Firmen welche einen ADFS-Server einsetzen und die App „Office Mobile für Office 365“ nutzen, können je nach Gerät folgende Fehlermeldung beim Verbinden Ihres Office 365-Kontos erhalten:
Verbindung zum Server nicht möglich
Überprüfen Sie die Netzwerkverbindung oder Proxy in
den Einstellungen Ihres Smartphones, und versuchen Sie
dann erneut, sich anzumelden.Ursache für dieses Problem, kann die ungenügende Implementierung von Server Name Indication (SNI) im Client sein. Eine Analyse mit dem Microsoft Network Monitor liefert die entsprechende Hinweise dazu:
Der ADFS-Server bricht nach dem Client Hello die SSL-Verbindung mit einem Ack Reset ab.
SNI dient dazu, damit auf einer einzigen IP-Adresse mehrere SSL-Zertifikate nutzbar sind und somit ein Server mehrere Web-Dienste veröffentlichen kann. Bei einer fehlerhaften Implementierung im Client, weiss der Webserver nicht mit welchem Zertifikat er antworten soll. Das Verhalten tritt auch bei nur einem Zertifikat und einem veröffentlichten Dienst auf, da standardmässig kein Zertifikat benützt wird.
Um den Fehler zu beheben, brauchen wir nun dem Server nur mitzuteilen, welches Zertifikat er bei einer fehlenden SNI benutzen soll.
Dies kann ganz einfach über PowerShell gelöst werden. Als erstes sind folgende Kommandos in der PowerShell-Konsole abzusetzen:
netsh http show sslcert
Dieser Befehl führt zur folgenden Ausgabe, von welcher wir uns folgende Werte merken:
- Certificate Hash
- Application ID
Achtung: bei mehreren Zertifikaten, sind die entsprechenden Werte des gewünschten ADFS-Zertifikats zu merken.
Nun müssen wir über PowerShell diese Angaben als Default-Wert für die entsprechende IP-Adresse/Portpaarung setzen. Dies geschieht durch das Kommando:
netsh http
Add SSLCert IPPORT=IPAddress:Port certhash=certhash appid=appid
Nun braucht nur noch der ADFS-Server neugestartet zu werde, damit die Konfiguration übernommen wird.
Beitrag teilen