EAS Objekte im AD
Vielleicht habe Sie schon bemerkt, dass neuere Versionen von Exchange die ActiveSync-Partnerschaften auch im Active Directory hinterlegen. Exchange 2003 hat dies nur im Postfach in einem verborgenen Ordner getan. Das ist natürlich knifflig für eine Auswertung dann zu sehen, welche Geräte genutzt werden.
Da das natürlich auch in der "Cloud" schlecht skaliert, legen neuere Exchange Versionen (ab 2010) auch Informationen im Active Directory ab.
Geräte am Benutzerobjekt
Eine LDAP-Suche geht schnell. Hier die Einträge an meinem Benutzerobjekt.
Damit das funktioniert, müssen die Exchange Server natürlich bei der ersten Einrichtung eines Clients auch bei den Benutzern die Daten schreiben können. Und da gibt es drei mögliche Probleme.
- RemoteDC und Firewall
Die Änderungen erfolgen am Benutzerobjekt und können nur auf einem Domaincontroller der Benutzerdomäne geschrieben werden. Wenn eine Firma also sehr viele auch geografisch verteilte Domänen hat, muss sicherstelle, dass die Exchange CAS Server auch die Benutzerdomäne erreichen können. Namensauflösung, Firewalls, Router oder andere Netzwerkeinflüsse können dies verhindern. - AdminSDHolder
Beliebtes Thema ist immer noch, dass ein Administrator ein Postfach hat und die Funktion AdminSDHolder die Vererbung von Berechtigungen abschaltet.
(Siehe auch AdminSDHolder) - Fehlende Rechte (z. B. bei InetOrgPerson)
Microsoft hat "leider" vergessen, dass die Exchange Server auch Rechte auf "INETORG-Person"-Objekte brauchen. Benutzer müssen nicht zwingend Objekte der Klasse "User" sein.
Das perfide dabei ist, dass diese Probleme fast alle nur die "Ersteinrichtung" betreffen. Ist eine Partnerschaft erst einmal eingerichtet, dann passiert an dem Objekte ja nichts mehr.
Globale Gerätetypen
Abseits der Benutzer speichert Exchange aber auch noch eine Liste der Geräte in der "Configuration"-Partition von Exchange. Das Commandlet Get-ActiveSyncDeviceClass" listet alle Geräteklassen auf
- Get-ActiveSyncDeviceClass
Exchange 2013: http://technet.microsoft.com/en-us/library/ff731393.aspx
Exchange 2010: http://technet.microsoft.com/en-us/library/ff731393(v=exchg.141).aspx
Dazu sucht es aber nicht die Geräte bei allen Benutzer per LDAP zusammen und schaut erst recht nicht nach den Partnerschaften in den Postfächern, sondern bedient sich einer anderen Liste, die Exchange 2010 parallel pflegt.
CN=Devicename,CN=ExchangeDeviceClasses,CN=Mobile Mailbox Settings,CN=<orgname>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=netatwork,DC=de
So haben Sie schnell einen Überblick über alle Geräteklassen, die in ihrem System eingesetzt werden.
Weitere Links
- EAS Auswertungen
- EAS Quarantäne
- AdminSDHolder
- Get-ActiveSyncDevice
http://technet.microsoft.com/en-us/library/dd335068.aspx - Exchange 2010 Deployment Permissions Reference
http://technet.microsoft.com/en-us/library/ee681663.aspx - MSExchange ActiveSync EventID 1053
http://www.ldap389.info/en/2011/01/17/msexchange-activesync-eventid-1053/ - Exchange 2010 Active Sync Issue
http://blog.nick.mackechnie.co.nz/post/2009/11/20/Exchange-2010-Active-Sync-Issue.aspx
