none
[Dúvida] Alterar permissão ActiveSync e inserir modelos de aparelhos RRS feed

  • Pergunta

  • Olá senhores, olha eu aqui de novo. Seguinte pessoal, estou buscando alguma informação sobre o assunto mas não estou encontrando nada que me ajude, então venho a vocês meus nobres colegas. Seguinte, quando um determinado usuário tenta criar uma nova regra no ActiveSync ele não deixa por conta da permissão, ocorre uma falha informando que esse usuário não pode fazer alterações. Então procurei algo na internet sobre como alterar a permissão de um determinado usuário para que ele pudesse fazer as devidas alterações e criações de regras do ActiveSync, mas sem sucesso.

    Outro ponto que esta ocorrendo é que alguns aparelhos, tipo um iPhone não esta conseguindo conectar na conta de e-mail, se eu tento outras de outros provedores externos funciona, mas no ambiente não, detalhe, no ambiente possui outros do mesmo modelo funcionando.

    - É possível cadastrar modelos de aparelhos no ActiveSync? Se sim, como eu faço isso?
    - As regras de acesso do ActiveSync poderiam impedir que determinados modelos conseguissem logar no ambiente? Pelo que sei o ambiente esta com a default, isso nunca foi alterado.
    - Estou anexando algumas imagens que o usuário fez do processo, em algumas é exibido alguns modelos de telefones, acredito que isso é mostrado porque esses modelos uma vez foram sincronizados na conta do usuário, correto?

    Preciso de uma solução, pois os caras estão falando que o problema é no Exchange, mas o problema é isolado, ocorre apenas em alguns poucos aparelhos, segundo eles informaram o erro pode esta relacionado as regras que eles não conseguem criar, e que se chegar a cria-las isso funcionaria. Espero espero que as imagens possam ajudar.

    Usuário sem modelos de aparelhos
    https://social.technet.microsoft.com/Forums/getfile/872134
    https://social.technet.microsoft.com/Forums/getfile/872130
    https://social.technet.microsoft.com/Forums/getfile/872131

    Cadastrando a regra
    https://social.technet.microsoft.com/Forums/getfile/872129
    https://social.technet.microsoft.com/Forums/getfile/872133

    Usuários com modelos cadastrados
    https://social.technet.microsoft.com/Forums/getfile/872132
    https://social.technet.microsoft.com/Forums/getfile/872135

    Quando o usuário que não possui aparelhos tenta criar a regra ocorre o erro que ele não possui permissão, o mesmo é membro do domain admins da rede, como eu nunca precisei alterar esse tipo de regra, não faço a minima ideia de onde fazer para deixar o usuário dele com tal permissão. Ai esse tal usuário me mandou a seguinte mensagem abaixo, não sei também se esta tudo certo ou mais menos.

    "Pra usar o App do outlook, vc precisa cadastrar o modelo exato do meu aparelho no Exchange, ele exige isso justamente pra controle de licenças. Exemplo: caso vc ja tenha cadastrado um Motorola modelo 123 para o usuário joao, vc deve replicar esse aparelho pra mim que tem o mesmo aparelho. Não posso simplesmente tentar acessar. Outra coisa, baixei um app aqui e consegui, mas não é da Microsoft é de outro desenvolvedor."

    sábado, 4 de junho de 2016 03:46

Respostas

  • Wesley,

    Já vi diversos problemas semelhantes de sync de emails no iPhone, que em cada update que lança atrapalha algo no ActiveSync. O KB2563324 descreve ma séria de correções que foram realizadas, versão após versão do iOS.

    Current issues with Microsoft Exchange ActiveSync and third-party devices
    https://support.microsoft.com/en-us/kb/2563324

    Outra questão semelhante que já vi é das contas usadas já terem privilégios administrativos, alguma vez na sua existência. Se isso ocorrer, falhas nas permissões podem impeder o sync corretamente. Para forçar, você pode reaplicar as permissões, como descrito abaixo.

    ActiveSync users cannot synchronize an EAS device for the first time in an Exchange Server environment
    https://support.microsoft.com/en-us/kb/2579075

    Se nada disso adiantar, pode habilitar o modo debug do ActiveSync, e direcionar os logs para seu email. Com isso, conseguimos analisar o motive dele não estar sincronizando.

