzen ist. So bietet z.B. GoDaddy ein Serverzertifikat für unter 20 US-$/Jahr an. https://www.godaddy.com/gdshop/ssl/ssl.asp.
Bei http://www.comodo.com können sie kostenfrei ein Zertifikat für 90 Tage erhalten

Alternativ können Sie einfach unter dem Link https://www.t-refer.com/t-refer/DENETATW-1 bei Thawte ein Zertifikat bestellen (Vermittlungsprovision kommt der MSXFAQ zugute). Natürlich beraten und unterstützen wie Sie auch bei der Beantragung und Installation.

Die Problematik mit Zertifikaten ist nicht nur für Exchange Server ActiveSync relevant, sondern betrifft auch andere zertifikatbasierte Zugriffe per WiFI oder VPN auf Services. Eine Beschreibung zur Installation von Zertifikaten auf Windows Mobile 5 und Windows Mobile 5 Smartphones finden sie auf Windows Mobile 5.

EAS und Firewalls / ISA-Server / RSA

Wie Sie mittlerweile wissen, nutzt der PocketPC oder ein anderes Endgerät mit ActiveSync Unterstützung einfach nut HTTPS und als URL etwas in der Form "http://servername/Microsoft-Server-ActiveSync/*" um mit dem Server zu kommunizieren. Sie müssen also nicht den kompletten IIS aus dem Internet erreichbar machen. Wenn ihre Firewall oder ein vor geschalteter Reverse Proxy explizit einzelne URLs bzw. Pfade einer URL veröffentlichen kann, ist das natürlich der ideale Weg, den ActiveSync Server erreichbar zu machen.

Allerdings geben einige Firewalls nicht nur URLs frei, sondern überwachen auch die damit verbundenen Befehle. Wer etwas HTTO "kennt", sollte zumindest die Befehle "GET" und "POST" kennen. Aber es gibt derer noch einige mehr, die von der Firewall auch entsprechend durchgelassen werden müssen. In Verbindung mit Active Sync ist dabei das Kommando "OPTIONS" wichtig, was aber vom vielen Proxies und Firewalls gerne blockiert wird.

RSA und Zertifikate - Hohe Sicherheitsanforderungen

Viele Firmen vertrauen nicht nur auf einen Benutzernamen und Kennwort für die Anmeldung. Diese beiden Daten sind zu leicht zu kopieren. Der Wunsch nach einer starken Authentifizierung (two factor authentication) ist der Auslöser, dass eine Firma für den Zugriff auf Ressourcen eine weiteres Kriterium erfordert. Neben dem "Wissen" um den Benutzernamen und das Kennwort kommt noch ein "Haben" dazu, d.h. ein Ding, was man nicht einfach kopieren oder erraten kann. Zwei Hilfsmittel sind hier gebräuchlich:

Damit kann zumindest kein Zugriff von anderen Geräten oder anderen Personen ohne solch ein Token erfolgen. Es kann aber dennoch sein, dass solch ein Gerät gestohlen wird. Dann muss es möglich sein, dieses sehr schnell zu löschen. ActiveSync erlaubt dazu die Funktion "Remote Wipe" und LocalWipe"

Kilobytes oder Megabytes

Wie viel Daten bei einer Replikation mit Server ActiveSync letztlich übertragen wird, ist natürlich abhängig von der Anzahl der Mail, der Größe der Mails und letztlich der Einstellungen, die Sie bei Pocket Outlook eingestellt haben. Vielleicht helfen aber folgende Werte zur besseren Einschätzung:

Ich nutze seit Dezember 2004 einen MDA3 der Telekom mit Windows 2003, welcher sich mit ActiveSync über GRPS an einem Exchange 2003 Server repliziert. Repliziert wird die komplette Mail der letzten 2 Wochen ohne Anlagen. Mit dem Programm "Spb GPRS Monitor" sind die übertragenen Daten gut zu protokollieren:

Die Bilder zeigen einmal die komplette Ansicht des Dezember und dann den 20.12 und 21.12 in der Tagesüberblick.

Und es ist gut zu erkennen, dass bei normalem Gebrauch die Datenmenge sogar überschaubar ist. Obwohl GPRS ein "permanent on" erlauben würde, ist das mit dem MDA3 so nicht möglich. Eine Lange Laufzeit ist nur möglich, wenn das System bei Nichtbenutzung sich abschalten kann. Damit geht aber auch die GPRS-Verbindung verloren, obwohl das Mobilteil selbst natürlich eingeschaltet bleibt.

Eine einmalige Replikation benötigt ca. 30-150kByte, je nach Menge. Wenn ich damit am Tag ein paar Mal repliziere, dann kommen nicht mal 1 MByte pro Tag zusammen. Mit 20 Megabyte kann man damit schon hinkommen. Wobei hier jeder natürlich seine eigenen Erfahrungen machen wird. Wenn Sie hingegen "always on" sein wollen, dann sollten Sie sich auch einen Blackberry Client anschauen.

SMS Push Notification

Beim Einsatz von Exchange ActiveSync in Verbindung mit Windows 2003 Phone Edition oder SmartPhone gibt es auch die Option, dass der Exchange Server per SMS das Endgerät über eine neue Mail informiert. Details hierzu finden Sie auf Exchange 2003 - Outlook Mobile Access.

Mit dem Exchange 2003 SP2 in Verbindung mit Windows Mobile 5 gibt es durch die Funktion Always Up-to-date eine neue Möglichkeit, Clients aktuell mit Nachrichten zu versorgen, so dass die SMS-Funktion nicht mehr genutzt werden muss.

Was EAS nicht kann und welche Alternativen es gibt

EAS hat aber auch Grenzen und Probleme. daher gibt es einen Markt für Zusatzprodukte

Weitere Links

Keywords:OMA ActiveSync PDA PocketPC PocketOutlook MASSync EAS