排查 Intune Exchange 连接器问题

项目
12/05/2023

本文提供了故障排除指南，以帮助解决本地Intune Exchange 连接器的常见问题。若要排查特定的错误消息，请参阅解决 Intune Exchange 连接器的常见错误。

重要

自 2020 年 7 月起，已弃用对 Exchange 连接器的支持，并替换为 Exchange 混合新式身份验证 (HMA) 。

现在，具有活动连接器的现有客户将能够继续使用当前功能。没有活动连接器的新客户和现有客户将不再能够从 Intune 创建新连接器或管理 Exchange ActiveSync (EAS) 设备。对于这些租户，Microsoft 建议使用 Exchange HMA 来保护对本地 Exchange 的访问。

准备工作

在开始排查 Intune 中的 Exchange 连接器问题之前，请收集一些基本信息，以便你打下坚实的基础。此方法可帮助你更好地了解问题的性质并更快地解决问题。

验证过程是否满足安装要求。请参阅设置本地Intune Exchange 连接器。
验证帐户是否同时具有 Exchange 和 Intune 管理员权限。
请注意完整的确切错误消息文本、详细信息以及消息的显示位置。
确定问题开始时间：
- 是否是第一次设置连接器？
- 连接器是否正常工作，然后失败？
- 如果它正常工作，Intune环境、Exchange 环境或运行连接器软件的计算机上发生了哪些更改？
MDM 机构是哪家？
你使用哪个版本的 Exchange？

使用 PowerShell 获取有关 Exchange 连接器问题的更多数据

若要获取邮箱的所有移动设备的列表，请使用 Get-MobileDeviceStatistics -mailbox mbx
若要获取邮箱的 SMTP 地址列表，请使用 Get-Mailbox -Identity user | select emailaddresses | fl
若要获取有关设备访问状态的详细信息，请使用 Get-CASMailbox <upn> | fl

查看连接器配置

查看本地 Exchange 连接器要求，确保正确配置环境和连接器。

连接器的一般注意事项

请确保防火墙和代理服务器允许托管 Intune Exchange 连接器的服务器与Intune服务之间的通信。
托管 Intune Exchange 连接器和 Exchange 客户端访问服务器 (CAS) 的计算机应已加入域，并且位于同一 LAN 上。确保为 Intune Exchange 连接器使用的帐户添加了所需的权限。
通知帐户用于检索 自动发现 设置。有关 Exchange 中的自动发现的详细信息，请参阅 Exchange Server 中的自动发现服务。
Intune Exchange 连接器使用通知帐户凭据向 EWS URL 发送请求，同时发送通知电子邮件以及用于注册Intune) 的入门链接 (。对于 Android 非 Knox 设备，需要使用 “入门” 链接进行注册。否则，条件访问将阻止这些设备。

连接器配置的常见问题

帐户权限：在“Microsoft Intune Exchange Connector”对话框中，确保已指定具有执行所需 exchange cmdlet Windows PowerShell适当权限的用户帐户。
通知电子邮件：启用通知并指定通知帐户。
客户端访问服务器同步：配置 Exchange 连接器时，请指定一个 CAS，该 CAS 的网络延迟对于托管 Exchange 连接器的服务器可能最低。 CAS 和 Exchange 连接器之间的通信延迟可能会延迟设备发现，尤其是在使用 Exchange Online Dedicated 时。
同步计划：使用新注册设备的用户在获取访问权限时可能会延迟，直到 Exchange 连接器与 Exchange CAS 同步。完全同步每天进行一次，增量 (快速) 同步每天发生几次。可以手动强制快速同步或完全同步，以最大程度地减少延迟。

未从 Exchange 中发现Exchange ActiveSync设备

如果未从 Exchange 中发现Exchange ActiveSync设备，请监视 Exchange 连接器活动，以查看 Exchange 连接器是否正在与 Exchange 服务器同步。如果自设备加入以来未发生同步，请收集同步日志并将其附加到支持请求。如果自设备加入以来，完全同步或快速同步已成功完成，检查以下问题：

