Kennwortänderung, iPhone bemerkt nichts (W2K12R2, EX2013)

[besvr17 0]

Hallo zusammen,

 

Wir haben ein Problem festgestellt.

Wenn ein User bei seinem AD-Account das Kennwort ändert, wird diese Änderung nicht vom iPhone (iOS 8) erkannt.

Das heisst, die User empfangen Mails und können weiterhin Mails versenden, ohne dass das aktuelle Passwort eingegeben wird.

 

Da ich langsam aber sicher verzweiflet nach einer Lösung gesucht habe und nichts finde, wende ich mich an euch.

 

Könnt Ihr mir in diesem Fall weiter helfen?

 

Danke euch bereits im Voraus.

 

[RobertWi 81]

Moin,

 

schaust Du hier:

http://support.microsoft.com/kb/2612821

 

Kurzgesagt: Im IIS wird das alte Kennwort noch gecacht.

bearbeitet 12. Januar 2015 von RobertWi

[besvr17 0]

Moin,

 

schaust Du hier:

http://support.microsoft.com/kb/2612821

 

Kurzgesagt: Im IIS wird das alte Kennwort noch gecacht.

 

Wooow, besten Dank!

Hat auf einen Schlag das Problem gelöst :D

 

Wie kann ich vorgehen, damit das Problem auch zukünftig behoben wird?

Kann ich eine Einstellung unter "Advanced Settings" vornehmen, oder etwas focieren, damit der Cache "erneuert" wird?

[NorbertFe 2.041]

Wo genau gibt's denn ein Problem? Dann gibt man sein Kennwort eben etwas später ein. Das IPhone fordert den Nutzer dazu dann doch auf.

[besvr17 0]

Hallo NorbertFe,

 

Nein leider nicht, das iPhone fordert eben nicht dazu auf.

Da bestand eben das Problem.

 

Gruss

[RobertWi 81]

Moin,

 

wie es forciert wird, steht ja im KB-Artikel. Mehr gibt es da nicht, außer eventuell die Cache-Zeit runterschrauben, habe ich aber noch nie gemacht.

 

Wir haben hier mehrere 100 iPhones und nicht wirklich ein Problem damit. Irgendwann meldet sich iOS und erfragt das neue Kennwort. Nur sehr selten können wir eine Kontosperrung darauf zu rückführen.

 

Will man das Thema komplett umgehen, braucht es die Umstellung auf Client-Zertifikate. Das ist aber relativ aufwendig.

[NorbertFe 2.041]

Also meins tut das. Was passierte denn bei dir?

[besvr17 0]

@RobertWi

 

Bis zu einer Kontosperrung hat es bis jetzt nicht gerreicht. Evtl. sind die Policies nicht "streng" gehalten.

Das irgendwann, gab es leider bei uns nicht.

 

@NorbertFe

Es passiert eben nichts. Das Mail lief auf dem iPhone ganz gewöhnlich weiter.

bearbeitet 12. Januar 2015 von besvr17

[Daniel -MSFT- 129]

Wie lange hast Du denn gewartet ab der Kennwortänderung, so dass ihr zu der Ansicht gekommen seid, dass das nicht funktioniert? Outlook- und MAPI-Clients können bis zu 2h, mobile Clients mit Active Sync bis zu 24h nach Kennwortänderung noch das alte Kennwort nutzen. Je nach Cache-Einstellung und Heartbeat-Intervall: http://social.technet.microsoft.com/wiki/contents/articles/3406.exchange-best-practices-for-untrusted-mailbox-users.aspx

[NorbertFe 2.041]

Eben, Geduld ist eine Tugend.

[besvr17 0]

Diesen Artiek habe ich auch gelesen...führte nicht zur Lösung.

Ich habe einige Tage gewartet...darum musste etwas passieren.

 

Habe nun die "MSExchangeSyncAppPool" im IIS den Recycling Intervall auf 15 min eingestellt, scheint zu funktionieren.

Werde es die nächsten Tage beobachten...

[NorbertFe 2.041]

Über welche exchange Version und patchstand reden wir eigentlich?

[Marcin_K 1]

Hallo alle

 

Ein wirkliches Problem ist, wenn man ein Mailzugang schnell sperren muss und es sich herausstellt, dass ein User, nach dem Deaktivieren des Kontos, standing der Zugang zum Postfach hat. Wir hatten dieses Problem gerade mit einem Benutzer von IPhone. Es sieht so aus, dass der Neustart von IIS in dieser Situation die sicherste Lösung ist.

 

Grüße
Marcin

 

(Entschuldigung, wenn mein Deutsch nicht Perfekt ist, aber ich ständig lerne).

[Daniel -MSFT- 129]

Deswegen verlinkte ich oben auch auf Exchange Best Practices for Untrusted Mailbox Users...