none
בעיית ActiveSync למספר משתמשים ב iphone מול Exchange2010 RRS feed

  • שאלה

  • שלום,

    אולי מישהו נתקל בבעיה הבאה:

    מספר משתמשים באירדגון שמנסים להגדיר גישת ActiveSync מול iphone (לא משנה איזה גירסא). מקבלים את ההודעה הבאה על הטלפון בעת ההגדרה:

    unable to verify aacount information

    על השרת ב Event viewer מופיעה Event 1053 הבא:

    Exchange ActiveSync doesn't have sufficient permissions to create the "CN=User,OU=Engineering,OU=CONTOSO users,DC=CONTOSO,DC=loc" container under Active Directory user "Active Directory operation failed on cdv-file.Contoso.loc. This error is not retriable. Additional information: The name reference is invalid.

    This may be caused by replication latency between Active Directory domain controllers.

    Active directory response: 000020B5: AtrErr: DSID-03152395, #1:

    0: 000020B5: DSID-03152395, problem 1005 (CONSTRAINT_ATT_TYPE), data 0, Att 31 (distinguishedName)

    ".

    Make sure the user has inherited permission granted to domain\Exchange Servers to allow List, Create child, Delete child of object type "msExchActiveSyncDevices" and doesn't have any deny permissions that block such operations.

    Details:%3

    לכאורה הבעיה היא בעיית הרשאות קלאסית של המשתמש אולם לא הצלחתי למצוא הרבה הסברים לשגיאה עם Problem 1005 שהוא המפתח לפתרון הבעיה.

    האם מישהו  נתקל  ופתר בעיה כזאת?

    לא מדובר בכל המשתמשים אלא רק בחלק.

    תודה

    נמרוד

    יום ראשון 28 אוקטובר 2012 12:16

תשובות

  • שלום,

    הבעיה מגיעה מהרשאה שחסרה לקבוצת Exchange Server על אותו משתמש/משתמשים. עקב הרשאה חסרה אינו יכול ליצור אובייקטים נוספים ב-Directory ובצד המשתמש אתה מקבל הודעת שגיאה כמו גם בשרת.

    אתה יכול להשוות מול שרת דואר חדש או קיים שיש לך גישה אליו, ההרשאות של Exchange Server משתנות בהיררכיה שך ה-Organization ב-Directory.

    יכול להיות מצבים מסוימים שצריך לתת לקבוצה הנ"ל הרשאות נוספות בנוסף לקיים.

    לכן אני ממליץ לך להיעזר ביועץ חיצוני כי כבר נתת מספר הרשאות ונראה כי חסר או השתנו הגדרות במיגרציה שבוצעה. הרשאות לא נכונות של הקבוצה הנ"ל יכולה להשבית אפילו Mailbox Database ולהשבית את הארגון.

    אלי.


    The New UC User Group website, www.mucugi.com

    • סומן כתשובה על-ידי Eran Sharvit יום שלישי 06 נובמבר 2012 14:34
    יום שני 29 אוקטובר 2012 08:55
  • שלום 

    כמיו שרשמתי לך לפני זה יש לבדיוק שאין שאריות של השרת הישן זה יכול להאשיות הרבה בעיות 

    תעבור גם עך זה

    http://social.technet.microsoft.com/Forums/en-ZA/exchange2010/thread/37a1cb86-d4e3-4851-b41b-f8e42997dd6c

    http://blogs.technet.com/b/exchange/archive/2010/07/01/3410271.aspx


    אם תגובתי פתרה את בעייתך - לחץ על "סמן כתשובה" ליד סימן ה V הירוק. Yaniv Totshvili http://www.yshvili.com http://itportal.co.il blog: http://blogs.microsoft.co.il/blogs/yanivlea



    יום שני 29 אוקטובר 2012 09:37
    מנחה דיון

כל התגובות

  • שלום,

    תוודא שה-Inheritence מסומן על המשתמש.

    מתוך ממשק ה-AD גש למאפיינים של המשתמש, לטאב security לאחר מכן תבחר ב-Advanced תוודא שמסומן Inheritence, במידה ולא מסומן יש לסמן.

