none
Erreur connexion ActiveSync sur Exchange Server 2010 RRS feed

  • Question

  • Bonjour,

    Suite à la migration de notre serveur Exchange (anciennement 2003 SP2), nous avons procédé a l'installation de certificat et de connexions en SSL(anciennement tout en http). Nos utilisateurs de mobiles n'arrive plus à se connecter aux services de messageries que ce soit dans le domaine ou en dehors.

    Voici notre configuration :

    • Un ISA Server 2006 en pare-feu où sont ouvert les ports nécessaires aux connections externes (avec publication de certificat)
    • Un contrôleur de domaine W2K8 R2 qui fait office d'autorité de certificat
    • un serveur exchange 2010 configuré selon les procédures de migration Microsoft et qui fonctionne parfaitement en dehors de l'ActiveSync
    • Un domaine en domain.fr en interne et en externe, un serveur mail en nomduserveur.nomdudomain.fr (et non mail.xxx.xxx.fr comme conseillé)

     

    La connexion en interne et en externe à l'OWA via https fonctionne parfaitement (nécessite l'installation du certificat publié via l'ISA server). Nous restons cependant bloqué pour les connexion ActiveSync ne semble pas fonctionner le mobile n'arrivant pas à contacter le serveur exchange.

    Problème, je n'arrive pas à comprendre ce qui peut bloquer :

    • mauvaise configuration de l'ISA server? Dans ce cas, la connexion fonctionnerais en interne et ce n'est pas le cas.
    • Problème de certificat? Pourquoi fonctionnerait-il pour l'OWA et pas pour l'ActiveSync?
    • Problème d'authentification autre?
    • Peut-on désactiver l'obligation du SSL pour l'ActiveSync?
    • Autres problèmes?

    vendredi 14 mai 2010 14:45

Réponses

  • Bonsoir,

    Souvent les comptes qui ne fonctionnent pas/plus sont ceux qui n'héritent pas des droits (La case héritage doit être cochée).

    Dans ce cas, les serveurs Exchange n'héritent pas des droits corrects pour accéder au compte.

    L'héritage disparait parfois lors de migration/déplacement du compte et ou de la boîte. L'autre cas correspond aux comptes faisant partie d'un groupe d'administration. Pour ces comptes, l'objet "adminDsHolder" doit être modifié afin d'avoir les droits souhaités.

    A bientôt,


    Thierry DEMAN. https://www.mcpvirtualbusinesscard.com/VBCServer/MVPtdeman/profile (65 MCPs) Exchange MVP (http://base.faqexchange.info) LE PERMIS INFORMATIQUE.
    mardi 8 juin 2010 21:13
    Modérateur

Toutes les réponses

  • Bonsoir,

    2 points à vérifier :

    la règle de publication OWA contient-elle le répertoire virtuel utilisé par ActiveSync : /Microsoft-Server-ActiveSync/*

    Les URL interne et externe ont bien été modifiés pour ActiveSync.

    A+


    Thierry DEMAN. https://www.mcpvirtualbusinesscard.com/VBCServer/MVPtdeman/profile (65 MCPs) Exchange MVP (http://base.faqexchange.info) LE PERMIS INFORMATIQUE.
    vendredi 14 mai 2010 20:55
    Modérateur
  • Oui la règle de publication autorise bien le pontage vers /* (donc théoriquement vers Microsoft-Server-ActiveSync).

     

    Les url interne et externe modifiés? Les url sont celle par défaut soit https://nomduserver.nomdudomaine/Microsft-Server-ActiveSync dans les deux cas.

    lundi 17 mai 2010 09:48
  • Bonjour

     

    je pense que le probléme vient du certificat ssl qui n'est pas accepté par le mobile

    peut être faut il rajoutter le Root certificate dans autorité de confiance sur le mobile.

     

    merci

     


    ----------- Merci Khalil Benz [MCSE - MCTS 2008 - MCTS ISA- MCT]
    mercredi 2 juin 2010 15:10
  • Bonsoir,

    à l'usage, c'est souvent des problèmes dans la saisie des informations de connexion que le problème se situe !

    => Vérifier l'adresse de messagerie utilisée pour la connexion

    => Vérifier le login (sous la forme DOMAINE\Utilisateur) s'il n'y a qu'une seule case...

    Si les informations sont séparées: Domaine =Nom du domaine NETBIOS (PAS le DNS) et Utilisateur= compte de connexion (surtout ne pas utiliser la forme User@domaine.DNS).

