none
Problema in fase di registrazione smartphone su active sync nel server exchange 2013 RRS feed

  • Domanda

  • Buon giorno a tutti, il mio problema è il segunete.

    ho installato e configurato correttamente ambiente di virtualizzazione con diversi server, tra cui un domain controller ed un server Exchange.

    ho già creato delle mailbox che sto usando e funzionano perfettamente, ho anche configurato seguendo alcune guide la sezione Mobile, e quando cerco di enrollare un device in quarantena mi viene fuori questo messaggio di errore:

    Impossibile eseguire l'operazione. Oggetto 'HealthMailboxdf79d0226f924319b0384dcd' nel controller di dominio 'nomeserver.dominio.IT' non trovato.

    non riesco a trovare questo errore in nessuna guida e non trovo nessuno che ne parli, qualcuno potrebbe aiutarmi?

    grazie a tutti.

    lunedì 22 febbraio 2016 14:27

Risposte

  • Il comportamento è "by design". Quando l'utente è membro del gruppo "domain admins" o di un altro "protected group" viene disabilitata la inheritance della security in AD e questo crea problemi ad ActiveSync.

    Qui trovi un buon articolo che spiega il fenomeno:

    https://technet.microsoft.com/en-us/magazine/2009.09.sdadminholder.aspx

    Se riattivi l'inheritance vedrai che ActiveSync inizierà a funzionare correttamente, il problema è che la security verrà poi resettata ogni ora.

    La soluzione sta nella buona e vecchia best practice che consiste nel non assegnare permission elevate agli utenti che usi per accedere ai servizi, ma utilizzare admin dedicati :-)

    Roberto



    Roberto Ferazzi
    Microsoft® MVP Exchange Server
    Moderator in the Microsoft TechNet Forums
    My MVP Profile

    MSExchange.Community

    sabato 27 febbraio 2016 23:08
    Moderatore

Tutte le risposte

  • ciao, scusa ma il normale aggancio dei device funziona? perchè personalmente nella sezione "mobile" non mi pare ci sia molto da configurare...gli apparati si agganciano perfino con certificati autofirmati di default senza modificare nulla..basta che activesync sia attivo (e lo è di default) e sia aperta la 443. quindi se invece di ripescare un device in quarantena lo elimini proprio e lo riagganci? cosa succede? 

    PS...ma in quarantena per quale motivo c'è andato il device?

    ciao

    A.

    lunedì 22 febbraio 2016 14:38
    Moderatore
  • Il problema potrebbe essere legato ad alcune monitoring mailbox "orfane".

    Questo accade quando vengono eliminati mailbox database.

    Questa è la procedura per correggere il problema:

    http://blogs.technet.com/b/exchange/archive/2015/03/20/exchange-2013-monitoring-mailboxes.aspx

    Roberto



    Roberto Ferazzi
    Microsoft® MVP Exchange Server
    Moderator in the Microsoft TechNet Forums
    My MVP Profile

    MSExchange.Community

    lunedì 22 febbraio 2016 16:17
    Moderatore
  • spiego meglio per quanto possibile non essendo esperto di exchange

    il server funziona correttamente, sia tramite outlook che OWA, quando cerco di collegare un device mobile se è un iphone o ipad l'enrollment va a buon fine ma non mi sincronizza nulla e dopo un po mi da un errore di connessione al server, mentre un android mi da direttamente errore di connessione anche in fase di setup della mailbox, e lato server non appare alcun messaggio particolare.

    allora ho settato nel server exchange, nella sezione Mobile, la quarantena automatica di tutti i device con l'opzione di decidere io quali device accettare e quali no, ed ogni volta che un device cerca di collegarsi, a me arriva una mail che mi avvisa e contenente un link tramite il quale poter accettare o rifiutare la connessione del device al server.

    fino qua tutto bene, mi arrivano le mail e vedo i device che cercano di connettersi, ma qua iniziano i problemi.

    innanzitutto i device non vengono visualizzati con il loro nome, es. Pippoiphone, ma come HealthMailBox123xyz, poi non vanno nella cartella Monitoring "che trà l'altro non c'era ed ho dovuto crearla a mano, ma qui credo di aver fatto la cosa sbagliata, non saprei" ma vanno nella cartella Users.

    quando accedo al server li vedo in attesa, ma quando cerco di accettare o rifiutare la richiesta viene fuori il messaggio di errore: Oggetto 'HealthMailboxdf79d0226f924319b0384dcd' nel controller di dominio 'nomeserver.dominio.IT' non trovato.