    במידה ואתה לא רואה את טאב security, תוודא ברמת התצוגה של ה-AD שהוא נמצא במצב advanced view.

    אלי.


    The New UC User Group website, www.mucugi.com


    • נערך על-ידי Eli_ShlomoMVP יום ראשון 28 אוקטובר 2012 12:43
    יום ראשון 28 אוקטובר 2012 12:36
  • שלום ושבוע טוב,

    תבדוק את האפשריות הזו

    Open Active Directory Users and Computers

    n the menu at the top of the console, click View > Advanced Features

    Locate and right-click the mailbox account in the console, and then click Properties

    Click the Security tab

    Click Advanced

    Make sure that the check box for "Include inheritable permissions from this object's parent" is selected

    and ok

    תבדוק גם כן שאחין המשתמש מצלחה להתחבר דרך הOWA

    בהצלחה 


    אם תגובתי פתרה את בעייתך - לחץ על "סמן כתשובה" ליד סימן ה V הירוק. Yaniv Totshvili http://www.yshvili.com http://itportal.co.il blog: http://blogs.microsoft.co.il/blogs/yanivlea

    יום ראשון 28 אוקטובר 2012 12:37
    מנחה דיון
  • יניב הי,

    תודה על התשובה הזריזה. Inheritance מסומן במשתמש המדובר.

    כמו כן אין בעיה להכנס ל OWA עם שם המשתמש והסיסמא.

    קראתי לא מעט כתבות בנושא והמפתח הוא לדעתי המקום בהודעה בו מצויין Problem 1005 שאני לא בטוח מה הכוונה בו.

    יש מקרים זהים עם problems אחרים.

    אשמח לעוד רעיונות אם יש לך.

    תודה

    יום ראשון 28 אוקטובר 2012 12:50
  • אלי הי,

    תודה על התשובה הזריזה. אתה ויניב הצעתם את אותו פתרון. וכפי שכתבתי ליניב זה inheritance מסומן.

    מדובר  Problem 1005 שזה המפתח להבנת השגיאה...

    אם יש עוד רעיונות אשמח.

    תודה

    נמרוד

    יום ראשון 28 אוקטובר 2012 12:52
  •  תסרי את הV הוא ישאלה אותך האם אתה רוץ COPY תבחר את האפשריות של כן אחרזי תחזר את הV 


    אם תגובתי פתרה את בעייתך - לחץ על "סמן כתשובה" ליד סימן ה V הירוק. Yaniv Totshvili http://www.yshvili.com http://itportal.co.il blog: http://blogs.microsoft.co.il/blogs/yanivlea

    יום ראשון 28 אוקטובר 2012 12:54
    מנחה דיון
  • שלום,

    עדיין מדובר ברמת הרשאה, ישנו במפאייני Security של אותו משתמש קבוצה שנקראת Exchange server. לאותה קבוצה צריכים להיות הרשאות:

    allow List

    Create child

    Delete child

    הבעיה שהאוביקט msExchActiveSyncDevices אינו בעל הרשאה במשתמש, תוודא שבתוך המאפייני Security של המשתמש בקבוצה של Exchange Server ישנו על ערך

    אפשרות של Modify.

    דבר נוסף שיכול להיות שהמשתמש אינו עם הרשאות מלאות על עצמו.

    אלי.


    The New UC User Group website, www.mucugi.com


    • נערך על-ידי Eli_ShlomoMVP יום ראשון 28 אוקטובר 2012 13:00
    יום ראשון 28 אוקטובר 2012 12:59
  • ניסיתי כעת גם את הרעיון הזה ועדיין אותה שגיאה...

    תודה

    יום ראשון 28 אוקטובר 2012 13:03
  • תוודא שאתה מבצע זאת לפי המאמר הבא, http://support.microsoft.com/kb/2579075

    אלי.


    The New UC User Group website, www.mucugi.com

    יום ראשון 28 אוקטובר 2012 13:04
  • תבדיוק גם כן את זה

    Exchange Server > Launch the Exchange Management Console > Server Configuration > Select your cas Server > Properties > Security Settings > Locate the dc that it is using


    אם תגובתי פתרה את בעייתך - לחץ על "סמן כתשובה" ליד סימן ה V הירוק. Yaniv Totshvili http://www.yshvili.com http://itportal.co.il blog: http://blogs.microsoft.co.il/blogs/yanivlea

    יום ראשון 28 אוקטובר 2012 13:12
    מנחה דיון
  • עבדתי לפי המאמר ועדיין אותה בעיה...

