none
Не заводятся некоторые пользователи на apple устройствах. RRS feed

  • Вопрос

  • Стоит 2010 Exch +sp3

    Тупо наружу опубликован 443 порт.

    Сертификат сгенерирован местным CA содержит в SNA имена autodiscover и  доменное имя mail.домен - для создания подключения.

    Вопрос в следующем некоторые пользователи могут настроить ipad-iphone  некоторые нет.

    Притом некоторые из пользователей были на старом сервере раньше и были мигрированы их ящики на этот сервер, и опять же некоторые настраиваются некторые нет(Тоесть просто и-устройство говорит не удалось проверить подключение к ящику)

    Вопрос - как эту проблему можно было бы поотслеживать, логи или в реальном режиме времени посмотреть что происходит и почему происходит отлуп. Оддебажить нужно в целом - очень странная ситуация, где в exche 2010 включить тот или иной мониторинг - не нашёл? 

    Куда копать, коллеги?

Ответы

  • В ADUC - на учётках поделал унаследовать разрешения и обратно.

    Помогло - вставляются разрешения на "Отправить от" 

    Пойду проверять Айфоны.

  • Сделать учетную запись с правами администратора отдельно, а эту учетную запись как обычного пользователя.

    Это сделано специально для повышения уровня безопасности.


    MCITP. Знание - не уменьшает нашей глупости.

    • Помечено в качестве ответа Rainmib 17 мая 2013 г. 12:59
    Модератор

Все ответы

  • Добрый день.

    Проверьте в свойствах у этих учетных записей в AD включено ли наследование разрешений на вкладке безопасность.


    Blog - Smtp25.ru

    Отвечающий
  • Согласен с Максимом , хочу добавить если даже и включено , иногда не помогает .

    Помогает выключить наследование и включить заново.

  • А как это сделать.

    Обратил внимания что в правах на почтовый ящик на "Отправлять от" нету пользоваля NT AUTHORITY\Self

    А у рабочих ящиков такая настройка присутствует.

    На попытку добавить какое либо разрешение на ящик - выпадает ошибка:

    Сводка: всего элементов: 1. Успешно: 0, с ошибками: 1.
    Прошло времени: 00:00:00

    NT AUTHORITY\SELF

    Ошибка:
    Операция Active Directory над dc.domain.local не выполнена. Данная ошибка не допускает повторения попытки. Дополнительные сведения: Отказано в доступе.
    Отклик Active Directory: 00000005: SecErr: DSID-03151E04, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0


    У пользователя недостаточно прав.
    Нажмите здесь для получения справки... http://technet.microsoft.com/ru-RU/library/ms.exch.err.default(EXCHG.141).aspx?v=14.3.123.3&t=exchgf1&e=ms.exch.err.Ex6AE46B

    Попытка выполнения команды командной консоли Exchange:
    Add-ADPermission -Identity 'CN=Иванов Сергей,OU=Users,OU=Admins,OU=Domain,DC=Domain-1,DC=local' -User 'NT AUTHORITY\SELF' -ExtendedRights 'Send-as'

    Прошло времени: 00:00:00

    Как это разрешить? Или перенаследовать права???

    Права на Фул контрол меняются нормально

  • В ADUC - на учётках поделал унаследовать разрешения и обратно.

    Помогло - вставляются разрешения на "Отправить от" 

    Пойду проверять Айфоны.

  • Не помогло:

    Проверка учетной записи проходит, а при получении почты "подключение не удалось" ну собственно как и было.

  • День добрый.

    1. Проверить включена ли OWA у пользователя.

    2. Проверить нет ли ограничений или групп безопасности на доступ к IIS.

    3. Проверить, что root сертификат PKI импортирован на устройство.

    4. Проверить включенное наследование в ADUC.

    5. Смотреть логи подключения на IIS.

    6. Повысить уровень логирования служб CAS Exchange и смотреть лог приложения. 


    MCITP. Знание - не уменьшает нашей глупости.

    Модератор
  • Что удивительно просто слетели те настройки безопасности которые я делел.

    Полез снова - снова не стоит галочка наследовать разрешения - поставил её - всё заработало. Жду когда опять слетит... Магия какая то :((

    По пунктам можно ли поподробнее:

    1. включён конечно

    2. Нет ограничений 

    3. как ипортировать на афйвон айпад руут сертификат СА? по почте его себе отправить?

    4. Основной пункт - я включал через час смотрю оно опять выключено - включаю - работает - выключаю не работает.

    5. логи веб сервера самого? 

    6. Где уровень логирования задаётся в 2010 и какая конкретно служба нужна?

  • Настройки будут выключаться пока пользователь входит в группу администраторов. :)

    Сертификат выслать через Gmail себе на почтовый ящик и принять, ввести пароль при импорте. 

    Логи ошибок соединений в IIS пишутся, если включены. 

    Manage Diagnostic Logging Levels


    MCITP. Знание - не уменьшает нашей глупости.

    Модератор
  • Ничерта себе.

    Пользователь и в правду входит в группу администраторов и что делать?

  • Сделать учетную запись с правами администратора отдельно, а эту учетную запись как обычного пользователя.

    Это сделано специально для повышения уровня безопасности.


    MCITP. Знание - не уменьшает нашей глупости.

    • Помечено в качестве ответа Rainmib 17 мая 2013 г. 12:59
    Модератор
  • Ну тоесть победить Exchange не удастся никак.

    Ладно спасибо большое, полезные знания.

  • Ничерта себе.

    Пользователь и в правду входит в группу администраторов и что делать?

    “Exchange ActiveSync doesn’t have sufficient permissions to create the container” (EventID 1053)

    Blog - Smtp25.ru

    Отвечающий
  • Тоесть если я успею пока держутся унаследованные разрешения на нужную учётку синхронизоваться с мобильным девайсом то он будет и дальше работать???? А то как то двусмысленно написано.
  • Да, все верно.

    Blog - Smtp25.ru

    Отвечающий