none
Exchange 2010 blockiert IPhone nach Update auf IOS 12.1 und 12.2 RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    die mobilen Geräte werden in unserer Firma mit Sophos Mobile Control verwaltet. Die E-Mails,Kontakte und Kalender werden über den internen Sophos EAS-Proxy vom Exchange Server (2010) synchronisiert
    Das funktinionert eigentlich für alle Geräte.

    Nur ein Mitarbeiter - der ein IPhone 9 besitzt - hat letzte Woche das IOS Update 12.1 und dann 12.2 eingespielt.

    Danach konnte er sich nicht mehr mit den Exchange synchoisieren.

    In den Logfiles des EAS-Proxy des MDM kann man sehen, dass die Anfragen vom Gerät ganz nomal an den Exchange Server weitergeleitet werden.

    Aber im Exchange selber, stellt sich der Status des Gerätes folgendermaßen da:


    [PS] C:\Windows\system32>Get-ActivesyncDeviceStatistics -Mailbox ****** |FL


    RunspaceId                    : d718dac1-d19f-42e5-ad28-2a300cd64ca7
    FirstSyncTime                 : 29.03.2019 10:38:40
    LastPolicyUpdateTime          :
    LastSyncAttemptTime           :
    LastSuccessSync               :
    DeviceType                    : iPhone
    DeviceID                      : 0FK8ERN6B5467DHAI9R04FDVR0
    DeviceUserAgent               : Apple-iPhone9C3/1605.227
    DeviceWipeSentTime            :
    DeviceWipeRequestTime         :
    DeviceWipeAckTime             :
    LastPingHeartbeat             :
    RecoveryPassword              : ********
    DeviceModel                   : iPhone
    DeviceImei                    :
    DeviceFriendlyName            :
    DeviceOS                      :
    DeviceOSLanguage              :
    DevicePhoneNumber             :
    MailboxLogReport              :
    DeviceEnableOutboundSMS       : False
    DeviceMobileOperator          :
    Identity                      : wvs.intern/WVS/Benutzer/*********/ExchangeActiveSyncDevices/iPhone§0FK8ERN6B5467DHAI9R04FDVR0
    Guid                          : 7***********************
    IsRemoteWipeSupported         : True
    Status                        : DeviceOk
    StatusNote                    :
    DeviceAccessState             : Blocked
    DeviceAccessStateReason       : Policy
    DeviceAccessControlRule       :
    DevicePolicyApplied           : Default
    DevicePolicyApplicationStatus : NotApplied
    LastDeviceWipeRequestor       :
    DeviceActiveSyncVersion       : 14.1
    NumberOfFoldersSynced         : 0
    SyncStateUpgradeTime          :

    Ich weiß leider nicht, wie das Gerät aktivieren kann. Es befindet sich komischer Weise auch nicht in der Quarantäne.

    Bei Apple und Sophos habe ich schon angefragt. Die haben mich aber beide auf den Exchange Server verwiesen.

    Kann mir jemand helfen.



    • Bearbeitet Bl0ckS1z3 Montag, 1. April 2019 09:36
    Montag, 1. April 2019 05:19
    |

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden

    Moin,

    fangen wir erst mal mit der genauen Exchange-Version an:
    http://blog-schulenburg.de/index.php/kategorie-als-blog/87-exchange-build-nummern

    ;)

    Gruß Norbert

    Montag, 1. April 2019 05:57
    |
    Moderator
  • Question
    Anmelden
    0
    Anmelden

    Moin,

    neben der Exchange Version:

    Wie viele mobile Gerätepartnerschaften hat der betroffene Nutzer? Ist hier das Limit erreicht?

    get-casmailbox ALIAS | fl Alias,ActiveSyncAllowedDeviceIDs,ActiveSyncBlockedDeviceIDs

    War oder ist das Konto in einer höher privilegierten Gruppe (Domain Admin, Print Operator)? Sie Dir mal das Attribut AdminCount und die Berechtigungsvererbung am Konto an.

    Als letzten Schritt kann man auch gezieht Geräte erlauben: 

    set-casmailbox ALIAS --ActiveSyncAllowedDeviceIDs (Liste aller zulässigen DEVICEIDs_des_Nutzers)

    Das wäre aber nur eine Umgehung des Problems.

    Gruß Malte


    Montag, 1. April 2019 06:12
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo Malte,

    vielen Dank für Deine Unterstützung.

    [PS] C:\Windows\system32>get-casmailbox **** | fl Alias,ActiveSyncAllowedDeviceIDs,ActiveSyncBlockedDeviceIDs


ActiveSyncAllowedDeviceIDs : {0FK8ERN6B5467DHAI9R04FDVR0}
ActiveSyncBlockedDeviceIDs : {}

    >War oder ist das Konto in einer höher privilegierten Gruppe (Domain Admin, Print Operator)? Sie Dir mal >das Attribut AdminCount und die Berechtigungsvererbung am Konto an.