    תודה שוב

    יום ראשון 28 אוקטובר 2012 13:14
  • מופיעים אצלי שני שרתי ה DC האחירגוניים הם שניהם גם GC כך שהן מופיעים בשתי החלוניות

    תודה

    יום ראשון 28 אוקטובר 2012 13:16
  • האם אותם משתמשים שייכים לקבוצות Admins מסוימות?

    לאחר שאתה מסמן את ההרשאה אתה צריך לוודא שזה מתעדכן ב-AD וכן לסנכרן את הנייד עם פרופיל חדש.

    במאפייני המשתמש ב-AD תוודא שלקבוצת Exchange Server ישנה הרשאה של

    Create msExchangeActiveSyncDevices objects

    Delete msExchangeActiveSyncDevices objects

    אלי.


    The New UC User Group website, www.mucugi.com

    יום ראשון 28 אוקטובר 2012 13:21
  • אלי הי,

    בדקתי את קיומם של ההרשאות שציינת ועדיין לא מצליח ליצא פרופיל דואר על הטלפון. אותה הודעה.

    אולי יש דרך לאפס הרשאות של משתמש לברירת מחדל? או להשתמש במשתמש אחר תקין כ template למשתמש הבעייתי?

    תודה

    יום ראשון 28 אוקטובר 2012 13:33
  • אזי מכשרים כן מצלכים להתחבר לערגון?

    האם בצתים שדריוג משרת 2003 ל2010?

    אם אתה פותך משתמשי חדש הוא כן מצליך להתחבר?

    מה הגרסה של SCHEMA שלשרת הדואר תפתך CMD ותריץ את הפקודה הזו יש לשניות את שם הDOMAIN YSHVILI ותרשום כאן 

    dsquery * CN=ms-Exch-Schema-Version-Pt,cn=schema,cn=configuration,dc=yshvili,dc=local -scope base -attr rangeUpper

    מה הגרסת הrollup שמיותקן לך בשרת הדואר?


    אם תגובתי פתרה את בעייתך - לחץ על "סמן כתשובה" ליד סימן ה V הירוק. Yaniv Totshvili http://www.yshvili.com http://itportal.co.il blog: http://blogs.microsoft.co.il/blogs/yanivlea

    יום ראשון 28 אוקטובר 2012 13:37
    מנחה דיון
  • אתה יכול לבדוק ב-Effective Permoission האם ההרשאות נכונות לפי מה שהגדרת ומול משתמש אחר שעובד בצורה תקינה. בעיקר קבוצת Exchange Server.

    א אתה פותח את זה ממשק adsiedit האם ההרשאות זהות?

    יש דרך לאפס הרשאות אבל ממש לא מומלץ בגלל הרשאה מסוימת שאגב זאת כל הבעיה.

    האם המשתמש הוא חלק מ-Domain Admins וכאלה?

    בתוך adsiedit צריך להיות בפרטי המשתמש צריך להיות אובייקט שנקרא ExchangeActiveSyncDevices, האובייקט נוצר ע"י סנכרון ומי שיוצר אותו הוא קבוצת Exchange Server.

    אלי.


    The New UC User Group website, www.mucugi.com

    יום ראשון 28 אוקטובר 2012 13:42
  • יניב הי,

    אכן ביצענו שידרוג מ 2003 ל 2010 לפני מספר חודשים.

    פתחתי משתמש חדש וקיבלתי את אותה תוצאה...

    התוצאה של פקודת ה dsquery היא:

      rangeUpper
      14732

    גירסת ה rollup היא SP2 Rollup2

    תודה

    יום ראשון 28 אוקטובר 2012 14:14
  • הי

    בדקתי את ה effective permissions על הקבוצה של Exchange servers וההרשאות זהות.

