Unternehmen, die Exchange einsetzen oder ihre Anwender an Office 365 anbinden, arbeiten mit Exchange ActiveSync. Die Nutzer setzen dabei häufig verschiedene Smartphone-Typen ein, die sich mit Exchange ActiveSync verbinden sollen. Klappt dabei etwas nicht, zeigen die Smartphones selten umfangreiche Informationen. Es gibt aber Möglichkeiten, in Exchange Fehler bei der Exchange ActiveSync-Anbindung schnell und einfach zu beheben. Wir gehen in diesem Beitrag auf Möglichkeiten in Exchange Server 2013 ein. Die meisten Tipps funktionieren aber auch in den Vorgängerversionen Exchange Server 2007 und 2010.
Direct Push und die Benutzerverwaltung von ActiveSync
Wenn sich Smartphones nicht an Exchange anbinden lassen, liegen häufig falsche Einstellungen in Exchange vor, selten Probleme mit den Geräten selbst. Der Zugriff per Exchange ActiveSync (EAS) ist nach der Installation standardmäßig auf Client-Access-Servern aktiviert. Direct Push ist in Exchange Server 2013 standardmäßig aktiviert.
Die Anbindung von Smartphones mit Exchange ActiveSync (EAS) läuft wie folgt ab: Smartphones senden eine HTTPS-Anforderung an den Server. Die Anforderung informiert den Server, dass das Gerät benachrichtigt werden soll, wenn sich in den nächsten 15 Minuten Elemente in einem beliebigen Ordner ändern, der für die Synchronisierung konfiguriert ist. Die Zeitspanne wird als Taktintervall bezeichnet.
Wenn sich innerhalb der 15 Minuten keine Elemente ändern, gibt der Server die Antwort HTTP 200 OK zurück. Ändern sich Elemente, sendet der Server eine Antwort. Damit Direct Push hinter einer Firewall funktioniert, muss der TCP-Port 443 geöffnet sein. Sie sollten auch den Time-out-ert für die Firewall vom Standardwert von 15 Minuten auf 30 Minuten erhöhen. Ansonsten brechen einige Geräte die Verbindung ab.
Der mobile Zugriff auf ein Postfach ist standardmäßig für alle Benutzer aktiviert. Sie können über die Exchange-Verwaltungskonsole für einzelne User Exchange ActiveSync aktivieren oder deaktivieren. Wenn der Zugriff deaktiviert ist, lässt Exchange keinen Zugriff zu. Wenn sich ein Anwender nicht verbinden kann, sollten Sie daher zuerst überprüfen, ob das Benutzerkonto über entsprechende Rechte verfügt:
1. Klicken Sie in der Exchange-Verwaltungskonsole auf Empfänger/Postfächer.
2. Rufen Sie die Eigenschaften des entsprechenden Benutzerkontos auf.
3. Klicken Sie auf Postfachfunktionen.
4. Über die Schaltfläche Details anzeigen im Bereich Mobile Geräte können Sie eine Exchange-ActiveSync-Postfachrichtlinie zuweisen und Einstellungen anpassen.
Exchange-ActiveSync-Postfachrichtlinien
In Exchange Server 2013 können Sie über Richtlinien steuern, welche Geräte der Server zur Synchronisierung zulässt und welche Einstellungen für die Geräte gesetzt sein müssen (siehe auch Exchange 2013 - Richtlinien für Smartphones richtig einsetzen). Wenn ein Gerät diese Bedingungen nicht erfüllt, darf es sich nicht verbinden. Außerdem steuern Sie über Exchange-ActiveSync-Postfachrichtlinien Sicherheitseinstellungen für Benutzer. Sobald sich ein Endgerät mit dem Postfach verbindet, überträgt der Server die Einstellungen. Anwender müssen diese bestätigen, auf den Geräten umsetzen und dürfen sich erst dann mit ihrem Postfach synchronisieren.
Die Richtlinien konfigurieren Sie in der Exchange-Verwaltungskonsole über Mobil\Postfachrichtlinien für mobile Geräte. Wenn Sie auf das Pluszeichen klicken, erstellen Sie eine neue Richtlinie. Diese Richtlinien können Sie dann den Anwendern als Richtlinie hinterlegen. Nach der Installation von Exchange Server 2013 finden Sie in diesem Bereich eine Richtlinie mit der Bezeichnung Default. Über deren Eigenschaften lassen sich die Einstellungen anpassen. Sie können unterschiedlichen Benutzern auch verschiedene Richtlinien zuordnen. Bestätigt der Anwender die Richtlinien, setzt das entsprechende Endgerät die Einstellungen um.
Bei jedem Verbindungsvorgang überprüfen Endgerät und Server, ob die Richtlinien noch übereinstimmen. Ändern Sie die Sicherheitsrichtlinien, dann übernehmen die Endgeräte Änderungen beim nächsten Synchronisieren. Verweigert der Benutzer die Richtlinie, blockiert Exchange den Zugriff. Der Zeitpunkt der letzten erfolgreichen Synchronisierung ist im Postfach des Benutzers gespeichert. In den Einstellungen einer Richtlinie legen Sie auch fest, ob die Richtlinie als Standard hinterlegt ist. In diesem Fall weist Exchange diese Richtlinie jedem neuen Konto nach der Erstellung automatisch zu. Nachträglich können Sie jedem Konto eine andere Richtlinie zuordnen.