    come se il server Exchange non riuscisse a controllare in AD l'esistenza di questi device che in realtà ci sono.

    ho già provato a cancellarli e riavviare il server, va a buon fine ma quando riavvio il server li ritrovo tutti li, sono 4 ed io non ho la più pallida idea di cosa siano, ma sembrano sempre in attesa di essere aggiunti.

    spero di essere stato almeno esaustivo oltre che tedioso e ringrazio tutti per la pazienza.

    martedì 23 febbraio 2016 13:18
  • ciao, scusa ma l'installazione è nuova o è datata e non sono mai andati i mobile? avevo capito che era nuova dal tuo post iniziale, ma Roberto parla di rimozione db...e di solito su una nuova piattaforma non si tolgono e mettono db..ci diresti che versione di CU è il server e quanto tempo ha? il fatto di abilitare la quarantena non risolve comunque il tuo problema, per me è un problema di activesync non legato all'AD...un'altra domanda....ma che certificato ssl usi su questo 2013? mi era successa una cosa similare in passato, non identica come comportamento ma simile ed il problema era il cert ssl, rifatto tutto è ripartito..e si verificava proprio solo sui mobile...

    ciao

    A.

    martedì 23 febbraio 2016 20:26
    Moderatore
  • ciao, il dominio AD è stato messo su da alcuni mesi e tutto funziona regolarmente, il server exchange da poco meno di un mese, quindi è tutto nuovo.

    i certificati sono quelli standard installati insieme al server, io ne ho aggiunto uno autofirmato per prova, non saprei però quale sarebbe opportuno usare e come settarlo di default.

    ho avuto il problema dei mobile device sin da subito, sembra che il server non li trovi in AD, ma se dici che secondo te non c'entra non insisto.

    altra cosa, ho visto che tra i dispositivi in quarantena c'è anche un elemento chiamato Mobile Mailbox Settings, insieme agli altri come se fosse anche quello da approvare o negare, ed anche per quello non posso fare nulla, il server mi risponde che è impossibile trovare l'elemento nel controller di dominio.

    se modifico la regola e consento l'accesso a tutti i device, in automatico scompaiono dalla lista dei quarantenati e comunque non posso connetterli al server, ma appena la rimetto ricompaiono e subito mi riarrivano le mail di avviso di device che vogliono connettersi al server.

    in che modo posso creare un certificato idoneo? come lo metto come default?

    altra cosa, la cartella Monitoring Mailboxes, quella che ho dovuto creare a mano tramite ADSI edit, è sempre vuota, come mai non è stata creata automaticamente al momento della preparazione di AD? come faccio a dire al server che esiste?

    sono sicuro di aver sbagliato in qualcosa, vorrei solo capire dove e come riparare.

    come sempre vi ringrazio per la pazienza.

    p.s. ho appena controllato attentamente una delle mail automatiche che mi sono arrivate, c'è un link da usare per convalidare ogni mobile device, il link è così composto: 

    https://mail.server.it/ecp/UsersGroups/EditEASMailbox.aspx?id=6ee5fa91-a03e-47fb-a46a-5971ddacae92

    il problema è che se cerco di andare su quella pagina mi da questo errore:

    erver Error in '/ecp' Application.

    The resource cannot be found.

    Description: HTTP 404. The resource you are looking for (or one of its dependencies) could have been removed, had its name changed, or is temporarily unavailable.  Please review the following URL and make sure that it is spelled correctly. 

    Requested URL: /ecp/UsersGroups/EditEASMailbox

    Version Information: Microsoft .NET Framework Version:4.0.30319; ASP.NET Version:4.0.30319.34280

    notare che il server è comunque raggiungibile dall'esterno, sia con outlook che con owa.

    grazie ancora.




    martedì 23 febbraio 2016 21:29
  • guarda, agganciare un mobile su exchange è forse la cosa più semplice di tutta la piattaforma, non c'è niente da smanettare sulle impostazioni a parte activesync attivo (di default) e 443 aperta sul server..sia aggancia anche con l'ip al posto del nome tanto per dire..quindi non ho ben compreso le modifiche iniziali che hai fatto...io tornerei all'autofirmato suo iniziale ed a ritroso sulle varie robe eseguite e poi farei una update del server (non ci hai detto a quale stai) e riproverei...tra le altre cose sostituire un autofirmato con un altro non ha molto senso...si rischia solo di emettere un certificato non funzionante.

    Ciao.