    המתשמשין אימם חלק מ domain admins הם רגילים ובודאי המשתמש החדש שפתחתי לבדיקה

    אותם משתמשים מכיוון שלא ניתן להגדיר להם פרופיל באייפון ועוד בשלב היצירה החיבור נכשל לא נוצר ב ADSI האובייקט ExchangeActiveSyncDevices

    תודה

    יום ראשון 28 אוקטובר 2012 14:24
  • פתחתי משתמשי חדש והוא גם לא הצליך להתחבר האם זה מה שאני מבין?

    יכול להיות לזה הרבה סביות יש צורך לבצאה בדיקה מיול הAD 

    חיוץ מזה אמרתי שיש מכשרים שכן מצלחים מה סוג המכשיר האלו?

    האם השרת הישן עדיין קיים בערגון?



    אם תגובתי פתרה את בעייתך - לחץ על "סמן כתשובה" ליד סימן ה V הירוק. Yaniv Totshvili http://www.yshvili.com http://itportal.co.il blog: http://blogs.microsoft.co.il/blogs/yanivlea


    יום ראשון 28 אוקטובר 2012 14:46
    מנחה דיון
  • אם כבר יצרת משתמש חדש אז אפשר לבדוק את ההרשאה הבאה.

    תוודא שמתוך המשתמש אתה מוסיף לקבוצת Excahnge Server הרשאה מלאה, אך ורק לאותו משתמש.

    לאחר מכן תוודא תסנכרן שוב את המכשיר.

    תעדכן,

    אלי.


    The New UC User Group website, www.mucugi.com

    יום ראשון 28 אוקטובר 2012 14:57
  • הי,

    עדיין אותה תוצאה...

    הרצתי BPA והדבר היחיד שקפץ חשוד שאולי יכול להשפיע הוא שה site folder server was deleted.

    בתהליך הפרידה מהאקסצ'ינג' 2003 היתה בעיה להפרד מה public folders ונאלצנו לבצע זאת ידנית (עפ"י מאמר). האם אתה חושב שיכול להשפיע?

    יום ראשון 28 אוקטובר 2012 15:08
  • כמיו שציינתי לפני זה יכול להיות לזה הרבה סביות לבאיה הזו יש צורך לבצאה בדיקה מAD ועד לEXCHANGE 

    תבדיוק גם כן בadsiedit שהשרת הישן לא קיים שם אבל על תבצאה שום שנוי רק תבדיוק האם הוא נמצאה שם כמיובן יש צורך לגשת לפי החצים ורק תשם לב שזה שם הDOMIN שלי

    CN=configuration,DC=.yshvili,DC=.local > CN=Services > CN=Microsoft Exchange > CN=Organization > CN= Administrative Groups > CN=(Groupname) > CN=Servers >


    אם תגובתי פתרה את בעייתך - לחץ על "סמן כתשובה" ליד סימן ה V הירוק. Yaniv Totshvili http://www.yshvili.com http://itportal.co.il blog: http://blogs.microsoft.co.il/blogs/yanivlea

    יום ראשון 28 אוקטובר 2012 15:41
    מנחה דיון
  • שלום,

    האם ההרשאות עזרו, האם הבעיה קיימת?

    אלי.


    The New UC User Group website, www.mucugi.com

    יום שני 29 אוקטובר 2012 08:33
  • עדיין קיימת הבעיה ואני לא מצליח להגיע למצב של סינכרון.

    תודה

    יום שני 29 אוקטובר 2012 08:34
  • לפי דעתי אתה צריך יועץ באתר שלך שיעבור על מבנה ה-Directory/Exchange ויוודא שהכל תקין.

    אלי.


    The New UC User Group website, www.mucugi.com

    יום שני 29 אוקטובר 2012 08:37
  • זה משהו באקטיב דיירקטורי בתחום ההרשאות אבל השאלה מה?

    אתה מכיר מסמך שמתאר את ההרשאות שצריכות להיות קיימות?

    יום שני 29 אוקטובר 2012 08:40
  • שלום,

    הבעיה מגיעה מהרשאה שחסרה לקבוצת Exchange Server על אותו משתמש/משתמשים. עקב הרשאה חסרה אינו יכול ליצור אובייקטים נוספים ב-Directory ובצד המשתמש אתה מקבל הודעת שגיאה כמו גם בשרת.

