none
AktiveSync Anmeldeprobleme mit AD Accounts RRS feed

  • Frage

  • Hallo AD Fans,

    wir haben bei einem Kunden das Phänomen, dass die Anmeldung des ActiveSync vom Handy, mit "alten AD Profilen" nicht klappt.

    Erstellt man einen "neuen Account", mit gleichen Gruppen, funktioniert die Anmeldung einwandfrei.

    Das Exchange wurde von 2000 auf 2003 und dann auf 2007 migriert. Es gibt keine weiteren Fehler.

    Wir haben die Attribute des neuen und alten Account schon verglichen und sie sind identisch.

    Hat vielleicht jemand eine Idee?

    Danke und Gruß

    Donnerstag, 8. Dezember 2011 18:04

Antworten

  • Moin,

    vorab Danke für die Tipps. Es war wie häufig ein Mix aus Konfigurationen.

    Es lag am Adminsholder und daran dass in der Domäne für die AD Benutzerkonten expliziet hinterlegt ist an welchen Rechner sie sich anmelden dürfen.

    Dazu zählte natürlich nicht der TMG und so bekammen wir im Logging immer nur Anonymous Versuche zu sehen.

    Ausserdem muss laut MS Support, auf dem Exchange die ActiveSync Richtlinie das Anmelden mir unsicheren Geräten zugelassen werden.

     

    Nun suchen wir eine Möglichkeit, die es erlaubt bei der die Authentifizierung klappt ohne das alle Benuzter sich am TMG anmelden können.

     

    Detailierte Beschreibung folgt noch....

    gruß martin

     

    Montag, 23. Januar 2012 12:08

Alle Antworten

  • Moin,

    ich würde mal die Sicherheitsberechtigungen der fraglichen in AD prüfen. Vermutlich ist bei den alten Konten die Vererbung nicht aktiv und damit die für Ex2007 notwendigen Sicherheitsgruppen nicht vererbt worden.


    Grüße aus Berlin schickt Robert
    MVP Exchange Server
    Donnerstag, 8. Dezember 2011 19:30
  • Hallo zusammen,

    als Ergänzung zu Robert:

    http://www.msblog.eu/move-mailbox-der-benuter-verfugt-nicht-uber-nicht-uber-die-erforderlichen-zugriffsrechte/

    Dieser Artikel bezieht sich auf ein anderes Problem aber die Lösung ist die gleiche.

    Schau also bei den entsprechenden Usern ob der Haken gesetzt ist.

    --
    Gruß Malte Schoch
    www.msblog.eu

    Donnerstag, 8. Dezember 2011 21:55
  • Hallo auch nochmal von mir,

    wenn der User in einer Protected Group ist, wird der Haken für die Vererbung auch innerhalb einer Stunde wieder entfernt!

    Also zusätzlich auch mal gucken, ob der User Print Operator, Domain Admin o.ä. ist.

    Gruss Oliver


    Gruss Oliver Scholl
    Freitag, 9. Dezember 2011 09:39
  • Stimmt, das nennt sich dann "AdminSDHolder".

    http://www.msxfaq.net/konzepte/adminsdholder.htm


    Grüße aus Berlin schickt Robert
    MVP Exchange Server
    Freitag, 9. Dezember 2011 14:03
  • Hallo Martin,

    konntest du das Problem dadruch lösen?

    --
    Gruß Malte Schoch
    www.msblog.eu

    Montag, 12. Dezember 2011 11:20
  • Hallo zussammen,

    vorab vielen Dank wür die schnellen und guten Antworten.

    Wir werden es diese Woche beim Kunden probieren.

    Gruss Martin

    Montag, 12. Dezember 2011 18:21
  • Hallo Martin,

    hast Du vielleicht Updates?

    Gruss,

    Alex

    Donnerstag, 15. Dezember 2011 11:11
  • Hallo Martin,

    konnte das Problem gelöst werden?

    --
    Gruß Malte Schoch
    www.msblog.eu
    Montag, 19. Dezember 2011 09:38
  • Hallo,
    ich hatte die letzte Woche Urlaub, aber meine Kollegen waren fleißig und haben die erweiterte Sicherheitseinstellung der vererbbaren Berechtigung gesetzt. Brachte aber bisher noch keine Erfolg. 