    Set-CASMailbox alias -ActiveSyncDebugLogging:$true
    Get-MobileDeviceStatistics -Mailbox alias -GetMailboxLog:$true -NotificationEmailAddresses admin@contoso.com
    Exchange ActiveSync Mailbox Logging
    https://blogs.technet.microsoft.com/jasonsla/2013/03/19/exchange-activesync-mailbox-logging/

    Att,

    • Marcado como Resposta Thales F Quintas terça-feira, 14 de junho de 2016 20:57
    terça-feira, 14 de junho de 2016 20:47
  • Obrigado pelo retorno Wesley,

    Lendo seu log, me deparei com o seguinte:

    ------------------------------------------------------------------------------------------------

    Exception type: Microsoft.Exchange.AirSync.AirSyncPermanentException
    Exception message:
    Exception level: 0
    HttpStatusCode: InternalServerError
    AirSyncStatusCode: ServerErrorRetryLater
    XmlResponse:
    [No XmlResponse]
    Exception stack trace:    at Microsoft.Exchange.AirSync.ADDeviceManager.CreateActiveSyncDeviceContainer(Boolean retryIfFailed)
       at Microsoft.Exchange.AirSync.ADDeviceManager.CreateActiveSyncDevice(GlobalInfo globalInfo, ExDateTime syncStorageCreationTime, Boolean retryIfFailed)
       at Microsoft.Exchange.AirSync.Command.UpdateADDevice(GlobalInfo globalInfo)
       at Microsoft.Exchange.AirSync.Command.CompleteDeviceAccessProcessing()
       at Microsoft.Exchange.AirSync.Command.WorkerThread()
    Inner exception follows...
    Exception type: Microsoft.Exchange.Data.Directory.ADOperationException
    Exception message: Active Directory operation failed on BRSPUNIDC01.unicafe.local. This error is not retriable. Additional information: Access is denied.
    Active directory response: 00000005: SecErr: DSID-031521D0, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0

    Exception level: 1
    Exception stack trace:    at Microsoft.Exchange.Data.Directory.ADSession.AnalyzeDirectoryError(PooledLdapConnection connection, DirectoryRequest request, DirectoryException de, Int32 totalRetries, Int32 retriesOnServer)
       at Microsoft.Exchange.Data.Directory.ADSession.ExecuteModificationRequest(ADObject entry, DirectoryRequest request, ADObjectId originalId, Boolean emptyObjectSessionOnException)
       at Microsoft.Exchange.Data.Directory.ADSession.Save(ADObject instanceToSave, IEnumerable`1 properties)
       at Microsoft.Exchange.AirSync.ADDeviceManager.CreateActiveSyncDeviceContainer(Boolean retryIfFailed)
    Inner exception follows...
    Exception type: System.DirectoryServices.Protocols.DirectoryOperationException
    Exception message: The user has insufficient access rights.
    Exception level: 2

    ------------------------------------------------------------------------------------------------

    Ou seja, realmente é um erro de permissão, conforme citado no Segundo KB. Não sei se você entendeu bem o segundo KB, mas não é um grupo que precisa ser inserido, mas sim uma permissão que deve ser concedida nas contas afetadas. Para isso, habilite o Advanced Features no ADUC, e vá até a conta e siga o processo descrito abaixo, exatamente da forma como foi descrito. Já tive casos exatamente como o seu, e resolveu desta forma. Seus logs são claros quanto à falta de permissão no AD. Em alguns casos, apenas marcar a opção Include inheritable permissions já resolve.

    1. Start Active Directory Users and Computers.
    2. Click View, and then click to enable Advanced Features.
    3. Right-click the object where you want to change the Exchange Server permissions, and then click Properties.

      Note You can change permissions against a user, an organizational unit, or a domain.
    4. On the Security tab, click Advanced.
    5. Click Add, type Exchange Servers, and then click OK.
    6. In the Apply to box, click Descendant msExchActiveSyncDevices objects.
    7. Under Permissions, click to enable Modify Permissions.
    8. Click OK three times.

