Exchange ActiveSync -käyttäjät eivät voi synkronoida EAS-laitetta ensimmäistä kertaa Exchange Server -ympäristössä

Alkuperäinen KB-numero:   2579075

Oireet

Käyttäjä ei voi synkronoida Microsoft Exchange ActiveSync (EAS) -laitetta ensimmäistä kertaa.

Kun tämä ongelma ilmenee, seuraava tapahtuma kirjataan Tapahtumienvalvonnan sovelluslokiin:

Source: MSExchange ActiveSync
Event ID: 1053
Task Category: Configuration
Description:

Exchange ActiveSync doesn't have sufficient permissions to create the "CN=MailboxName,OU=OrganizationalUnitName,DC=domain,DC=suffix" container under Active Directory user "Active Directory operation failed on DOMAINCONTROLLER.domain.suffix. This error is not retriable. Additional information: Access is denied.

Active directory response: 00000005: SecErr: DSID-031521D0, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0".

Make sure the user has inherited permission granted to domain\Exchange Servers to allow List, Create child, Delete child of object type "msExchangeActiveSyncDevices" and doesn't have any deny permissions that block such operations.

Syy

Tämä ongelma voi ilmetä, jos Omistajaoikeuksien suojauspääobjektilla ei ole täydet oikeudet käyttäjätiliin, joka yrittää synkronoida EAS-laitteen.

Ratkaisu

Voit kiertää tämän ongelman määrittämällä Exchange-palvelimet-ryhmälle oikeuden muuttaa msExchActiveSyncDevices objektien käyttöoikeuksia. Voit tehdä tämän seuraavasti:

  1. Käynnistä Active Directoryn käyttäjät ja tietokoneet.
  2. Valitse Näytäja ota sitten lisäominaisuudetkäyttöön .
  3. Napsauta hiiren kakkospainikkeella objektia, johon haluat muuttaa Exchange Serverin käyttöoikeuksia, ja valitse sitten Ominaisuudet.

    Huomautus

    Voit muuttaa käyttöoikeuksia käyttäjää, organisaatioyksikköä tai toimialuetta vastaan.

  4. Valitse Suojaus-välilehdessä Lisäasetukset.
  5. Valitse Lisää, kirjoita Exchange-palvelimetja valitse sitten OK.
  6. Valitse Käytä kohteeseen -ruudussa Descendant msExchActiveSyncDevices -objektit.
  7. Ota Käyttöoikeudet -kohdassakäyttöön Muokkaa käyttöoikeuksia.
  8. Valitse OK kolme kertaa.

Lisätietoja

Kun käyttäjä yrittää ensimmäistä kertaa synkronoida EAS-laitteen, Exchange Server yrittää luoda säilön, jonka tyyppi on msExchActiveSyncDevices Active Directory -toimialueen palveluiden (AD DS) käyttäjäobjektin alla. Exchange Server yrittää sitten muuttaa säilön käyttöoikeuksia.

Oletusarvon mukaan Exchange Server -ryhmällä on oikeudet luoda ja poistaa msExchActiveSyncDevices objekteja. Exchange Server -ryhmällä ei kuitenkaan ole oikeuksia muuttaa msExchActiveSyncDevices -oikeudet. Sen sijaan oikeudet periytyvät Omistajaoikeuksien suojauspääobjektilta. Oletusarvon mukaan Omistajaoikeuksien suojauspääobjektilla on täydet käyttöoikeudet.

Jos Omistajaoikeuksien suojauspääobjektin käyttöoikeuksia muutetaan, ongelman oireista kertovassa osassa kuvattu ongelma saattaa ilmetä. Tämä ongelma voi ilmetä esimerkiksi, jos Omistajaoikeuksien suojauspääobjektilla on msExchActiveSyncDevices objektien lukuoikeudet.

ActiveSyncin ja Exchange Serverin vianmääritys -opastusohjeiden avulla voit tehdä seuraavien ongelmien vianmäärityksen:

  • Profiilia ei voi luoda laitteeseen
  • Palvelimeen ei voi muodostaa yhteyttä
  • Sähköpostiin liittyvät ongelmat
  • Kalenteriin liittyvät ongelmat
  • Laitteen/CAS-suorituskyvyn viiveet

Lisätietoja AD DS:n Omistajaoikeuksien suojauspääobjektista on kohdassa AD DS: Owner Rights.