Exchange ActiveSync Benutzer können ein EAS-Gerät nicht zum ersten Mal in einer Exchange Server-Umgebung synchronisieren.
Ursprüngliche KB-Nummer: 2579075
Symptome
Ein Benutzer kann ein Microsoft Exchange ActiveSync -Gerät (EAS) nicht zum ersten Mal synchronisieren.
Wenn dieses Problem auftritt, wird das folgende Ereignis im Anwendungsprotokoll in Ereignisanzeige protokolliert:
Source: MSExchange ActiveSync
Event ID: 1053
Task Category: Configuration
Description:
Exchange ActiveSync doesn't have sufficient permissions to create the "CN=MailboxName,OU=OrganizationalUnitName,DC=domain,DC=suffix" container under Active Directory user "Active Directory operation failed on DOMAINCONTROLLER.domain.suffix. This error is not retriable. Additional information: Access is denied.
Active directory response: 00000005: SecErr: DSID-031521D0, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0".
Make sure the user has inherited permission granted to domain\Exchange Servers to allow List, Create child, Delete child of object type "msExchangeActiveSyncDevices" and doesn't have any deny permissions that block such operations.
Ursache
Dieses Problem kann auftreten, wenn der Sicherheitsprinzipal "Besitzerrechte" nicht über Vollzugriffsberechtigungen für das Benutzerkonto verfügt, das versucht, das EAS-Gerät zu synchronisieren.
Lösung
Um dieses Problem zu umgehen, weisen Sie der Gruppe Exchange Server das Recht zu, Berechtigungen für msExchActiveSyncDevices
Objekte zu ändern. Gehen Sie dazu wie folgt vor:
- Starten Sie "Active Directory-Benutzer und -Computer".
- Klicken Sie auf Ansicht, und klicken Sie dann, um Erweiterte Features zu aktivieren.
- Klicken Sie mit der rechten Maustaste auf das Objekt, in dem Sie die Exchange Server Berechtigungen ändern möchten, und klicken Sie dann auf Eigenschaften.
Hinweis
Sie können Berechtigungen für einen Benutzer, eine Organisationseinheit oder eine Domäne ändern.
- Klicken Sie auf der Registerkarte Sicherheit auf Erweitert.
- Klicken Sie auf Hinzufügen, geben Sie Exchange-Server ein, und klicken Sie dann auf OK.
- Klicken Sie im Feld Übernehmen für auf Nachfolger msExchActiveSyncGeräteobjekte.
- Klicken Sie unter Berechtigungen auf , um Berechtigungen ändern zu aktivieren.
- Klicken Sie dreimal auf OK.
Weitere Informationen
Wenn ein Benutzer zum ersten Mal versucht, ein EAS-Gerät zu synchronisieren, versucht der Exchange Server, einen Container des Typs msExchActiveSyncDevices
unter dem Benutzerobjekt in Active Directory Domain Services (AD DS) zu erstellen. Der Exchange Server versucht dann, berechtigungen für den Container zu ändern.
Standardmäßig verfügt die Exchange Server Gruppe über Berechtigungen zum Erstellen und Löschen von msExchActiveSyncDevices
Objekten. Die Exchange Server Gruppe verfügt jedoch nicht über Berechtigungen zum Ändern von Berechtigungen für msExchActiveSyncDevices
. Stattdessen werden die Rechte vom Sicherheitsprinzipal "Besitzerrechte" geerbt. Standardmäßig verfügt der Sicherheitsprinzipal "Besitzerrechte" über Vollzugriffsberechtigungen.
Wenn die Berechtigungen für den Sicherheitsprinzipal "Besitzerrechte" geändert werden, kann das im Abschnitt "Symptome" beschriebene Problem auftreten. Dieses Problem kann beispielsweise auftreten, wenn der Sicherheitsprinzipal Besitzerrechte über Leseberechtigungen für msExchActiveSyncDevices
Objekte verfügt.
Die exemplarische Vorgehensweise problembehandlung bei ActiveSync mit Exchange Server hilft bei der Behandlung der folgenden Probleme:
- Erstellen eines Profils auf dem Gerät nicht möglich
- Herstellen einer Verbindung mit dem Server nicht möglich
- E-Mail-Probleme
- Kalenderprobleme
- Verzögerungen bei geräte-/CAS-Leistung
Weitere Informationen zum Sicherheitsprinzipal für Besitzerrechte in AD DS finden Sie unter AD DS: Besitzerrechte.
Feedback
https://aka.ms/ContentUserFeedback.
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unterFeedback senden und anzeigen für