Exchange ActiveSync utilizadores não conseguem sincronizar um dispositivo EAS pela primeira vez num ambiente Exchange Server

Número original da BDC: 2579075

Sintomas

Um utilizador não consegue sincronizar um dispositivo microsoft Exchange ActiveSync (EAS) pela primeira vez.

Quando este problema ocorre, o seguinte evento é registado no Registo de aplicações no Visualizador de Eventos:

Source: MSExchange ActiveSync
Event ID: 1053
Task Category: Configuration
Description:

Exchange ActiveSync doesn't have sufficient permissions to create the "CN=MailboxName,OU=OrganizationalUnitName,DC=domain,DC=suffix" container under Active Directory user "Active Directory operation failed on DOMAINCONTROLLER.domain.suffix. This error is not retriable. Additional information: Access is denied.

Active directory response: 00000005: SecErr: DSID-031521D0, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0".

Make sure the user has inherited permission granted to domain\Exchange Servers to allow List, Create child, Delete child of object type "msExchangeActiveSyncDevices" and doesn't have any deny permissions that block such operations.

Causa

Este problema pode ocorrer se o principal de segurança direitos de proprietário não tiver permissões de Controlo total na conta de utilizador que está a tentar sincronizar o dispositivo EAS.

Resolução

Para contornar este problema, atribua ao grupo Exchange Servers o direito de alterar as permissões em relação msExchActiveSyncDevices aos objetos. Para tal, siga estes passos:

  1. Comece Utilizadores e Computadores do Active Directory.
  2. Clique em Ver e, em seguida, clique para ativar Funcionalidades Avançadas.
  3. Clique com o botão direito do rato no objeto onde pretende alterar as permissões de Exchange Server e, em seguida, clique em Propriedades.

    Nota

    Pode alterar as permissões relativamente a um utilizador, a uma unidade organizacional ou a um domínio.

  4. No separador Segurança , clique em Avançadas.
  5. Clique em Adicionar, escreva Exchange Servers e, em seguida, clique em OK.
  6. Na caixa Aplicar a , clique em Descendente msExchActiveSync Objetos de dispositivos.
  7. Em Permissões, clique para ativar a opção Modificar Permissões.
  8. Clique em OK três vezes.

Mais informações

Na primeira vez que um utilizador tenta sincronizar um dispositivo EAS, o Exchange Server tenta criar um contentor do tipo msExchActiveSyncDevices sob o objeto de utilizador no Active Directory Domain Services (AD DS). Em seguida, o Exchange Server tenta alterar as permissões no contentor.

Por predefinição, o grupo Exchange Server tem direitos para criar e eliminar msExchActiveSyncDevices objetos. No entanto, o grupo Exchange Server não tem direitos para alterar permissões no msExchActiveSyncDevices. Em vez disso, os direitos são herdados do principal de segurança direitos de proprietário. Por predefinição, o principal de segurança Direitos de Proprietário tem permissões de Controlo total.

Se as permissões do principal de segurança direitos de proprietário forem alteradas, o problema descrito na secção "Sintomas" pode ocorrer. Por exemplo, este problema pode ocorrer se o principal de segurança direitos de proprietário tiver permissões de leitura em msExchActiveSyncDevices objetos.

A resolução de problemas do ActiveSync com Exchange Server instruções guiadas ajuda a resolver os seguintes problemas:

  • Não é possível criar um perfil no dispositivo
  • Não é possível ligar ao servidor
  • Problemas de correio
  • Problemas de calendário
  • Atrasos no desempenho do dispositivo/CAS

Para obter mais informações sobre o principal de segurança direitos de proprietário no AD DS, veja AD DS: Direitos de Proprietário.