    Nein, im Moment jedenfalls nicht. Ich habe allerdings das AD nicht selbst eingerichtet.

    Das Attribut "adminCount" steht auf "nicht festgelegt"

    Ich habe den Status jetzt auf "Allowed" gesetzt.

    set-casmailbox **** -ActiveSyncAllowedDeviceIDs *******
    [PS] C:\Windows\system32>Get-ActivesyncDeviceStatistics -Mailbox **** |FL 
    
RunspaceId                    : d718dac1-d19f-42e5-ad28-2a300cd64ca7
FirstSyncTime                 : 01.04.2019 05:28:56
LastPolicyUpdateTime          :
LastSyncAttemptTime           :
LastSuccessSync               :
DeviceType                    : iPhone
DeviceID                      : ******
DeviceUserAgent               : Apple-iPhone9C3/1605.227
DeviceWipeSentTime            :
DeviceWipeRequestTime         :
DeviceWipeAckTime             :
LastPingHeartbeat             :
RecoveryPassword              : ********
DeviceModel                   : iPhone
DeviceImei                    :
DeviceFriendlyName            :
DeviceOS                      :
DeviceOSLanguage              :
DevicePhoneNumber             :
MailboxLogReport              :
DeviceEnableOutboundSMS       : False
DeviceMobileOperator          :
Identity                      : wvs.intern/WVS/Benutzer/********, Lars/ExchangeActiveSyncDevices/iPhone§0FK8ERN6B5467DHAI9R04FDVR0
Guid                          : 0d9e10d3-d68f-487c-b46d-cd205c99cdfe
IsRemoteWipeSupported         : True
Status                        : DeviceOk
StatusNote                    :
DeviceAccessState             : Allowed
DeviceAccessStateReason       : Individual
DeviceAccessControlRule       :
DevicePolicyApplied           : Default
DevicePolicyApplicationStatus : NotApplied
LastDeviceWipeRequestor       :
DeviceActiveSyncVersion       : 14.1
NumberOfFoldersSynced         : 0
SyncStateUpgradeTime          :

    Leider kann sich das Gerät immer noch nicht verbinden.

    Was kann den nun noch die Ursache sein?

    Montag, 1. April 2019 06:34
    |
  • Question
    Anmelden
    0
    Anmelden

    Ich glaube die Ursache für das Problem ist unser selbsterstelltes Exchange Server Zertifikat.

    Das wird vom IPhone nicht mehr akzeptiert.

    "Serveridentität kann nicht überprüft werden" wird mir beim Einrichten des Kontos auf dem IPhone gemeldet.

    Ich weiß leider nicht, wie das IPhone überreden kann dem Zertifikat zu vertrauen.

    Montag, 1. April 2019 07:07
    |
  • Question
    Anmelden
    0
    Anmelden

    Moin,

    ??.

    Was mir noch einfällt: Wenn Du im SnapIn User-Computer die Container Ansicht aktivierst, dann sieht man unterhalb der Benutzerkonten die Active Sync Device Konten.

    Ist hier das betroffene Gerät aufgeführt?

    Du kannst es ja nochmal entfernen aus dem AD/Exchange und das Konto vom iOS entfernen. Anschließend die Partnerschaft neu aufbauen lassen.

    Gruß Malte

    Montag, 1. April 2019 07:11
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo Norbert,

    sollte auf dem aktuellen Stand sein.

    ProductVersion   FileVersion      FileName
    --------------   -----------      --------
    14.03.0442.000   14.03.0442.000   C:\Program Files\Microsoft\Exchange Server\V14\bin\ExSetup.exe

    Montag, 1. April 2019 09:28
    |
  • Question
    Anmelden
    0
    Anmelden

    Jetzt habe ich zum Test das Nat zum direkten Zugriff auf den Exchange Server in der Firewall geöffnet, um etwaige Probleme mit dem MDM auszuschließen.

    Ein anderer Kollege, der auch ein IPhone hat (aber 10), hatte noch den Exchange Account konfiguriert.
    Jetzt wird es gruselig, er hat auch das Update auf 12.2 gemacht und kann sich synchronisieren.