    אתה יכול להשוות מול שרת דואר חדש או קיים שיש לך גישה אליו, ההרשאות של Exchange Server משתנות בהיררכיה שך ה-Organization ב-Directory.

    יכול להיות מצבים מסוימים שצריך לתת לקבוצה הנ"ל הרשאות נוספות בנוסף לקיים.

    לכן אני ממליץ לך להיעזר ביועץ חיצוני כי כבר נתת מספר הרשאות ונראה כי חסר או השתנו הגדרות במיגרציה שבוצעה. הרשאות לא נכונות של הקבוצה הנ"ל יכולה להשבית אפילו Mailbox Database ולהשבית את הארגון.

    אלי.


    The New UC User Group website, www.mucugi.com

    • סומן כתשובה על-ידי Eran Sharvit יום שלישי 06 נובמבר 2012 14:34
    יום שני 29 אוקטובר 2012 08:55
  • אלי תודה...

    עוד אתמול השוותי מול שרת פעיל אחר שלנו ולא מצאתי את השונה בכל הקשור לקבוצת ה Exchange servers...

    לצערי זה משהו מעבר.. רק אני לא יודע איפה עוד לחפש.

    יום שני 29 אוקטובר 2012 08:58
  • שלום 

    כמיו שרשמתי לך לפני זה יש לבדיוק שאין שאריות של השרת הישן זה יכול להאשיות הרבה בעיות 

    תעבור גם עך זה

    http://social.technet.microsoft.com/Forums/en-ZA/exchange2010/thread/37a1cb86-d4e3-4851-b41b-f8e42997dd6c

    http://blogs.technet.com/b/exchange/archive/2010/07/01/3410271.aspx


    אם תגובתי פתרה את בעייתך - לחץ על "סמן כתשובה" ליד סימן ה V הירוק. Yaniv Totshvili http://www.yshvili.com http://itportal.co.il blog: http://blogs.microsoft.co.il/blogs/yanivlea



    יום שני 29 אוקטובר 2012 09:37
    מנחה דיון
  • הבעיה נפתרה וחזרתי לפה בכדי להודות לכל המסייעים ולעדכן כיצד.

    לאחר נסיונות מרובים להתעסק בנושא ההרשאות עלה המשתמשים שלא פתרו את הבעיה כאמור בוצעו הפעולות הבאות:

    1. הוספה של allow inheritable permissions.. על הקונטיינר של AdminSDHolder.

    2. בוצעה הסרה של Activesyncvirtualdirectory מתוך האקסצ'ינג' (remove-activesyncvirtualdirectory)

    3. נוצר קושי להחזיר את ה Activesyncvirtualdirectory למרות שנעשו בדיקות על ה AD ולכאורה הכל היה תקין בבדיקות ה DCdiag ובדיקות הרפליקציה. לא ניתן היה ליצור את הדיירקטורי הוירטואלי מכיוון שלכאורה נשאר metadata ב IIS והאקסצ'ינג' נכשל בפקודת היצירה. גם ניקיון עם ה metadata explorer לא פתר את הבעיה.

    4. איתחול לשני שרתי ה DC האירגוניים פתר את הבעיה.

    5. יצירת Activesyncvirtualdirectory  ובדיקות. (new-activesyncvirtualdirectory)

    כל המשתמשים חזרו לסנכן ללא בעיה את הטלפונים והאובייקטים של הטלפונים הסלולרים נוצרים כעת ללא בעיה.

    תודה על העזרה לכולכם... מקווה שזה יסייע בעתיד.

    נמרוד

    יום רביעי 07 נובמבר 2012 06:30
  • תודה רבה.

    The New UC User Group website, www.mucugi.com

    יום רביעי 07 נובמבר 2012 16:47
  • תודה רבה

    אם תגובתי פתרה את בעייתך - לחץ על "סמן כתשובה" ליד סימן ה V הירוק. Yaniv Totshvili http://www.yshvili.com http://itportal.co.il blog: http://blogs.microsoft.co.il/blogs/yanivlea

    יום רביעי 07 נובמבר 2012 17:56
    מנחה דיון