kriz1899 0 Geschrieben 26. Januar 2023 Melden Teilen Geschrieben 26. Januar 2023 Hallo zusammen, wir haben in unserer Organisation eine überschaubare Anzahl iOS-Geräte, die sich mittels VPN einwählen können. Auf den Geräten ist ein benutzerbezogenes Exchange-Konto eingerichtet, damit mit der Mail-App E-Mails bearbeitet werden können, Kontakte und Termine synchronisiert werden. Der Exchange ist über das Internet nicht erreichbar. Das alles klappte bis zuletzt hervorragend. Nun wollte ich ein neues iPad ausgeben, richtete das Konto unter bestehender VPN-Verbindung auf dem Gerät ein – es kam wie üblich die Abfrage, ob dem (selbst signierten) Serverzertifikat vertraut werden soll – die Kontodaten wurden mit blauen Häkchen erfolgreich geprüft und die Einstellungen gespeichert. Nur tut sich auf dem Gerät danach leider gar nichts mehr. E-Mails werden nicht geladen und auch nicht versendet („Accountfehler Exchange: Die Verbindung mit dem Server ist fehlgeschlagen“), der Kalender meldet: Aktualisieren der Kalender fehlgeschlagen. Ich habe es bereits mit mehreren (zurückgesetzten) Geräten versucht, drei verschiedene Testnutzer, ohne Erfolg. Bei den funktionierenden Nutzern kann ich im ECP unter „Telefon“ die verbundenen Geräte mit Status „OK“ sehen. Bei den (neuen) Testnutzern gibt es keinen Eintrag. OWA kann ich auf den neuen Geräten ohne Zertifikatsfehler problemlos starten, aber das ist allenfalls eine Übergangslösung. Unser Exchange hat das letzte CU und alle nachfolgenden Updates, die neuen Geräte funktionierten weder mit iOS 16.2, noch jetzt mit 16.3. Ich bin gerade etwas ratlos. Gibt es ActiveSync-Logs die mir eventuell weiterhelfen oder einen anderen Ansatz? Glücklicherweise können die bestehenden Nutzer ihr Postfach weiterhin nutzen, aber mir läuft für die neuen Nutzer langsam die Zeit weg. Hier noch der Vollständigkeit halber die Einstellungen aus dem EAC -> Mobil: Zugriff auf mobile Geräte … keine relevanten Einstellungen Postfachrichtlinien für mobile Geräte Default (Standard) …zuletzt vor 5 Jahren geändert Besten Dank im Voraus für Idee aller Art! Zitieren Link zu diesem Kommentar
Nobbyaushb 1.479 Geschrieben 26. Januar 2023 Melden Teilen Geschrieben 26. Januar 2023 Ist denn das selbstsignierte Zertifikat auch auf dem iPad installiert? Zitieren Link zu diesem Kommentar
kriz1899 0 Geschrieben 27. Januar 2023 Autor Melden Teilen Geschrieben 27. Januar 2023 Moin Nobby, danke für den Hinweis. Ich habe mal Root- und Serverzertifikat auf das Gerät gebracht und "erstaunlicherweise" unterbleibt jetzt bei der Kontoeinrichtung auch die Zertifikatswarnung - da hätte ich durchaus auch mal früher drauf kommen können! Nur hat sich am Rest leider nicht viel geändert: "Aktualisieren fehlgeschlagen" meldet der Exchange-Kalender weiterhin. Grün-weiße Grüße in die schöne Hansestadt! Zitieren Link zu diesem Kommentar
