none
Probleme ActiveSync-Server (synchronisation iphone-exchange2007) RRS feed

  • Question

  • Bonjour,

     

    mon problème est le suivant:

     

    J'ai installé un SBS2008 (ad, exchange, wsus, wss3) jusqu'a présent tout fonctionne bien

    Mon seul problème c'est la synchronisation avec l'iphone, j'ai toujours le message d'errreur "impossible de vérifier les données du compte"

    J'ai suivi une procédure qui etait mentionnée ici sur le forum, qui consiste à supprimer et recréer le dossier virtuel Microsoft-Server-ActiveSync" mais ça n'a pas résolu mon problème

    Maintenant je constate qu'en recréant le virtualdirectory "Microsoft-Server-ActiveSync", il va direction sur "Default Web Site" alors que j'ai bien précisé SBS Web Applications comme ApplicationRoot

    Comment puis-je remettre le répertoire virtuel Microsoft-Server-ActiveSync dans le site "SBS Web Applications"? est ce que y a moyen de le déplacer ?

    comment je fais pour que la synchronisation entre iPhone et mon exchange 2007 passe ?

     

    Merci bcp de votre aide

    Karim.

    dimanche 30 octobre 2011 15:16

Toutes les réponses

  • Bonsoir,

     

    Je travail sur un projet de migration, jusqu'aujourdhui tout fonctionne correctement, et je suis sur le point de finaliser le projet en configuration les iPhone avec les comptes exchange des utilisateurs

    mon serveur SBS2008 récupére les mails via des connecteurs POP pour chaque utilisateur (chez 1and1)

    mon probleme c'est que j'arrive pas à paramétrer les iphones avec mon serveur exchange (remote.mondomaine.com) et j'ai le message d'erreur suivant : "Impossible de vérifier les données du compte"

    Par contre, j'ai constaté une chose

    J'ai ce message d'erreur seulement que je configure un compte qui a un connecteur POP lié au serveur pop de 1and1

    En effet, j'ai crée une nouvelle BAL, et je réussi bien synchroniser cette derniere avec mon iPhone

     

    j'ai fait également le test sur testexchangeconnectivity.com, vous trouverez ci-après le résultat:

     ExRCA teste Exchange ActiveSync.

    Échec du test Exchange ActiveSync.

    Étapes de test
     
    Attempting to resolve the host name remote.mondomaine.com in DNS.
      The host name resolved successfully.
     
    Détails supplémentaires
    Testing TCP port 443 on host remote.mondomaine.com to ensure it's listening and open.
      The port was opened successfully.
    Testing the SSL certificate to make sure it's valid.
      The SSL certificate failed one or more certificate validation checks.
     
    Étapes de test
     
    ExRCA is attempting to obtain the SSL certificate from remote server remote.mondomaine.com on port 443.
      ExRCA successfully obtained the remote SSL certificate.
     
    Détails supplémentaires
    Validating the certificate name.
      The certificate name was validated successfully.
     
    Détails supplémentaires
    Validating certificate trust for Windows Mobile devices.
      Certificate trust validation failed.
     
    Étapes de test
     
    ExRCA is attempting to build certificate chains for certificate CN=remote.mondomaine.com.
      A certificate chain couldn't be constructed for the certificate.
     
    Détails supplémentaires

    The certificate chain couldn't be built. You may be missing required intermediate certificates.

     

     

     

    j'ai vu que ça parle de certificats intérmédiaire ou de répértoire virtuel Microsoft-Server-ActiveSync qui est placé dans default web site et qui est censé d'être dans SBS Web Applications

     

    Je suis vraiment bloqué

     

    Merci de votre aide

    Karim.

    samedi 29 octobre 2011 15:32
  • Bonjour,

    Pour générer votre virtualdirectory au bon endroit lancez dans l'EMS (le Shell) la commande suivante :

    New-ActiveSyncVirtualDirectory

    Sans aucun paramètre, les invites vous demanderons les informations nécessaires.

    l'invite "WebSiteName" vous demandera dans quelle site web placer votre virtual directory.

    il faudra alors repondre : "SBS Web Applications" (le nom doit absolument correspondre au nom de site web.

    pour être sur du nom vous pouvez faire un Get-OwaVirtualDirectory | fl name,WebsiteName (étant donné que la virtualdirectory OWA est déjà dans le site web que vous voulez)

    Ensuite pour votre problème : "impossible de vérifier les données du compte" vient la plupart du temps d'un problème de différence entre le nom de l'externalURL d'ActiveSync et le(s) nom(s) présent dans le certificat SSL installé sur le site web (SBS Web Application) ainsi que le fait que l'appareil mobile ne trust pas le certificat SSL (le certificat n’émane pas d'autorité de confiance publique comme verisign ou digicert (par exemple)) et par conséquent il faut installer manuellement le certificat de la root authority (qui a émis le certificat que vous utilisez actuellement (surement une authorité insterne microsoft)) sur le périphérique mobile d'où vous souhaitez vous connecter.

