Gestern erhielt ich eine neue Challenge:
Ein IPad via VPN in unsere Firma einbinden und mit unserem Exchange 2010 kommunizieren lassen.
Der integrierte VPN-Client des IPads benötigt nicht nur IP, Nick und PW (wie AnyConnect von Cisco) sondern auch Gruppenname und Shared Secret. Dafür kann man hier direkt den Proxy hinterlegen der für die Dauer der VPN aktiviert werden soll.
Die Anbindung an den Exchange 2010 Server war da eher gehobenes Level.
Zunächst habe ich es mit meinen Daten versucht, aber immer ohne Erfolg. OWA funktionierte aber ohne Probleme.
Zu beachten ist hierbei, das wegen fehlenden DNS-Einstellungen der Mail-Server per IP angesprochen werden sollte.
Heute ging's dann weiter. Habe einen Testuser im AD angelegt incl. Postfach auf dem Exchange und hier funktioniert alles einwandfrei!
Aber das lasse ich nicht so auf mir sitzen!
Wenn schon Lösung dann will ich auch wissen warum es mit meinen Daten nicht funktioniert.
Das Problem ist: Ich bin Domänenadmin.
Genauer: Wenn jemand im AD zum Domänenadmin wird fliegt ein Haken bei "Vererbbare Berechtigungen des übergeordneten Objektes einschließen" raus.
Lösung: Im AD beim betroffenen Benutzer (Domänenadmins und evtl. migrierte Benutzer bei einer Server-Umstellung) unter dem Reiter "Sicherheit" (Ansicht "Erweiterte Features") auf Erweitert klicken und hier auf folgendes achten:
- - Haken bei "Vererbbare Berechtigungen des übergeordneten Objektes einschließen" muss gesetzt sein.
- - "Exchange Trusted Subsystem" braucht Leserechte.
- - "Exchange Servers" benötigt bei allen "msExchActiveSyncDevices" ein Zulassen.
Sobald die User nun die VPN aufgebaut haben, besteht zugriff auf ihre E-Mails.