    A.

    mercoledì 24 febbraio 2016 10:08
    Moderatore
  • ok, proverò a ritornare all'autofirmato originale eliminando quello creato da me, ma il prblema di fondo è che il server non mi consente di accettare o negare gli apparati in quarantena, e se tolgo la regola e consento l'accesso a tutti i device, l'iphone si connette in fase di setup, ma poi non scarica nulla dal server, e dopo un po mi da un errore di connessione.

    ho seguito diverse guide redatte da professionisti, anche dei video e tutti mostravano le medesime procedure, ho eseguito tutto alla lettera, funziona tutto tranne i mobile device.

    non ho ancora installato alcuna CU, ho verificato ieri, ho scaricato la CU11, proverò ad installarla, ho scaricato anche il SP1 nella speranza possa risolvere il problema.


    mercoledì 24 febbraio 2016 11:47
  • be' quando metti su un server Exchange o qualsiasi comunque la prima cosa da fare è metterlo alle ultime updates..se quella macchina non è nemmeno sp1 ancora..è dal 2012 che gira il 2013...ci sono mille aggiornamenti in mezzo..andava fatto subito prima di partire a configurare..a parte questo però continuo a non capire il discorso di "configurare" se tu butti su un exchange 2013 da zero, senza configurare manco un connettore i mobile si agganciano lo stesso dalla rete interna..non ho mai visto un server exchange con problemi simili da nuovo...anche il discorso quarantena..ma non si usa praticamente mai la quarantena...perchè ti intestardisci sulla quarantena? se è l'unico modo per agganciare un dispositivo non va bene, non può andare....qualcosa in fase di installazione non è andata a buon fine. Comunque portalo a bolla con gli aggiornamenti...poi vediamo...è che prima di caricarci su le mailbox questa cosa andava risolta...vabbè procediamo.

    Aggiornaci.

    ciao.

    A.

    mercoledì 24 febbraio 2016 12:06
    Moderatore
  • Buon giorno a tutti, eccomi di nuovo.

    Ho installato il service pack1 ed successivamente la CU11, tutto ha continuato a funzionare regolarmente come prima, ho visto che alcuni menu sono stati aggiunti alla console di amministratore, ma riguardo al mobile nulla è cambiato.

    ho provato a rieseguire la procedura di configurazione da capo, ho creato un criterio di Default della cassetta postale dei dispositivi mobili, consentendo l'accesso a tutti i dispositivi e richiedendo almeno una password semplice, ho provato a connettermi con il mio iphone, sia via internet che via intranet, in entrambi i casi la connessione va a buon fine con i classici segni di spunta verde su tutte le funzioni della mailbox sul telefono, con l'unica differenza che se lo faccio da intranet, quindi in lan, e mettendo il nome del server anzichè l'url esterno, mi chiede di accettare il certificato, credo sia normale, ma lo scrivo giusto per info.

    resta il fatto che il mio iphone, nonostante mi dica che la connessione è andata a buon fine, non riesce a contattare il server per scaricare la posta e non scarica calendario ne contatti.

    qualcuno saprebbe descrivermi la procedura corretta per fare ciò?

    continuo ad essere convinto di aver sbagliato qualcosa, ma non saprei dove andare a guardare, ho provato a cercare dei log ma non ho trovato nulla di utlie, sapreste indicarmi magari dove cercare i log necessari?

    Come sempre grazie a tutti e buona giornata.

    venerdì 26 febbraio 2016 08:06
  • guarda che te l'ho già spiegato...se leggi...

    - installi exchange 2013

    - di default Activesync è attivo e ti trovi un certificato autofirmato

    - apri la 443 dal firewall verso l'ip privato del server

    FINE. se fa puntare un mobile anche solo all'ip pubblico che abbia un utente valido il mobile si aggancia. Non c'e niente da configurare sui mobile, più di spiegartelo così non so che fare. Qualcosa nella tua installazione non è andata a buon fine dall'inizio, il messaggio d'errore che hai e che citava Roberto non è normale per un sever nuovo di zecca, quindi o c'è un refuso sull'installazione o ne sono state fatte più di una..il problema rimane. anche il fatto che non ti chieda di accettare il cert da fuori non è normale, lo deve fare dappertutto, sia dentro che fuori. l'ultimo mio consiglio è: prova a ricostruire health mailbox e la virtual dir, ma dopo questo mi sento solo di dirti contatta il supporto a pagamento perchè secondo me ha più di una problematica.

    prima proverei ricreando la healthmailbox 

    http://blog.manton.im/2015/04/re-creating-health-mailboxes-in.html

    se poi non va rifarei anche l'activesync vdir

    http://www.itnotes.eu/?p=1904

    se ancora non va...supporto a pagamento..