    Pour toutes questions n’hésitez pas,

    Cordialement,

    Anthony

    mardi 1 novembre 2011 07:57
  • Bonjour,

    "impossible de vérifier les données du compte" vient la plupart du temps d'un problème de différence entre le nom de l'externalURL d'ActiveSync et le(s) nom(s) présent dans le certificat SSL installé sur le site web (SBS Web Application) ainsi que le fait que l'appareil mobile ne trust pas le certificat SSL (le certificat n’émane pas d'autorité de confiance publique comme verisign ou digicert (par exemple)) et par conséquent il faut installer manuellement le certificat de la root authority (qui a émis le certificat que vous utilisez actuellement (surement une authorité insterne microsoft)) sur le périphérique mobile d'où vous souhaitez vous connecter.

    Pour être sur :

    1 - vérifier les noms de votre certificat SSL :

    Get-ExchangeCertificate | ? {$_.services -like "IIS"} | fl Thumbprint,Subject,CertificateDomains

    Est ce que le nom remote.mondomaine.com est bien présent ?

    2 - De qui émane votre certificat ?

    SelfSigned (le serveur Exchange lui même)

    Autorité interne Microsoft ? (le rôle autorité de certificat a été installé sur un serveur de votre organisation)

    Autorité publique de confiance ? (digicert, verisign, godaddy ou autre)

    3 -  verification de la configuration de l'ExternalURL de webapp ActiveSync

    Get-ActiveSyncVirtualDirectory | fl name,*url*

    est ce que ExternalUrl correspond bien à : https://remote.mondomaine.com/Microsoft-Server-ActiveSync ?

    4 - Si vous utilisez un certificat Autorité interne, avez vous importer le certificat root de l'autorité de certificat sur le périphérique mobile d'où vous souhaitez vous connecter ?

    Pour toutes questions n’hésitez pas.

    Cordialement,

    Anthony

    mardi 1 novembre 2011 08:33
  • Bonsoir,

    le iPhone n'est jamais bloqué par un problème de certificat... Normalement, il y a juste une alerte dans ce cas qu'il suffit de valider !

    Le problème d'accès aux données d'un compte correspond plus souvent au serveur Exchange qui n'a pas les droits suffisants pour accéder aux propriétés de l'utilisateur dans l'annuaire Active Directory.

    => Ce problème survient lorsqu'un  compte AD n'hérite pas des droits par défaut depuis l'Unité d'Organisation dans lequel il se trouve.

    Pour un utilisateur normal, il suffit de cocher la case "hériter des droits" dans l'administration AD à partir de l'onglet "sécurité" (qu'il faut faire apparaître en activant les fonctionnalités avancées).

    Pour les utilisateurs membres d'un groupe Administrateurs (ou admins. du domaine,...), cette case se décochera automatiquement. Il est donc déconseillé de réaliser les tests avec ce type de compte.

    A bientôt,


    Thierry DEMAN. Exchange MVP. https://www.mcpvirtualbusinesscard.com/VBCServer/MVPtdeman/profile (68 MCPs) http://base.faqexchange.info
    mardi 1 novembre 2011 19:55
    Modérateur
  • Bonjour,

     

    tout d'abord, je vous remercie pour votre retour

     

    @Anthony, j'ai réussi à recreer le virtualdirectory et le placer dans le site SBS Web Applications et donc rétablir la configuration par défaut

    j'ai lancé les cmdlette sous EMS, j'ai bien lexternalURL https://remote.mydomainname.com/Microsoft-Server-ActiveSync, de plus j'ai importé le certificat sur l'iPhone, il m'affiche profil fiable (le certificat c'est selfsigned)

     

    Maintenant que je relance le testexchangeconnectivity, j'ai l'erreur suivante :

     


    apparemment il a du mal à valider le certificat selfsigned alors que je l'ai bien importé sur mon device (iphone)

    la question maintenant est que j'ai importé le bon certificat ?!! vu que la mmc (certifficats-> autorités de certifications de confiance) j'en ai plusieurs nommés remote.mydomainname.com, j'ai importé le deuxième parce qu'il est utilisé par IIS (SBS Web Applications -> Liaisons -> https | port 443 | Toutes non attribuées | Certificats : il sélectionne le deuxième dans la liste "remote.mydomainname.com"

     

    Par contre, je voudrais faire part d'une chose que je viens de constater ce matin :

    le nom de domaine de mon client est chez 1and1, et les BAL's étaient précédemment créées par l'ancien prestataire sur l'interface d'administration du site de l'hébérgeur, j'ai bien crée des connecteurs POP pour chaque BAL afin d'exchange récupére les emails et les délivre sur les clients lourds des collaborateurs. J'ai crée une BAL Exchange de test ce matin sur la EMC qui n'est pas de connecteur POP vu que c'est pas un compte Internet, quand j'essaye de configurer mon compte exchange avec cette boite au lettre, tout fonctionne bien, j'ai pas le message d'erreur "Impossible de vérifier les données du compte", mais quand j'utilise un autre compte "qui est crée sur 1AND1 avec un connecteur POP sur l'exchange server" j'obtiens le message d'erreur impossible de vérifier les données ...

