Exchange ActiveSync-användare kan inte synkronisera en EAS-enhet för första gången i en Exchange Server-miljö

Ursprungligt KB-nummer:   2579075

Symptom

En användare kan inte synkronisera en Microsoft Exchange ActiveSync-enhet (EAS) för första gången.

När det här problemet inträffar loggas följande händelse i programloggen i Loggboken:

Source: MSExchange ActiveSync
Event ID: 1053
Task Category: Configuration
Description:

Exchange ActiveSync doesn't have sufficient permissions to create the "CN=MailboxName,OU=OrganizationalUnitName,DC=domain,DC=suffix" container under Active Directory user "Active Directory operation failed on DOMAINCONTROLLER.domain.suffix. This error is not retriable. Additional information: Access is denied.

Active directory response: 00000005: SecErr: DSID-031521D0, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0".

Make sure the user has inherited permission granted to domain\Exchange Servers to allow List, Create child, Delete child of object type "msExchangeActiveSyncDevices" and doesn't have any deny permissions that block such operations.

Orsak

Det här problemet kan uppstå om säkerhetshuvudkontot för ägarrättigheter inte har fullständig behörighet för användarkontot som försöker synkronisera EAS-enheten.

Lösning

Du kan komma runt det här problemet genom att tilldela Exchange-servergruppen rätten att ändra behörigheter mot msExchActiveSyncDevices objekt. Gör så här:

  1. Starta Active Directory - användare och datorer.
  2. Klicka Visa och sedan på för att aktivera Avancerade funktioner.
  3. Högerklicka på det objekt där du vill ändra Exchange Server-behörigheterna och klicka sedan på Egenskaper.

    Anteckning

    Du kan ändra behörigheter mot en användare, en organisationsenhet eller en domän.

  4. Klicka på Avancerat på fliken Säkerhet.
  5. Klicka på Lägg till , skriv Exchange-servrar och klicka sedan på OK.
  6. Klicka på Descendant msExchActiveSyncDevices-objekt i rutan Använd på.
  7. Klicka för att aktivera Ändra behörigheter under Behörigheter.
  8. Klicka på OK tre gånger.

Mer information

Första gången en användare försöker synkronisera en EAS-enhet försöker Exchange Server skapa en behållare av den typen under användarobjektet msExchActiveSyncDevices i Active Directory Domain Services (AD DS). Exchange Server försöker sedan ändra behörigheterna för behållaren.

Exchange Server-gruppen har som standard rättigheter att skapa och ta bort msExchActiveSyncDevices objekt. Men Exchange Server-gruppen har inte behörighet att ändra behörigheter för msExchActiveSyncDevices . I stället ärvs behörigheterna från säkerhetsägarens huvudnamn. Som standard har säkerhetshuvudnamnet Ägarrättigheter fullständig behörighet.

Om behörigheterna för huvudägarens ägarrättigheter ändras kan problemet som beskrivs i avsnittet "Symptom" uppstå. Det här problemet kan till exempel uppstå om säkerhetshuvudägaren har läsbehörighet för msExchActiveSyncDevices objekt.

Med hjälp av den guidade genomgången av ActiveSync med Exchange Server kan du felsöka följande problem:

  • Det går inte att skapa en profil på enheten
  • Det går inte att ansluta till servern
  • E-postproblem
  • Problem med kalender
  • Fördröjningar i prestanda för enheter/CAS

Mer information om huvudnamn för ägarrättigheter i AD DS finns i AD DS: Ägarrättigheter.