Beste Lösung kriz1899 0 Geschrieben 30. Januar 2023 Autor Beste Lösung Melden Teilen Geschrieben 30. Januar 2023 Hatte noch einiges probiert: Es spielte auch keine Rolle, ob man von außen via VPN auf den Exchange zugreift - oder mittels Netzwerkkarte direkt im LAN. Jetzt habe ich in der Ereignisanzeige des Exchange tatsächlich Fehler gefunden: Zitat Ereignis-ID: 1053 Aufgabenkategorie:Configuration Ebene: Fehler Schlüsselwörter:Klassisch Benutzer: Nicht zutreffend Computer: *SERVERNAME* Beschreibung: Exchange ActiveSync doesn't have sufficient permissions to create the "CN=***\, ***,OU=Users,OU=***,DC=***,DC=***,DC=**" container under Active Directory user "Fehler bei Active Directory-Vorgang mit *SERVERNAME*. Bei diesem Fehler ist kein Wiederholungsversuch möglich. Zusätzliche Informationen: Zugriff verweigert. Active Directory-Antwort: 00000005: SecErr: DSID-03152E13, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0 ". Make sure the user has inherited permission granted to domain\Exchange Servers to allow List, Create child, Delete child of object type "msExchangeActiveSyncDevices" and doesn't have any deny permissions that block such operations. Ich habe im AD die Berechtigungen für die jeweiligen Nutzer nach Anleitung im Netz angepasst- und es synchronisiert wieder! Wieso die historischen Nutzer ActiveSync schon immer und auch weiterhin nutzen können - und meine Testnutzer nicht, bleibt mir allerdings weiter unklar. Zumindest weiß ich nun, wo ich künftig ansetzen muss. Grüße und ein entspannte Woche! Zitieren Link zu diesem Kommentar
mwiederkehr 382 Geschrieben 30. Januar 2023 Melden Teilen Geschrieben 30. Januar 2023 Exchange trägt beim Einrichten von ActiveSync das Gerät im AD-Objekt des Benutzers ein. Sobald es eingetragen ist, funktioniert ActiveSync von diesem Gerät aus, ohne dass der Exchange Schreibrechte auf das AD-Objekt benötigt. 1 Zitieren Link zu diesem Kommentar
kriz1899 0 Geschrieben 30. Januar 2023 Autor Melden Teilen Geschrieben 30. Januar 2023 vor 6 Minuten schrieb mwiederkehr: Exchange trägt beim Einrichten von ActiveSync das Gerät im AD-Objekt des Benutzers ein. Sobald es eingetragen ist, funktioniert ActiveSync von diesem Gerät aus, ohne dass der Exchange Schreibrechte auf das AD-Objekt benötigt. Genau das konnte der Account "Exchange Servers" bei meinen drei Testusern aber nicht (mehr), da aus mir nicht nachvollziehbaren Gründen die Berechtigung fehlte. Ich erstelle mal einen weiteren, brandneuen User und versuche es damit. Zitieren Link zu diesem Kommentar
kriz1899 0 Geschrieben 30. Januar 2023 Autor Melden Teilen Geschrieben 30. Januar 2023 vor 2 Stunden schrieb kriz1899: Ich erstelle mal einen weiteren, brandneuen User und versuche es damit. Funktioniert auf Anhieb. Offenbar sind die Berechtigungen meiner Testuser vermurkst. Ein guter Anlass, diese mal neu zu erstellen. Zitieren Link zu diesem Kommentar
testperson 1.713 Geschrieben 30. Januar 2023 Melden Teilen Geschrieben 30. Januar 2023 Hi, prüfe aus AdminSDHolder (msxfaq.de) einmal in der PowerShell, was ([adsisearcher]"(AdminCount=1)").findall() ergibt. Gruß Jan 1 Zitieren Link zu diesem Kommentar
kriz1899 0 Geschrieben 31. Januar 2023 Autor Melden Teilen Geschrieben 31. Januar 2023 Hi Jan, danke für den Tipp. Erschreckenderweise habe ich da gut 60% meiner User in der Ausgabe. Den Artikel dazu muss ich mir wohl erst mal in Ruhe durchlesen. Irgendwelche Rechte in Bezug auf "Vererbung wiederherstellen" etc., das mache ich lieber nicht nebenbei. Grüße! Zitieren Link zu diesem Kommentar
testperson 1.713 Geschrieben 31. Januar 2023 Melden Teilen Geschrieben 31. Januar 2023 Dann sind oder waren 60 % deiner User einmal in einer entsprechenden geschützten Gruppe. Der Artikel sollte aber mit Hintergründen und Beseitigung aufklären. 1 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.