确保用户具有Intune许可证。否则，Exchange 连接器不会发现其设备。
如果用户的主 SMTP 地址与 Microsoft Entra ID 中的 UPN) (用户主体名称不同，则 Exchange 连接器不会发现该用户的任何设备。修复主 SMTP 地址以解决此问题。
如果你的环境中同时拥有 Exchange 2010 和 Exchange 2013 邮箱服务器，我们建议将 Exchange 连接器指向 exchange 2013 客户端访问服务器， (CAS) 。如果 Exchange 连接器设置为与 Exchange 2010 CAS 通信，则 Exchange 连接器不会发现 Exchange 2013 上的任何用户设备。
对于Exchange Online专用环境，在初始设置期间，必须将 Exchange 连接器指向 Exchange 2013 CAS (而不是专用环境中的 Exchange 2010 CAS) 。连接器在执行 PowerShell cmdlet 时，仅与 Exchange 2013 CAS 通信。

用户不会收到通知电子邮件

若要在未运行 Android Knox 的设备上支持本地邮箱的条件访问，请确保Intune注册从 Intune Exchange 连接器发送的“立即开始使用”电子邮件开始。从消息开始注册可确保设备在所有平台上收到唯ActiveSyncID一 (Exchange、Microsoft Entra ID Intune) 。

用户可能不会收到通知电子邮件，原因如下：

通知帐户设置不正确。
Autodiscover 通知帐户失败。
Exchange Web Services (EWS) 发送电子邮件请求失败。

查看以下部分，排查电子邮件通知问题。

检查检索自动发现设置的通知帐户

确保在 Autodiscover Exchange 客户端访问服务上配置了服务和 EWS。有关详细信息，请参阅 Exchange Server 中的客户端访问服务和自动发现服务。
验证通知帐户是否符合以下要求：
- 该帐户具有由 Exchange 本地服务器托管的活动邮箱。
- 帐户 UPN 与 SMTP 地址匹配。
自动发现要求 DNS 服务器具有 Autodiscover.SMTPdomain.com ( 的 DNS 记录，例如指向 Exchange 客户端访问服务器的 Autodiscover.contoso.com) 。若要检查记录，请指定 FQDN 代替 Autodiscover.SMTPdomain.com 并执行以下步骤：
1. 在命令提示符下，输入 NSLOOKUP。
2. 输入 Autodiscover.SMTPdomain.com。输出应类似于下图：
还可以在中从 Internet https://testconnectivity.microsoft.com测试自动发现服务。或者使用 Microsoft Connectivity Analyzer 工具从本地域测试它。有关详细信息，请参阅 Microsoft Connectivity Analyzer 工具。

检查自动发现

如果自动发现失败，请尝试以下步骤：

配置有效的自动发现 DNS 记录。
在 Intune Exchange 连接器配置文件中对 EWS URL 进行硬编码：
1. 确定 EWS URL。 Exchange 的默认 EWS URL 为 https://<mailServerFQDN>/ews/exchange.asmx，但 URL 可能有所不同。请与 Exchange 管理员联系，验证环境的正确 URL。
2. 编辑 OnPremisesExchangeConnectorServiceConfiguration.xml 文件。默认情况下，该文件位于运行 Exchange 连接器的计算机上的 %ProgramData%\Microsoft\Windows Intune Exchange Connector 中。在文本编辑器中打开文件，然后更改以下行以反映环境的 EWS URL： <ExchangeWebServiceURL>https://<YourExchangeHOST>/EWS/Exchange.asmx</ExchangeWebServiceURL>
保存该文件，然后重新启动计算机或重启Microsoft Intune Exchange 连接器服务。

注意

在此配置中，Intune Exchange 连接器停止使用自动发现，而是直接连接到 EWS URL。