    Jetzt haben wir dazu einen MS Call geöffnet und mit dem Kollegen
     die Authentifizierung des IIS auf Standardauthentifizierung geändert, somit klappte auch die lokal Authentifizierung mit dem Benutzer auf dem Exchange.

    Laut MS: Scheint eine TMG-Regel das aufrufen von Unterverzeichnissen bei den alten Benutzer zu verhindern? Test durch Link. https://www.testexchangeconnectivity.com/


    Gestern die TMG Konfiguration mit MS durchgesehen. Diese ist aber korrekt nach folgendem Link eingerichtet.http://technet.microsoft.com/en-us/library/cc995186.aspx

    Laut MS soll von Uns die Authentifizierungseinstellung des Listeners auf der TMG geprüft werden und Sie melden sich erneut.

    Soweit der Stand.

    Gruß Martin

    Dienstag, 20. Dezember 2011 09:28
  • Mit neuem dem funktionierenden Account kommt der folgende Fehler. 

    Es wird versucht, den Befehl "FolderSync" in Exchange AS Situng auszuführen.
    Antwort HTTP 403 Error.

    Beim alten nicht funktionierenden Account. Bricht schon bei der Versuch eine AS Sitzung mit dem Server zu starten ab.

    Testschritt. Es wird versucht einen OPTIONS-Befehl an den Server zu senden.
    Die Antwort "HTTP500" wurde vom ISA zurückgegeben.

    Liegt es vielleicht doch am TMG?

    Werden später mal das TMG Logging durchschauen.

    Dienstag, 20. Dezember 2011 11:20
  • Hallo Martin,

    hast du vll noch ein Update?

    --
    Gruß Malte Schoch
    www.msblog.eu

    Donnerstag, 22. Dezember 2011 08:30
  • Hallo Malte,

    nein leider noch nicht, Microsoft ist im Urlaub :)

    Meld mich wieder

    Mittwoch, 28. Dezember 2011 15:19
  • Moin,

    hast du denn mal einen Blick ins TMG-Logging geworfen ?

    Ich empfehle einen Filter auf die Active Sync Regel zu erstellen (Im Logging). Wenn dann dort verweigerte Verbindungen auftreten, posta mal die Meldung.

    Wie sieht denn deine Regel aus ? (Authentifizierung am Listener, Auth-Delegierung etc.)

    Bei den Beschreibungen oben hätte ich auch den Adminsdholder in Verdacht gehabt. Wenn die Verrerbung unterbrochen ist, darf der Exchange Server kein mobiles Gerät an das Konto anhängen.


    Viele Grüße Carsten
    Donnerstag, 29. Dezember 2011 07:57
  • Moin,

    vorab Danke für die Tipps. Es war wie häufig ein Mix aus Konfigurationen.

    Es lag am Adminsholder und daran dass in der Domäne für die AD Benutzerkonten expliziet hinterlegt ist an welchen Rechner sie sich anmelden dürfen.

    Dazu zählte natürlich nicht der TMG und so bekammen wir im Logging immer nur Anonymous Versuche zu sehen.

    Ausserdem muss laut MS Support, auf dem Exchange die ActiveSync Richtlinie das Anmelden mir unsicheren Geräten zugelassen werden.

     

    Nun suchen wir eine Möglichkeit, die es erlaubt bei der die Authentifizierung klappt ohne das alle Benuzter sich am TMG anmelden können.

     

    Detailierte Beschreibung folgt noch....

    gruß martin

     

    Montag, 23. Januar 2012 12:08
  • Nun suchen wir eine Möglichkeit, die es erlaubt bei der die Authentifizierung klappt ohne das alle Benuzter sich am TMG anmelden können.

     

    Ich vermute du meinst es darf nicht jeder ActiveSync machen ;)

    Die Regel am TMG ist per Default für alle athentifizierten Benutzer. Du kannst das ändern und dafür eine AD-Gruppe festlegen (z.B. ActiveSync-Benutzer) Dann können nur Mitglieder dieser Gruppe auch ActiveSync von außen nutzen.


    Viele Grüße Carsten
    Montag, 23. Januar 2012 14:26