ActiveSync funktioniert nur bei einigen und nicht allen Benutzern (Exchange Server 2007/10)

Vor kurzem bin ich auf ein interessantes Problem gestoßen. Einer meiner Mitarbeiter war nicht in der Lage sein Windows 7 Phone mit unserem Exchange Server 2010 zu verbinden. Selbst verständlich habe ich alle Einstellungen auf seitens des Exchange Servers überprüft und kam zu dem Ergebnis, dass das Telefon eigentlich synchronisieren sollte. Was mich am meisten daran wunderte, war das ich mit meinem Windows 7 Phone keine solche Probleme gehabt habe. Nach längerem Suchen bin ich über folgende Blogeintrag von Alen Harding gestolpert: http://alanhardisty.wordpress.com/2010/03/05/activesync-not-working-on-exchange-2010-when-inherit-permissions-not-set/

Anscheinend gibt es zwei mögliche Ursachen für dieses Problem, das übrigens nichts mit dem Betriebssystem auf dem Telefon zu tun hat:

1. Wenn man nicht alle Benutzer in derselben OU liegen hat, kann es vorkommen, dass benötigte Exchange-Berechtigungen nicht vererbt werden. Dieses Problem ist sehr einfach zu lösen, indem man in die Eigenschaften des Benutzerkontos geht (bitte dran denken vorher die Erweiterte Ansicht in der MMC einzuschalten) und dort auf dem Reiter Sicherheit unter Erweitert die Vererbung wieder einschaltet. Danach sollte man in der Lage sein das Telefon mit dem Postfach zu synchronisieren.

2. Wenn der Benutzer Mitglied eines der eingebauten Windows Gruppen ist, dann kann es sein, dass man zwar beim ersten Mal synchronisieren kann, aber dass das System danach die automatische Synchronisation einstellt. Ursache hierfür ist, dass Active Directory etwas, das sich AdminSDHolder nennt nutzt, um die Berechtigungen dieser Gruppen festzulegen. Obwohl es möglich ist die Vererbungseinstellungen zu verändert, läuft alle 60 Minuten ein Dienst mit dem Namen SDPROP auf dem PDC-Emulator und setzt die Berechtigungen für die administrativen Gruppen zurück.

Daher empfiehlt Microsoft (und so nebenbei ist es Best Practice), dass jeder Administrator zwei Konten haben soll. Eines für die tägliche Arbeit und eines zum Administrieren der Infrastruktur.

Hier noch die Liste der betroffenen Gruppen:
Konten-Operatoren
Administratoren
Sicherungs-Operatoren
Domänen-Admins
Domänencontroller
Organisations-Admins
Druck-Operatoren
Schreibgeschützte Domänencontroller
Replicator (ich weiß leider nicht wie diese Gruppe auf Deutsch heißt…)
Schema-Admins
Server-Operatoren

Folgende Benutzer sind auch davon betroffen:
Administrator
Krbtgt

Quelle: Alan Hardisty’s Blog

vor 2021 Tage von in Exchange | Folge der Unterhaltung und abonniere den RSS-Feed.
Über den Autor

Hi, ich bin Link und Mitarbeiter bei nexweaver. Ich beantworte Ihnen hier Ihre Fragen rund um die Welt des Unified Communications & Collaboration. Meistens jedoch muss ich mich Bleeps Fragen & Wünschen stellen.

Kommentar schreiben