    [PS] C:\Windows\system32>Get-ActivesyncDeviceStatistics -Mailbox **** |FL


RunspaceId                    : d718dac1-d19f-42e5-ad28-2a300cd64ca7
FirstSyncTime                 : 29.03.2019 20:38:55
LastPolicyUpdateTime          : 01.04.2019 08:54:04
LastSyncAttemptTime           : 01.04.2019 09:27:13
LastSuccessSync               : 01.04.2019 09:27:13
DeviceType                    : iPhone
DeviceID                      : 6B151V52410UL8PBIVOKMVNK60
DeviceUserAgent               : Apple-iPhone10C6/1605.227
DeviceWipeSentTime            :
DeviceWipeRequestTime         :
DeviceWipeAckTime             :
LastPingHeartbeat             : 600
RecoveryPassword              : ********
DeviceModel                   : iPhone10C6
DeviceImei                    :
DeviceFriendlyName            : iPhone X
DeviceOS                      : iOS 12.2 16E227
DeviceOSLanguage              : de-DE
DevicePhoneNumber             :
MailboxLogReport              :
DeviceEnableOutboundSMS       : False
DeviceMobileOperator          :
Identity                      : wvs.intern/WVS/Benutzer/*****/ExchangeActiveSyncDevices/iPhone§6B151V52410UL8PBIVOKMVNK60
Guid                          : c11a8771-a964-4f6f-936c-3768958894ca
IsRemoteWipeSupported         : True
Status                        : DeviceOk
StatusNote                    :
DeviceAccessState             : Allowed
DeviceAccessStateReason       : Global
DeviceAccessControlRule       :
DevicePolicyApplied           : Default
DevicePolicyApplicationStatus : AppliedInFull
LastDeviceWipeRequestor       :
DeviceActiveSyncVersion       : 14.1
NumberOfFoldersSynced         : 41
SyncStateUpgradeTime          :

    Merkwürdig ist, dass DeviceAccessStateReason = Global und DevicePolicyApplicationStatus=AppliedInFull

    Beim Kollegen wo der Sync nicht läuft, ist

    DeviceAccessState= Blocked
    DeviceAccessStateReason=Policy
    DevicePolicyApplicationStatus = NotApplied

    [PS] C:\Windows\system32>Get-ActivesyncDeviceStatistics -Mailbox ******* |FL


RunspaceId                    : d718dac1-d19f-42e5-ad28-2a300cd64ca7
FirstSyncTime                 : 01.04.2019 08:53:41
LastPolicyUpdateTime          :
LastSyncAttemptTime           :
LastSuccessSync               :
DeviceType                    : iPhone
DeviceID                      : 0FK8ERN6B5467DHAI9R04FDVR0
DeviceUserAgent               : Apple-iPhone9C3/1605.227
DeviceWipeSentTime            :
DeviceWipeRequestTime         :
DeviceWipeAckTime             :
LastPingHeartbeat             :
RecoveryPassword              : ********
DeviceModel                   : iPhone
DeviceImei                    :
DeviceFriendlyName            :
DeviceOS                      :
DeviceOSLanguage              :
DevicePhoneNumber             :
MailboxLogReport              :
DeviceEnableOutboundSMS       : False
DeviceMobileOperator          :
Identity                      : wvs.intern/WVS/Benutzer/*********/ExchangeActiveSyncDevices/iPhone§0FK8ERN6B5467DHAI9R04FDVR0
Guid                          : 5de0546d-9a93-469a-abbd-da15547c0841
IsRemoteWipeSupported         : True
Status                        : DeviceOk
StatusNote                    :
DeviceAccessState             : Blocked
DeviceAccessStateReason       : Policy
DeviceAccessControlRule       :
DevicePolicyApplied           : Default
DevicePolicyApplicationStatus : NotApplied
LastDeviceWipeRequestor       :
DeviceActiveSyncVersion       : 14.1
NumberOfFoldersSynced         : 0
SyncStateUpgradeTime          :

    Also liegt es garnicht an der IOS-Version . Es muss beim Update was mit dem Gerät ode dem Benutzer passiert sein.




    • Bearbeitet Bl0ckS1z3 Montag, 1. April 2019 09:40
    Montag, 1. April 2019 09:36
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    ich habe herausgefunden, dass das "problematische" Gerät unsere ActiveSync Richtlinie nicht angewendet wird.

    Erste Synchronisierung:  
02.04.2019 09:50 
Letzte erfolgreiche Synchronisierung:  Nicht verfügbar 
Synchronisierte Ordner:  0 

Gerätename:  
Nicht verfügbar 
Gerätemodell:  iPhone 
Telefonnummer:  Nicht verfügbar 
Mobiles Netzwerk:  Nicht verfügbar 
Gerätetyp:  iPhone 
Geräte-ID:  0FK8ERN6B5467DHAI9R04FDVR0 
Geräte-IMEI:  Nicht verfügbar 

Gerätebetriebssystem:  
Nicht verfügbar 
Gerätesprache:  Nicht verfügbar 
Benutzer-Agent:  Apple-iPhone9C3/1605.227 

Zugriffsstatus:  
Zugriff gewährt 
Zugriff festgelegt durch:  Einzelne Zuordnung 

Angewendete Richtlinie:  
Default - Nicht angewendet 
Aktualisierte Richtlinie:  Nicht verfügbar 
ActiveSync-Version:  14.1

    Leider weiß ich nicht, warum Exchange meint, dass das Gerät nicht Richtliniekonform ist.
    Ich habe das Gerät manuell auf "zugelassen" gesetzt, es werden aber trotzdem keine Daten vom Exchange an das Gerät zurückgesendet.

    Ich hoffe es kann mir jemand helfen, herauszufinden warum das Gerät nicht synchronisiert wird.

    Vielen Dank!

    Dienstag, 2. April 2019 08:25
    |