Exchange 2010 - Active Sync Device ohne ID

[guarana 0]

Hi zusammen,

 

wir haben ein sehr merkwürdiges Problem mit einem neuen Kollegen und Active Sync.

 

Am Server wurden dem Mitarbeiter die Berechtigungen für Active Sync erteilt und an seinem Smartphone wurde auch die entsprechende Server-Anbindung für das Active Sync eingerichtet.

 

Problem an der Einrichtung ist, dass der Mail Client (Android 5, Samsung Mail Client) zwar bis zur Zertifikatsprüfung kommt, danach gibt es allerdings kein Weiterkommen mehr.

 

Wir wissen auf Grund eines Scripts, dass für den Benutzer ein Device eingerichtet wurde, der allerdings keine ID hat. In der Übersicht scheint dieser Client auch nicht auf - wohl aber, wenn ich z.B. eine Abfrage via EMS mache, welche Devices sich länger als 30 Tage nicht mehr mit dem Server synchronisiert haben.

 

Mache ich eine Abfrage über die EMS mittels Get-ActiveSyncDevice -Mailbox "Benutzer" | Select-Object Identity, ist aber keine ID zu sehen.

 

Deaktivieren der ActiveSync-Funktion für den Benutzer hat nichts gebracht.

Habe ich irgendwie die Möglichkeit, am Exchange Server alle Devices für einen User zu löschen bzw. alle Devices zurückzusetzen?

 

Schöne Grüße

guarana

 

[Nobbyaushb 1.471]

Moin,

 

über welchen Exchange 2010 reden wir?

http://blog-schulenburg.de/index.php/kategorie-als-blog/87-exchange-build-nummern

 

Siehst du ein oder mehrere Geräte über die GUI?

 

Max sind übrigens 9...

 

;)

[guarana 0]

Mahlzeit,

 

wir reden über Exchange 2010, Standard Version 14.3 (Build 123.4).

 

Über die GUI ist nicht zu sehen. Wir sind nur drauf gekommen, weil wir jeweils zum 5. des Monats einen Report generieren lassen, der prüft welche Devices sich innerhalb der letzten 30 Tage nicht synchronisiert haben.

 

Bei einem normalen Eintrag sieht das z.B. so aus:

Device GUID c0f7e7c4-7f97-4aa9-96af-7cee076387bd 
Device ID ApplDNPH8RFRDP0N 
Device Policy Applied Default 
Device Policy Application Status AppliedInFull 
Last Policy Update Time Mittwoch, 25. April 2012 13:46:08 
Device Model iPhone 
Device Type iPhone 
Device User Agent Apple-iPhone3C1/901.405 
Device IEMI -
Device Friendly Name -
Device Operating System -
Device ActiveSync Version 14.0 
Device Operating System Language -
Device Phone Number -
Device Carrier -
Recovery Password -
First Sync Time Mittwoch, 25. April 2012 13:45:14 
Last Sync Attempt Time Mittwoch, 15. April 2015 13:45:09 
Last Successful Sync Mittwoch, 15. April 2015 13:45:09 
Number of Folders Synched 0
Sync State Update Time 0
Device Wipe Sent Time -
Device Wipe Request Time -
Device Wipe Acknowledge Time -
Last Device Wipe Requestor -
Last Ping Heartbeat 2043 Seconds
Device Status DeviceOk 
Device Status Note -

 

Bei dem Mitarbeiter, bei dem ActiveSync noch nie funktioniert hat, kriegen wir den folgenden Output:

Device GUID -
Device ID -
Device Policy Applied -
Device Policy Application Status -
Last Policy Update Time -
Device Model -
Device Type -
Device User Agent -
Device IEMI -
Device Friendly Name -
Device Operating System -
Device ActiveSync Version -
Device Operating System Language -
Device Phone Number -
Device Carrier -
Recovery Password -
First Sync Time -
Last Sync Attempt Time -
Last Successful Sync -
Number of Folders Synched 0
Sync State Update Time 0
Device Wipe Sent Time -
Device Wipe Request Time -
Device Wipe Acknowledge Time -
Last Device Wipe Requestor -
Last Ping Heartbeat -
Device Status -
Device Status Note -

 

Für mich bedeutet das, dass der Server eine versuchte Sync erkannt hat, aber den Device nicht annimmt und folglich alle anderen Devices auch geblockt werden. Denn auch, wenn wir das mit einem anderen Smartphone versuchen (z.B. mit einem Apple iPhone, diversen Samsung Android-Geräten und einem OnePlus One), wird der Sync nicht angenommen bzw. durchgeführt.
 

[Alith Anar 40]

Wenn es wirklich die Version 123.4 ist, würde ich mal die RUs nachziehen (denn das ist SP3 ohne die folgenden Updates - Aktuell ist RU 9)

Schaue dir aber noch einmal die Dateiversion der Store.exe an.

 

Generell löschen, oder zurücksetzen kannst du es entweder über die GUI:

Mailbox auswählen Rechtsklick und dann gibt es da einen Eintrag: "Mobiltelefon verwalten" - Wenn keine Mobiltelefon vorhanden ist gibt es den eintrag nicht.

Alternativ kann es der Benutzer auch selbst über OWA: Einloggen -> Optionen -> Alle Optionen anzeigen -> Telefon

Powershell: Remove-ActiveSyncDevice (zum trennen) oderr Clear-ActiveSyncDevice (für den Wipe) - du musst da aber den Namen für angeben, die Anmeldung müsste also schon mal erfolgt sein ....

 

Habt Ihr evtl irgendwelche Regeln definiert die nur bestimmte Geräte zulassen?

Oder steht was im IIS log? Über den läuft ja Actice Sync.

bearbeitet 10. Juni 2015 von Alith Anar

[guarana 0]

Ich teste das die kommenden Tage einmal mit dem RU 9, muss dafür allerdings ein entsprechendes Wartungsfenster finden.

 

Über die GUI sehe ich das nicht, dass ist das Problem.

Danke einstweilen einmal für die Infos, ich gebe Rückmeldung!
 

[Nobbyaushb 1.471]

Moin,

 

zusätzlich noch - habt ihr das so eingestellt, das neue Geräte automatisch zugelassen sind, oder erst einmal in die Quarantäne gehen und zugelassen werden müssen?

 

http://www.msxfaq.de/mobil/easquarantine.htm

 

;)

[guarana 0]

Moin Moin!

Also gestern Abend noch alle Updates eingespielt - keine Probleme soweit. Allerdings ist das grundsätzliche Problem immer noch vorhanden - der User kann sich nicht per ActiveSync mit unserem Server verbinden (Und zwar der User, ganz egal auf welchem Endgerät).

 

@Nobby:

Wir lassen jedes Gerät ohne Quarantäne zu (da wir die Geräte einrichten und ausgeben).

 

Schönen Dienstag!

OK, Problem gelöst. Dreckig gelöst, aber gelöst.

In der erweiterten AD User Übersicht gibt es ja für jeden User einen Ordner "ExchangeActiveSyncDevices". Dieser wurde bei einem Mitarbeiter nicht angelegt, warum auch immer.

Wir haben jetzt für einen anderen User die ActiveSync Einrichtung vorgenommen (was problemlos funktioniert hat) und anschließend diesen Ordner samt Device Information auf den problematischen User verschoben.

"Works like a charm" ....

bearbeitet 16. Juni 2015 von guarana