    Att,




    quarta-feira, 15 de junho de 2016 12:26

Todas as Respostas

  • Bom dia Wesley P. Rodrigues,

    Seguem algumas documentações que irão lhe auxiliar:

    https://technet.microsoft.com/en-us/library/bb266947(v=exchg.141).aspx

    https://technet.microsoft.com/en-us/library/dd876925.aspx

    https://technet.microsoft.com/en-us/library/dd876928.aspx

    https://technet.microsoft.com/en-us/library/ff959225(v=exchg.141).aspx

    https://blogs.technet.microsoft.com/exchange/2010/11/15/controlling-exchange-activesync-device-access-using-the-allowblockquarantine-list/

    http://exchangeserverpro.com/preventing-new-activesync-device-types-from-connecting-to-exchange-server-2010/

    http://windowsitpro.com/exchange-server-2010/managing-exchange-activesync-device-access

    Abraço


    Thales F Quintas

    Esse conteúdo e fornecido sem garantias de qualquer tipo, seja expressa ou implícita

    TechNet Community Support

    Por favor, lembre-se de Marcar como Resposta as postagens que resolveram o seu problema. Essa é uma maneira comum de reconhecer aqueles que o ajudaram e fazer com que seja mais fácil para os outros visitantes encontrarem a resolução mais tarde.

    segunda-feira, 6 de junho de 2016 13:33
  • Obrigado pelos artigos Tales, não tive tanto tempo assim para lê, mas estou fazendo isso aos poucos.

    Me diz uma coisa, como eu identifico o usuário que possui privilégios administrativos no portal para efetuar o cadastro de um modelo de smartphone? Estou pesquisando sobre isso, mas não encontrei nada, todos os usuários que acesso não tem privilégios para editar essa área.

    terça-feira, 14 de junho de 2016 13:21
  • Boa tarde!

    Consegui acesso a console que precisava, add um user as contas de: Organization Management e do Server Management em Microsoft Exchange Security Groups, depois disso consegui acessar a opção de configuração de regras do Active Sync.

    Depois de quebrar a cabeça e diversas conversas com o usuário acabei descobrindo o seguinte, não existe problemas no ActiveSync, o que ta pegando lá é que existem duas contas de e-mails que não conseguem fazer sincronismo por NENHUM smartphone, então fiz o teste de usar o mesmo dispositivo e outras contas conectam, então o problema esta diretamente nessas contas. Verificando o serviço do ActiveSync esta ativo para a conta do usuário, comparei a conta dele com outros usuários e não vi diferença alguma.

    E agora! Será que a conta esta corrompida e vou ter que recriá-la? Segundo o usuário, essas contas nunca funcionaram em smartphone, somente via Outlook (interno e externo) ou OWA.

    Como corrigir isso?

    terça-feira, 14 de junho de 2016 20:18
  • Wesley,

    Já vi diversos problemas semelhantes de sync de emails no iPhone, que em cada update que lança atrapalha algo no ActiveSync. O KB2563324 descreve ma séria de correções que foram realizadas, versão após versão do iOS.

    Current issues with Microsoft Exchange ActiveSync and third-party devices
    https://support.microsoft.com/en-us/kb/2563324

    Outra questão semelhante que já vi é das contas usadas já terem privilégios administrativos, alguma vez na sua existência. Se isso ocorrer, falhas nas permissões podem impeder o sync corretamente. Para forçar, você pode reaplicar as permissões, como descrito abaixo.

    ActiveSync users cannot synchronize an EAS device for the first time in an Exchange Server environment
    https://support.microsoft.com/en-us/kb/2579075

    Se nada disso adiantar, pode habilitar o modo debug do ActiveSync, e direcionar os logs para seu email. Com isso, conseguimos analisar o motive dele não estar sincronizando.

    Set-CASMailbox alias -ActiveSyncDebugLogging:$true
    Get-MobileDeviceStatistics -Mailbox alias -GetMailboxLog:$true -NotificationEmailAddresses admin@contoso.com
    Exchange ActiveSync Mailbox Logging
    https://blogs.technet.microsoft.com/jasonsla/2013/03/19/exchange-activesync-mailbox-logging/

    Att,

    • Marcado como Resposta Thales F Quintas terça-feira, 14 de junho de 2016 20:57
    terça-feira, 14 de junho de 2016 20:47
  • Olá Bruno, tudo bem. Vamos aos feedbacks.

    Os dois primeiros links não se aplicam ao meu cenário, no meu caso a conta de usuário em questão não consegue se cadastrar em nenhum aparelho, iphone, android e/ou windows phone. Fiz também o processo da MS colocando o grupo informado no segundo link e mesmo erro.

