Bei der Migration zu Exchange 2016 könnte man unter Umständen über das folgende Problem stolpern:
Bei Smartphones oder anderen ActiveSync Geräten war bisher die Angabe der Domain optional und wurde leer gelassen, so wie in dem folgenden Screenshot eines iPhones zu erkennen:
Wird jetzt nun die CAS-Proxy Funktion bei der Koexistenz zwischen Exchange 2010/2013 und Exchange 2016 genutzt, kann es vorkommen das die ActiveSync Geräte nicht mehr funktionieren. Sobald die ActiveSync Verbindung über den Exchange 2016 Server läuft, ist die Angabe der Domain erforderlich:
Augenscheinlich sind die Authentifizierungsmethoden auf den Exchange 2010/2013 Servern identisch mit denen von Exchange 2016 Servern. Trotzdem funktionieren die ActiveSync Geräte erst nachdem die Domain im Profil hinterlegt wurde.
Damit die ActiveSync Geräte auch während der Koexistenz der Exchange Server, bzw. nach der Migration noch funktionieren, kann die Exchange 2016 Konfiguration angepasst werden.
Dazu wird im IIS Manager auf den Exchange 2016 Servern das virtuelle Verzeichnis “Microsoft-Server-ActiveSync” der “Default Website” ausgewählt und die Authentifizierungseinstellungen geöffnet:
In den Authentifizierungseinstellungen sollte nur die “Standardauthentifizierung” aktiviert sein. Die Standardauthentifizierung kann nun bearbeitet werden:
Im sich öffnenden Dialog kann nun Bereich kann nun die Standarddomäne und der Bereich angegeben werden. Hier ist allerdings etwas Vorsicht geboten. Als Standarddomäne wird ein “Backshlash (\) eingetragen und als Bereich der interne Domain Name:
In diesem Beispiel heißt das Active Directory “frankysweb.local”, daher wird als Bereich “frankysweb.local” angegeben. Die Standarddomäne ist der Backshlash.
Zum Schluss sollte noch der IIS neu gestartet werden:
iisreset
ActiveSync Geräte können sich nun auch ohne Angabe der Domain mit Exchange 2016 verbinden. Das ist ziemlich hilfreich wenn man nicht alle Smartphones umkonfigurieren möchte. Diese Einstellung sollte entsprechend kontrolliert werden, bevor die CAS-Proxy Funktion bei der Migration aktiviert wird.
Hallo Frank,
ich habe eine Migration von Exchange 2010 auf 2016 vorgenommen, die Migration verlief problemlos.
Ich kann mich von Extern problemlos am OWA Anmelden.
Jedoch schaffe ich es nicht auf einem iOS oder Android Gerät das Exchange Konto einzurichten.
Die Urls für die Virtuellen Verzeichnisse sind alle korrekt! Das Exchange Konto einrichten hat auch unter Exchange 2010 schon nicht funktioniert! Es ist kein Firewall Proxy etc. dazwischen.
Haben Sie eine Idee dazu?
Freundliche Grüße
Hallo,
folgenden Eintrag finde ich in der Ereignisanzeige am Exchange:
Exchange ActiveSync doesn’t have sufficient permissions to create the „CN=Franz Huber,OU=Users,DC=S5500,DC=XXXX,DC=COM“ container under Active Directory user „Fehler bei Active Directory-Vorgang mit SRVSOPAMDC2.S5500.XXXX.COM. Bei diesem Fehler ist kein Wiederholungsversuch möglich. Zusätzliche Informationen: Zugriff verweigert.
Active Directory-Antwort: 00000005: SecErr: DSID-031528D2, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0
„.
Make sure the user has inherited permission granted to domain\Exchange Servers to allow List, Create child, Delete child of object type „msExchangeActiveSyncDevices“ and doesn’t have any deny permissions that block such operations.
Details:%3
Hat jemand eine Idee?
Vielen Dank im Voraus!
Hallo Florian,
schau mal hier:
https://www.frankysweb.de/exchange-2010-sp1-ereignis-1053-im-event-log-msexchange-activesync/
Wenn es nicht hilft, dann gerne ein Thread im Forum erstellen:
https://www.frankysweb.de/community/
Gruß,
Frank
Hallo Andreas.
Ich habe deinen Artikel aufmeksam gelesen. Sehr informativ. Was kann ich eigentlich tun, wenn der Kunde eine Sub-Domäne in seiner Enterprise Umgebung hat und der Exchange Server in der Root-Domäne steht. Was müsste ich denn in der Standardauthentifizierung eintragen?
Vielen Dank.
Hallo Frank,
ich habe einen frisch aufgesetzten Windows 2012R2 Exchange Server 2016 CU6 als VM auf einem Windows 2012 R2 Host.
Habe gestern vom alten Exchange 2 Postfächer von 2 Benutzern importiert, bei dem einen Postfach bekomme ich die Fehlermeldung:
Ereignis 9646
Mapi session /o=domain/ou=Exchange Administrative Group (FYDIBOHF23SPDLT)/cn=Recipients/cn=8c5d1dcaa782435eb35e8513a7b1b822-Benutzer Name with client type AirSync exceeded the maximum of 250 objects of type Message.
Bei den Mobilen Geräten (Samsung Galaxy und iPhone) wird der Benutzer bei allen E-Mails wie folgt angezeigt.
In der Outlook 2016 App „Vorname Nachname“[EX:/0=FIRST ORGANIZATION/OU=EXCHANGE..
Und bei dem Standard Mail Programm erscheint nicht der Name des Benutzers sondern FYDIBOHF23SPDLT.
Outlook 2010 und OWA zeigen alles korrekt an.
Hast Du eine Idee?
Danke und Gruß
Manuel
Ist das Geräteabhängig. Wir haben ein Samsung A5 2016 welches ich nicht über die Blackberry Enterprise 12.6 Plattform am Exchange anmelden kann. das Gerät wurde mit Samsung Knox aktiviert.
Alle anderen Geräte funktionieren ohne probleme.
Vielen Dank, hat funktioniert, iisreset war nicht mal nötig!
Interessanter Ansatz, worüber man auch immer wieder stolpern kann….
Kann es momentan nicht testen, aber bei einer UPN-Authentifizierung sollte dies irrelevant sein, oder ?
Hi Andreas,
richtig, wenn in den Smartphones der UPN eingetragen ist, spielt es keine Rolle.
Gruß, Frank