Exchnage 2010 Activesync mit TMG - Password refresh

[Maraun 12]

Hallo zusammen,

 

wir nutzen eine Exchange 2010 DAG mit einem TMG für Activesync und IPhones.

Jetzt wird mir immer wieder berichtet, dass eine Kennwortänderung im AD des Users sehr lange braucht,

bis das IPhone sich das in seine Kontoeinstellungen für die Anmeldung synchronisiert.

Das heißt, der User scheitert circa 3-4 Stunden nach der Kennwortänderung immer noch mit dem neuen Kennwort.

 

Kann ich den Refresh Intervall irgendwie beschleunigen?

Ich hab bisher nur den Refresh Interval der ganzen Policy in der EMC gefunden.

 

Danke für alle Antworten.

Gruß

Alex

[NorbertFe 2.168]

Das hat nix mit der Policy zu tun, sondern damit, dass der Exchange eben noch die alte Anmeldung zwischenspeichert. Im Normalfall so ca. 2h. Danach sollte das IPhone automatisch aufpoppen und nach den neuen Anmeldedaten fragen. Also eigentlich kein Grund zur Beunruhigung. ;)

[Maraun 12]

Danke für die Antwort Norbert.

Das habe ich jetzt soweit auch gefunden.

Wie erwähnt dauert es bei uns etwas länger. Circa 3 - 4 Stunden.
Da sind also keine Änderung der Zwischenspeicherung (UserTokenTTL in der Registry) zu empfehlen?

[NorbertFe 2.168]

Änderungen am Exchange-Standardverhalten würde ich nur empfehlen, wenn es

1. wirklich ein Problem darstellt UND

2. du genau weißt, was du tust UND

3. dich im Fehlerfall irgendwann dran erinnerst, dass du ein vom Standardverhalten abweichende Konfiguration verwendest.

 

Wenn diese Bedingungen alle erfüllt sind, kannst du sicher auch was anderes einstellen. :) Wenn nicht, dann würde ich es einfach so lassen und den Leuten erklären, sie sollen ihr Kennwort auf dem iPhone erst dann ändern, wenn das iPhone danach fragt.

 

Bye

Norbert

[Maraun 12]

Laut Support kommen hier einige Anfragen (circa 100 IPhones im Haus) pro Woche.

Ich würde gerne testen, ob ne Chacheanpassung hier was bringt.

Das heißt, ich setze in der Registry der CAS-Server folgenden Key:
 

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\InetInfo\Parameters

Add Dword parameter with the name UserTokenTTL

 

und resette den IIS, richtig?

Was für einen Wert (Dezimal?) kann ich da setzen. Den Key gibt es bei uns bisher nicht. Und wir verschlüsseln natürlich mit Basic Athentication.

Das heißt, eine Änderung kann sich durchaus auf die Performance auswirken.

 

[NorbertFe 2.168]

Ich habe meiner Antwort nichts hinzuzufügen! ;)

[MrCocktail 199]

Ich kann Norbert auch nur zustimmen, warum sollte man es ändern?

 

Das iPhone meldet sich schon, sobald es neue Kennwortdaten haben möchte.

[Doso 77]

Das kann man per Registry ändern, welche kannst du dir ergooglen. Habe das in einer Testumgebung ausprobiert, es klappt. Aber produktiv halte ich das wie Großmeister NorbertFE.

[Maraun 12]

Danke für Eure Antworten.

Zunächst meldet sich sich Windows beum Userlogon und will das Kennwort geändert haben.

Dann meldet sich das IPhone und will die Kennwortänderung.

Der Benutzer hinterlegt das neue Kennwort und das IPhone meldet, das die Kontoeinstellungen bzw. das Password falsch sind.

Und hier ist das Problem.

[NorbertFe 2.168]

Passiert hier nicht, und hier Rennen auch 80 Leute mit iPhones, android und wp8 rum.

[Doso 77]

AFAIR wird alles was mit Passwörtern zu tun hat nicht gecached sondern geht immer auf das AD.

[NorbertFe 2.168]

Da täuscht dich deine R. ;)