none
exchange 2016: activesync corrotto RRS feed

  • Domanda

  • allora scenario, migrazione in corso da exchange 2010 a exchange 2016

    passo delle mailbox di prova e mi trovo in questa situazione

    MAPI over HTTP e , /OWA funzionano per tutte le mailbox

    activesync (collegamento da IOS e android per capirci) sulle mailbox create nel 2010 funziona, sulle mailbox + vecchie create ancora nel 2003 niente da fare, cosa succede: si mettono tutti i dati di accesso ma il server exchange non restituisce l'avviso di "amministrazione remota dispositivo" e non conclude la configurazione. Infatti se lancio il comando get-mobiledevicestatistics non mi mostra nessun dispositivo aggiunto

    vado con delle immagini che sono + esemplificative
    questi sono i passaggi corretti su una mailbox 2010 (chiamamole così quelle create in exchange 2010)

    1. metto i dati

    2. avviso certificato autoprodotto

    3. avviso amministrazione sicurezza remota

    4. configuro la sincronizzazione

    5. autorizzo l'amministrazione remota

    6. fatto

    7. sono dentro alle email



    • Modificato paso65 venerdì 11 marzo 2016 10:39
    venerdì 11 marzo 2016 10:34

Risposte

  • ho trovato che potrebbe essere dovuto al fatto che una volta queste utenze erano del gruppo administrator, vedi

    https://technet.microsoft.com/en-us/magazine/2009.09.sdadminholder.aspx

    ora non lo sono più ma mantengono un attributo che blocca una ereditarietà dei permessi dall'oggetto padre (credo di aver capito)

    infatti lanciando il comando

    Adfind.exe -b DC=domain,DC=com -f "&(objectcategory=person)(samaccountname=*)(admincount=1)" -dn

    ho trovato l'utente in questione

    ora la guida al link sopra parla nel paragrafo "Orphaned AdminSDHolder Objects", che bisogna intervenire a mano sugli orfani e che microsoft ha sviluppato uno script per riabilitare l'ereditarietà

    io devo fare quello che descrivono nel WORKAROUND>Method 1  ? giusto?

    l'hotfix e solo per windows 2003 non credo che debba installarlo sui DC anche perchè adessi i DC sono due 2012R2 con foresta e dominio a livello 2008

    c'è qualche MVP che mi può dire se sto per fare una cavolata?

    grazie mille,
    Nicola

    • Contrassegnato come risposta paso65 venerdì 11 marzo 2016 16:35
    venerdì 11 marzo 2016 15:58

Tutte le risposte

  • Questi invece sono i passaggi con una mailbox 2003, come vedrete manca avviso "amministrazione remota" e relativa schermata di autorizzazione, il telefono rimane in un limbo, non accede alla mailbox e non viene registrato come device per quella mail box. Se lancio il comando get-mobiledevicestatistics non lo vedo registrato

    avete qualche idea?

    ho provato a controllare qui C:\Program Files\Microsoft\Exchange Server\V15\Logging\CasSyncLogs ma non ci sono log

    dove posso controllare? cosa posso controllare?

    gia provato con IOS da un ipad e fa la stessa cosa, provato anche con altre mailbox e idem

    provato da android con app Outlook ma non fa niente, credo non gli piaccia il certificato autoprodotto

    secondo me c'è qualche intoppo in active directory sulle utenze ma non saprei cosa controllare

    se hai letto fino a qui grazie mille, spero di avere qualche illuminazione prima di backuppare contenuto in un .pst piallare le mailbox e ricrearle

    grazie mille a tutti,
    Nicola


    • Modificato paso65 venerdì 11 marzo 2016 10:41
    venerdì 11 marzo 2016 10:34
  • ho trovato che potrebbe essere dovuto al fatto che una volta queste utenze erano del gruppo administrator, vedi

    https://technet.microsoft.com/en-us/magazine/2009.09.sdadminholder.aspx

    ora non lo sono più ma mantengono un attributo che blocca una ereditarietà dei permessi dall'oggetto padre (credo di aver capito)

    infatti lanciando il comando

    Adfind.exe -b DC=domain,DC=com -f "&(objectcategory=person)(samaccountname=*)(admincount=1)" -dn

    ho trovato l'utente in questione

    ora la guida al link sopra parla nel paragrafo "Orphaned AdminSDHolder Objects", che bisogna intervenire a mano sugli orfani e che microsoft ha sviluppato uno script per riabilitare l'ereditarietà

    io devo fare quello che descrivono nel WORKAROUND>Method 1  ? giusto?

    l'hotfix e solo per windows 2003 non credo che debba installarlo sui DC anche perchè adessi i DC sono due 2012R2 con foresta e dominio a livello 2008

    c'è qualche MVP che mi può dire se sto per fare una cavolata?

    grazie mille,
    Nicola

    • Contrassegnato come risposta paso65 venerdì 11 marzo 2016 16:35
    venerdì 11 marzo 2016 15:58
  • risolto :)

    SI il problema è che i vecchi utenti una volta erano amministratori (errori di gioventù quando avevo iniziano da poco a famigliarizzare con AD). fino ad exchange 2010 non ho mai avuto problemi con il 2016 activesync se l'utente era un vecchio amministratore o cmq risulta nell'elenco che si ha con il comando adfind sopra riportato bisogna ripulirlo per fargli usare activesync

    una volta ripuliti con lo script vbs gentilmente offerto da microsoft, se non vi vuole aspettare un'ora si può forzare l'esecuzione di SDPROP ma c'è un passaggio da aggiornare rispetto alla guida del link sopra

    sui DC 2008R2 in poi al punto sette 7. lasciare campo DN vuoto, mettere RunProtectAdminGroupsTask dentro il campo attributo, mettere 1 dentro al campo valore, cliccare su Invia, e poi cliccare su Esegui.

    se riguardi la lista cod adfind.exe troverai solo gli amministratori che giustamente son protetti da AdminSDHolder

    ORA puoi continuare a configurare activeSync per tutti i tuoi ex-admin :)

    per fortuna che c'è internet,
    ciao a tutti
    Nicola

    venerdì 11 marzo 2016 16:35