    https://support.microsoft.com/it-it/getsupport?oaspworkflow=start_1.0.0.0&wf=0&wfName=productselection&gprid=730&ccsid=635917809116018244

    venerdì 26 febbraio 2016 20:29
    Moderatore
  • dopo mille verifiche, test e peripezie sono riuscito a far finalmente sincronizzare alcuni device con account diversi, purtroppo ho ancora un account, con privilegi amministrativi elevati tra l'altro, che si configura regolarmente ma poi non si connette al server, non prende neanche la regola che impone di settare un pin di sicurezza.

    come scritto sopra, sto cercando dei log che mi aiutino a capire cosa possa avere quel determinato account che non va, se ha qualche restrizione o qualche altro problema, l'ho confrontato con gli account utente standard che funzionano regolarmente in AD, oltre a tutti i gruppi di appartenenza come domain admins, schema admins ecc. quindi con privilegi elevati, appartiene anche ai gruppi standard dei quali fanno parte gli utenti che funzionano regolarmente, quindi mi sembra strano che possa avere problemi di privilegi.

    sapete indicarmi dove cercare informazioni o log che mi aiutino a capire quale sia il problema di quel determinato utente?

    o avete qualche idea sul perchè un determinato utente, creato come tutti gli altri e con privilegi più elevati degli altri possa non connettersi al server exchange?

    sabato 27 febbraio 2016 20:16
  • Il comportamento è "by design". Quando l'utente è membro del gruppo "domain admins" o di un altro "protected group" viene disabilitata la inheritance della security in AD e questo crea problemi ad ActiveSync.

    Qui trovi un buon articolo che spiega il fenomeno:

    https://technet.microsoft.com/en-us/magazine/2009.09.sdadminholder.aspx

    Se riattivi l'inheritance vedrai che ActiveSync inizierà a funzionare correttamente, il problema è che la security verrà poi resettata ogni ora.

    La soluzione sta nella buona e vecchia best practice che consiste nel non assegnare permission elevate agli utenti che usi per accedere ai servizi, ma utilizzare admin dedicati :-)

    Roberto



    Roberto Ferazzi
    Microsoft® MVP Exchange Server
    Moderator in the Microsoft TechNet Forums
    My MVP Profile

    MSExchange.Community

    sabato 27 febbraio 2016 23:08
    Moderatore
  • Buon giorno Roberto e grazie pre la risposta, questa mi è stata veramente utile a capire molte cose.

    riguardo l'utente che non riusciva a connettersi, quello di cui parlavo sopra, credo si trattasse di qualche problema legato alla creazione dell'utenza in Exchange, ho cancellato completamente l'utente in AD e l'ho ricreato exnovo ed ha funzionato correttamente, ora l'unico che non andrebbe in AS sarebbe l'utente Admin, per il quale ho fatto solo un test ed effettivamente corrisponde alla sua descrizione del problema, ovviamente l'utente adimn non accederà mai ad AS.

    ora la mia domanda sarebbe un'altra, quesito che è saltato fuori cercando di riagganciare la vecchia cartella di archivio al nuovo account utente, ho notato che nelle mailbox orfane che è possibile riagganciare, ci sono molte HealthMailBox, presumo siano quelle rimaste dai precedenti test effettuati, ma se volessi riagganciarne una specifica non saprei come identificarla, ad esempio la mailbox dell'archivio dell'utente ricreato.

    chiedo questo perchè ho pensato che questa necessità potrebbe presentarsi in futuro, potrei avere bisogno di recuperare una mailbox di un utente, ma come faccio a capire a quale utente è riferita una specifica mailbox tgra le orfane?

    grazie e buona giornata.

    Valerio.

    lunedì 29 febbraio 2016 08:08
  • Quando hai bisogno di riconnettere una mailbox non c'è molto da fare, il nome della mailbox è evidente.

    Lascia perdere le HealtMailbox, quelle sono mailbox di servizio, non c'è ragione di riconnetterle. Se elimini la mailbox di Mario Rossi e la vuoi riconnettere vedrai che tra le "disconnected mailbox" ce ne sarà una che si chiama Mario Rossi.

    Un favore, se in questo thread ci sono informazioni che ti sono state utili nella soluzione del problema segna le risposte, in modo che questo thread sia chiuso. Se hai altre necessità apri un nuovo thread in modo da tenere separati gli argomenti.

    Grazie

    Roberto



    Roberto Ferazzi
    Microsoft® MVP Exchange Server
    Moderator in the Microsoft TechNet Forums
    My MVP Profile

    MSExchange.Community

    martedì 8 marzo 2016 08:42
    Moderatore