EAS Objekte im AD

Vielleicht habe Sie schon bemerkt, dass neuere Versionen von Exchange die ActiveSync-Partnerschaften auch im Active Directory hinterlegen. Exchange 2003 hat dies nur im Postfach in einem verborgenen Ordner getan. Das ist natürlich knifflig für eine Auswertung dann zu sehen, welche Geräte genutzt werden.

Da das natürlich auch in der "Cloud" schlecht skaliert, legen neuere Exchange Versionen (ab 2010) auch Informationen im Active Directory ab.

Geräte am Benutzerobjekt

Eine LDAP-Suche geht schnell. Hier die Einträge an meinem Benutzerobjekt.

Damit das funktioniert, müssen die Exchange Server natürlich bei der ersten Einrichtung eines Clients auch bei den Benutzern die Daten schreiben können. Und da gibt es drei mögliche Probleme.

  • RemoteDC und Firewall
    Die Änderungen erfolgen am Benutzerobjekt und können nur auf einem Domaincontroller der Benutzerdomäne geschrieben werden. Wenn eine Firma also sehr viele auch geografisch verteilte Domänen hat, muss sicherstelle, dass die Exchange CAS Server auch die Benutzerdomäne erreichen können. Namensauflösung, Firewalls, Router oder andere Netzwerkeinflüsse können dies verhindern.
  • AdminSDHolder
    Beliebtes Thema ist immer noch, dass ein Administrator ein Postfach hat und die Funktion AdminSDHolder die Vererbung von Berechtigungen abschaltet.
    (Siehe auch AdminSDHolder)
  • Fehlende Rechte (z. B. bei InetOrgPerson)
    Microsoft hat "leider" vergessen, dass die Exchange Server auch Rechte auf "INETORG-Person"-Objekte brauchen. Benutzer müssen nicht zwingend Objekte der Klasse "User" sein.

    Allerdings kann man sehr einfach ein Objekt von InetOrg-Person zu User und zurück konvertieren.
    Set-ADUser username  -Add @{objectClass='inetOrgPerson'}
    Set-ADUser username -Remove @{objectClass='inetOrgPerson'}

Das perfide dabei ist, dass diese Probleme fast alle nur die "Ersteinrichtung" betreffen. Ist eine Partnerschaft erst einmal eingerichtet, dann passiert an dem Objekte ja nichts mehr.

Globale Gerätetypen

Abseits der Benutzer speichert Exchange aber auch noch eine Liste der Geräte in der "Configuration"-Partition von Exchange. Das Commandlet Get-ActiveSyncDeviceClass" listet alle Geräteklassen auf:

Dazu sucht es aber nicht die Geräte bei allen Benutzer per LDAP zusammen und schaut erst recht nicht nach den Partnerschaften in den Postfächern, sondern bedient sich einer anderen Liste, die Exchange 2010 parallel pflegt.

CN=Devicename,CN=ExchangeDeviceClasses,CN=Mobile Mailbox Settings,CN=<orgname>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=netatwork,DC=de

So haben Sie schnell einen Überblick über alle Geräteklassen, die in ihrem System eingesetzt werden.

Weitere Links