    Le certificat ne gène pas beaucoup ! J'ai même réussi à connecter les iPhone avec l'adresse IP publique d'un client en ADSL.

    A bientôt,


    Thierry DEMAN. https://www.mcpvirtualbusinesscard.com/VBCServer/MVPtdeman/profile (65 MCPs) Exchange MVP (http://base.faqexchange.info) LE PERMIS INFORMATIQUE.
    jeudi 3 juin 2010 20:07
    Modérateur
  • Le problème n'est plus depuis quelques jours. La fonctionnalité Exchange de l'Iphone arrive bien à se connecter. Comment?

    J'avoue n'avoir pas totalement compris moi même. Ce n'est qu'en discutant avec un collègue que je me suis rendu compte que certain utilisateur pouvaient se connecter au serveur Exchange. En analysant leur paramètre de connections et en les reproduisant sur mon Iphone la connections en fonctionnait toujours pas.

     

    La différence se situait au niveau des permissions dans Active Directory(onglet sécurité). Les autorisations différaient d'un compte à l'autre et en me basant sur un des utilisateurs dont la connexion fonctionnait, j'ai rajouté manuellement les autorisations manquantes. Depuis la connexion à l'ActiveSync fonctionne parfaitement.

    Pourquoi ces permissions n'ont pas été mise automatiquement sur tous mes utilisateurs AD, bonne question... Quinze utilisateurs sans permissions sur une soixantaine.

    Si quelqu'un a un élément de réponse je suis tout ouï.

    mardi 8 juin 2010 09:11
  • Bonsoir,

    Souvent les comptes qui ne fonctionnent pas/plus sont ceux qui n'héritent pas des droits (La case héritage doit être cochée).

    Dans ce cas, les serveurs Exchange n'héritent pas des droits corrects pour accéder au compte.

    L'héritage disparait parfois lors de migration/déplacement du compte et ou de la boîte. L'autre cas correspond aux comptes faisant partie d'un groupe d'administration. Pour ces comptes, l'objet "adminDsHolder" doit être modifié afin d'avoir les droits souhaités.

    A bientôt,


    Thierry DEMAN. https://www.mcpvirtualbusinesscard.com/VBCServer/MVPtdeman/profile (65 MCPs) Exchange MVP (http://base.faqexchange.info) LE PERMIS INFORMATIQUE.
    mardi 8 juin 2010 21:13
    Modérateur
  • Effectivement les comptes utilisateurs qui n'ont pas hérités des permissions Exchange font parti de groupe d'administration.

    Une fois ces autorisations replacés tout rentre dans l'ordre.

    mercredi 9 juin 2010 14:47
  • Pour contourner ce problème, affectez au groupe de serveurs Exchange le droit de modifier les autorisations sur les objets msExchActiveSyncDevices. Pour ce faire, procédez comme suit :
    1. Démarrez utilisateurs et ordinateurs Active Directory.
      • Cliquez sur affichage, puis cliquez sur pour activer des Fonctionnalités avancées.
      • Cliquez droit sur l'objet dans lequel vous souhaitez modifier les autorisations Exchange Server, puis cliquez sur Propriétés.

        Remarque : Vous pouvez modifier les autorisations par rapport à un utilisateur, une unité d'organisation ou un domaine.
      • Sous l'onglet sécurité , cliquez sur Avancé.
      • Cliquez sur Ajouter, tapez Serveurs Exchange, puis cliquez sur OK.
      • Dans la zone Appliquer à , cliquez sur objets de msExchActiveSyncDevices Descendant.
      • Sous autorisations, cliquez pour activer les Autorisations de modification.
    2. Cliquez sur OK trois fois.

    Cordialement, MCP|MCTS|MCITP Server Administrator MCITP Enterprise Desktop Administrator 7 MCITP Enterprise Administrator ITIL Foundation V3

    jeudi 4 avril 2013 07:43
  • Il semble que je rencontre le même problème. Après une migration de bal de 2003 vers 2010, certains clients n'arrivent plus à synchroniser via active sync leur messagerie sur iphone, android.

    un test sur testexchangeconnectivity m'indique que c'est au niveau de la commande Folder Sync (Erreur HTTP 500) que ça coince, et j'en reviens à ce problème d'héritage. Seulement l'héritage dans mon cas est bien activé. J'ai donc essayé d'ajouter l'autorisation sur msExchActiveSyncDevices mais pas mieux...

    Une idée?

    mardi 23 juillet 2013 10:41
  • la réponse était bien là (msExchActiveSyncDevices ...)

    cdt

    mardi 10 septembre 2013 09:29