    A conta do usuário fica na tela: Tentando fazer logon e depois da erro por tempo de tentativa excedido, ou seja, ele não consegue conectar. Para gerar o log, eu usei um Samsung com android 4.4.2 ok, apesar de dar erro com qualquer dispositivo.

    Gerei o arquivo de log, segue: Log Exchange


    quarta-feira, 15 de junho de 2016 01:12
  • Obrigado pelo retorno Wesley,

    Lendo seu log, me deparei com o seguinte:

    ------------------------------------------------------------------------------------------------

    Exception type: Microsoft.Exchange.AirSync.AirSyncPermanentException
    Exception message:
    Exception level: 0
    HttpStatusCode: InternalServerError
    AirSyncStatusCode: ServerErrorRetryLater
    XmlResponse:
    [No XmlResponse]
    Exception stack trace:    at Microsoft.Exchange.AirSync.ADDeviceManager.CreateActiveSyncDeviceContainer(Boolean retryIfFailed)
       at Microsoft.Exchange.AirSync.ADDeviceManager.CreateActiveSyncDevice(GlobalInfo globalInfo, ExDateTime syncStorageCreationTime, Boolean retryIfFailed)
       at Microsoft.Exchange.AirSync.Command.UpdateADDevice(GlobalInfo globalInfo)
       at Microsoft.Exchange.AirSync.Command.CompleteDeviceAccessProcessing()
       at Microsoft.Exchange.AirSync.Command.WorkerThread()
    Inner exception follows...
    Exception type: Microsoft.Exchange.Data.Directory.ADOperationException
    Exception message: Active Directory operation failed on BRSPUNIDC01.unicafe.local. This error is not retriable. Additional information: Access is denied.
    Active directory response: 00000005: SecErr: DSID-031521D0, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0

    Exception level: 1
    Exception stack trace:    at Microsoft.Exchange.Data.Directory.ADSession.AnalyzeDirectoryError(PooledLdapConnection connection, DirectoryRequest request, DirectoryException de, Int32 totalRetries, Int32 retriesOnServer)
       at Microsoft.Exchange.Data.Directory.ADSession.ExecuteModificationRequest(ADObject entry, DirectoryRequest request, ADObjectId originalId, Boolean emptyObjectSessionOnException)
       at Microsoft.Exchange.Data.Directory.ADSession.Save(ADObject instanceToSave, IEnumerable`1 properties)
       at Microsoft.Exchange.AirSync.ADDeviceManager.CreateActiveSyncDeviceContainer(Boolean retryIfFailed)
    Inner exception follows...
    Exception type: System.DirectoryServices.Protocols.DirectoryOperationException
    Exception message: The user has insufficient access rights.
    Exception level: 2

    ------------------------------------------------------------------------------------------------

    Ou seja, realmente é um erro de permissão, conforme citado no Segundo KB. Não sei se você entendeu bem o segundo KB, mas não é um grupo que precisa ser inserido, mas sim uma permissão que deve ser concedida nas contas afetadas. Para isso, habilite o Advanced Features no ADUC, e vá até a conta e siga o processo descrito abaixo, exatamente da forma como foi descrito. Já tive casos exatamente como o seu, e resolveu desta forma. Seus logs são claros quanto à falta de permissão no AD. Em alguns casos, apenas marcar a opção Include inheritable permissions já resolve.

    1. Start Active Directory Users and Computers.
    2. Click View, and then click to enable Advanced Features.
    3. Right-click the object where you want to change the Exchange Server permissions, and then click Properties.

      Note You can change permissions against a user, an organizational unit, or a domain.
    4. On the Security tab, click Advanced.
    5. Click Add, type Exchange Servers, and then click OK.
    6. In the Apply to box, click Descendant msExchActiveSyncDevices objects.
    7. Under Permissions, click to enable Modify Permissions.
    8. Click OK three times.

    Att,




    quarta-feira, 15 de junho de 2016 12:26
  • Obrigado Bruno, suas informações foram muito úteis, eu estava fazendo a alteração no AD pelo Exchange, dai ele não estava salvando as informações no profile do usuário, ai fui direto no AD e fiz o mesmo e deu certo, consegui cadastrar a conta em um Android.

    quinta-feira, 16 de junho de 2016 01:17