     

    Donc pour conclure, maintenant avec un compte exchange j'arrive à synchroniser mes emails, calendriers, contacts ... mais pas avec un compte Internet crée sur le site de 1and1 qui est liée a un connecteur de réception POP

    Si vous auriez des idées, je vous en serai reconnaissant parce que je suis bloqué et je vois pas d'ou ça peut venir ce problème

     

    @Thierry, j'ai checké tous les comptes utilisateurs standard, ils héritent tous les droits et l'option est cochée par défaut

     

    Merci pour votre aide

    Karim.

    mercredi 2 novembre 2011 10:16
  • l'erreur que j'ai actuellement en lancant le test de connectivité exchange :

     

    Validating certificate trust for Windows Mobile devices.
      Certificate trust validation failed.
     
    Étapes de test
     
    ExRCA is attempting to build certificate chains for certificate CN=remote.mydomainname.com.
      A certificate chain couldn't be constructed for the certificate.
     
    Détails supplémentaires
      The certificate chain couldn't be built. You may be missing required intermediate certificates.

     

    Merci bcp de votre aide

    mercredi 2 novembre 2011 10:17
  • Bonsoir,

    cette erreur de certificat est normale! Votre certificat n'étant pas "public", vous ne pouvez pas l'ajouter dans les autorités utilisées par le site "TestExchangeConnectivity"... Ce n'est donc pas "probant".

    Pouvez-vous vérifier si les groupes "Exchange..." ont bien des droits sur les comptes posant problèmes?

    Vous pouvez aussi comparer avec les droits sur les comptes qui fonctionnent.

    A bientôt,


    Thierry DEMAN. Exchange MVP. https://www.mcpvirtualbusinesscard.com/VBCServer/MVPtdeman/profile (68 MCPs) http://base.faqexchange.info
    mercredi 2 novembre 2011 20:42
    Modérateur
  • Bonjour,

     

    J'ai trouvé d'ou ça vient ce problème, en fait y a pas longtemps j'avais add deux utiliserus dans le groupe SBS administrators, et du coup ça a changé les droits des groupes exchanges sur c deux comptes, de plus l'option hérités les droits ... etait décochée

     

    j'arrive à configurer tous les autres comptes sauf ces deux là, parce que les autres ont les droits par défaut (droit, en lecture d'information, appartenance au groupe ....)

    Vous avez raison Thierry, c'est une question de droit d'accès aux attribut des users account

     

    Ma question maintenant, c'est comment remettre les droits par défaut sur ces deux comptes comme les autres utilisateurs afin que la synchronisation s'effectue

     

    Merci de votre aide

    Karim. 

    jeudi 3 novembre 2011 10:06
  • Bonjour,

    idéalement, les utilisateurs ne devraient plus faire partie d'aucun groupe de type "Administrators".

    Dans tous les cas, il est possible de modifier avec ADSIEDIT.MSC l'attribut "AdminCount" qui devrait actuellement avoir la valeur 1 et de la passer à 0. Ce pointeur sert à désigner un compte est (ou a été) administratreur...

    Forcer ensuite l'héritage des droits et synchroniser les mobiles le plus rapidement possible. Le serveur Exchange doit créer un conteneur pour le mobile (en dessous) de l'utilisateur. Ce conteneur est visible dans l'outil AD avec l'affichage en mode "conteneur".

    Si le compte reste administrateur, l'héritage disparaitra (et l'attribut devrait repasser sur 1). Néanmoins, si le mobile a été configuré entretemps, il continuera à se synchroniser...

    A bientôt,

     


    Thierry DEMAN. Exchange MVP. https://www.mcpvirtualbusinesscard.com/VBCServer/MVPtdeman/profile (68 MCPs) http://base.faqexchange.info
    jeudi 3 novembre 2011 10:41
    Modérateur
  • rebonjour Thierry,

     

    je viens d'éditer les attributs des deux comptes utilisateurs,

    le premier a déja la valeur <non défini> et le deuxième avait effectivement la valeur 1 dans l'attribut AdminCount, donc je l'ai mi à 0

     

    Par contre, dans les propriétés -> onglet sécurité -> paramétres avancés, je constate que les deux comptes ont pas les cases grisées comme les autres comptes, ça prouve qu'ils ont encore des privileges admin...

    De plus, ils héritent tous les droits mais toujours le même msg derreur "impossibe de vérifier les données du compte"

     

    Maintenant, je suis en train de comparer les droits d'un compte qui fonctionne et les deux comptes dans la partie "groupes ou non utilisateurs" et "Entrées d'autorisations", le problème ce qu'il me faut quelques heures pour tout checker tout ..

     

    Est ce que y a pas moyen ou un outils avec lequel on peut visualiser tous les droits des groupes /utilisateurs et entrées autorisations pour un utilisateur donnée, ça me faciliterai la tâche

     

    Merci encore une fois pour votre aide Thierry

    Karim.

    jeudi 3 novembre 2011 12:01