Exchange ActiveSyncユーザーがEXCHANGE SERVER環境で初めて EAS デバイスを同期できない
元の KB 番号: 2579075
現象
ユーザーが初めて Microsoft Exchange ActiveSync (EAS) デバイスを同期することはできません。
この問題が発生すると、次のイベントがイベント ビューアーのアプリケーション ログに記録されます。
Source: MSExchange ActiveSync
Event ID: 1053
Task Category: Configuration
Description:
Exchange ActiveSync doesn't have sufficient permissions to create the "CN=MailboxName,OU=OrganizationalUnitName,DC=domain,DC=suffix" container under Active Directory user "Active Directory operation failed on DOMAINCONTROLLER.domain.suffix. This error is not retriable. Additional information: Access is denied.
Active directory response: 00000005: SecErr: DSID-031521D0, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0".
Make sure the user has inherited permission granted to domain\Exchange Servers to allow List, Create child, Delete child of object type "msExchangeActiveSyncDevices" and doesn't have any deny permissions that block such operations.
原因
この問題は、EAS デバイスを同期しようとしているユーザー アカウントに対する完全な制御アクセス許可が Owner Rights セキュリティ プリンシパルに付与されていない場合に発生する可能性があります。
解決方法
この問題を回避するには、Exchange Server グループにオブジェクトに対する msExchActiveSyncDevices
アクセス許可を変更する権限を割り当てます。 これを行うには、次の手順を実行します。
- Active Directory ユーザーとコンピューターを起動します。
- [ 表示] をクリックし、[ 高度な機能] をクリックして有効にします。
- Exchange Serverのアクセス許可を変更するオブジェクトを右クリックし、[プロパティ] をクリックします。
注:
ユーザー、組織単位、またはドメインに対するアクセス許可を変更できます。
- [ セキュリティ ] タブで、[ 詳細設定] をクリックします。
- [ 追加] をクリックし、「 Exchange サーバー」と入力し、[OK] をクリック します。
- [ 適用先 ] ボックスで、[ 子孫 msExchActiveSyncDevices オブジェクト] をクリックします。
- [ アクセス許可] で、[ アクセス許可の変更] をクリックして有効にします。
- [OK] を 3 回クリックします。
詳細
ユーザーが初めて EAS デバイスを同期しようとすると、Exchange Serverは、Active Directory Domain Services (AD DS) 内のユーザー オブジェクトの下に型msExchActiveSyncDevices
のコンテナーを作成しようとします。 Exchange Serverでは、コンテナーに対するアクセス許可の変更が試行されます。
既定では、Exchange Server グループにはオブジェクトを作成および削除msExchActiveSyncDevices
する権限があります。 ただし、Exchange Server グループには に対msExchActiveSyncDevices
するアクセス許可を変更する権限がありません。 代わりに、権限は Owner Rights セキュリティ プリンシパルから継承されます。 既定では、Owner Rights セキュリティ プリンシパルにはフル コントロールアクセス許可があります。
Owner Rights セキュリティ プリンシパルのアクセス許可が変更されると、「現象」セクションに記載されている問題が発生する可能性があります。 たとえば、この問題は、Owner Rights セキュリティ プリンシパルにオブジェクトに対する読み取りアクセス許可がある場合に発生する msExchActiveSyncDevices
可能性があります。
ガイド付きチュートリアルExchange Server使用した ActiveSync のトラブルシューティングは、次の問題のトラブルシューティングに役立ちます。
- デバイスでプロファイルを作成できない
- サーバーに接続できない
- メールの問題
- 予定表の問題
- デバイス/CAS パフォーマンスの遅延
AD DS の Owner Rights セキュリティ プリンシパルの詳細については、「AD DS: Owner Rights」を参照してください。
フィードバック
https://aka.ms/ContentUserFeedback」を参照してください。
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「フィードバックの送信と表示