Richtig sinnvoll ist eine Richtlinie natürlich erst dann, wenn Sie diese mehreren, am besten allen Anwendern zuweisen. Diese beste Möglichkeit hierzu haben Sie in der Exchange-Verwaltungs-Shell:
Get-Mailbox | Set-CASMailbox -ActiveSyncMailboxPolicy(Get-ActiveSyncMailboxPolicy <Name der Richtlinie>).Identity
ActiveSync-Gerätezugriffsregeln beachten
Exchange bietet auch die Möglichkeit, Regeln festzulegen, die bestimmen, welche Arten von Geräten über das Internet eine Synchronisierung mit dem Postfach durchführen dürfen und welche Exchange sperren soll. Sie haben daher auch die Möglichkeit, Richtlinien darüber festzulegen, welche Smartphones und Endgeräte Sie im Unternehmen bei der Anbindung an Exchange Server 2013 zulassen. Die entsprechenden Einstellungen rufen Sie in der Exchange-Verwaltungs-Shell mit dem CMDlet Get-ActiveSyncOrganizationSettings ab. Die Einstellungen selbst setzen Sie am einfachsten in der Exchange-Verwaltungskonsole; Sie finden sie über Mobil und Zugriff auf mobile Geräte.
Bei Gerätezugriffsregeln legen Sie fest, welche Geräte Sie generell blockieren oder isolieren wollen. Dazu klicken Sie auf Neu und erstellen eine neue Richtlinie. Über Gerätefamilie oder Nur dieses Modell legen Sie fest, welche Arten von Geräten Sie berücksichtigen wollen. Anschließend können Sie über die Schaltfläche Zugriff blockieren die entsprechenden Geräte blockieren. Blockierte Geräte können Sie über diesen Weg auch wieder freischalten, indem Sie die Option bei Zugriff zulassen setzen.
Zusätzlich haben Sie die Möglichkeit, bestimmte Geräte in einen isolierten Bereich zu setzen. Die Benutzer können wiederum mit den Einstellungen für ihre eigenen Smartphones die entsprechenden Geräte freischalten oder blockieren. Zusätzlich können Sie in diesem Bereich auch Regeln erstellen, wie sich Exchange künftig verhalten soll, wenn sich der Anwender mit einem ähnlichen Gerät verbindet. Im Bereich Status sehen Sie den aktuellen Blockierungszustand.
Über den Link Bearbeiten nehmen Sie Einstellungen bezüglich der Benachrichtigungen vor. Hier legen Sie fest, was mit Geräten passieren soll, die Exchange noch nicht kennt, und wie Exchange Anwender über gesperrte Geräte benachrichtigt. Sie können zum Beispiel neue Geräte automatisch blockieren oder isolieren lassen, bevor sich Anwender mit diesen synchronisieren dürfen. Wenn sich neue Smartphones nicht synchronisieren dürfen, sollten Sie sich diese Einstellungen ansehen.
Smartphone-Zugriff mit der PowerShell simulieren
Blockiert Exchange ein neues Gerät oder setzt es in den isolierten Bereich, können Sie an dieser Stelle einen Text eingeben. Diesen bekommt der Anwender in sein Postfach zugestellt, wenn er sich mit einem blockierten Gerät synchronisieren will.
Die Einstellungen in diesem Bereich testen Sie zum Beispiel auch mit dem CMDlet Test-ActiveSyncConnectivity. Dieses verhält sich generell wie ein normales Smartphone und lässt sich auch entsprechend sperren. Im ersten Schritt speichern Sie die Benutzerdaten des Users mit dem Sie den Zugriff testen wollen, in einer Variablen:
$credential = Get-Credential
Anschließend testen Sie den Zugang mit:
Test-ActiveSyncConnectivity -MailboxCredential $credential
Haben Sie ein Gerät gesperrt, erhält der entsprechende Anwender eine E-Mail zugestellt. Den Text legen Sie in den beschriebenen Einstellungen fest.
Üblicherweise legt Exchange eine Standardrichtlinie an, deren Einstellungen Sie mit Details verwalten. Mit Neu können Sie eine zusätzliche Richtlinie erstellen, die Sie dann speziellen Anwendern zuweisen. Sie können Nutzern also problemlos unterschiedliche Richtlinien zuweisen.
Smartphones und Exchange ActiveSync
Verbindet sich ein iPhone/iPad mit einem WLAN, verwendet es zur Synchronisierung automatisch die leistungsfähige und günstige Netzwerkverbindung zur Synchronisierung, nicht mehr 3G. Das gilt natürlich auch beim Einsatz von Windows Phone und Android.
Sie haben die Möglichkeit, mehrere verschiedene Postfächer, auch verschiedene Exchange-Postfächer auf unterschiedlichen Servern, mit einem iPhone einzubinden. Das iPhone kommt zudem problemlos mit selbst signierten Zertifikaten auf Exchange-Servern zurecht. Allerdings ist es immer empfehlenswert, auf echte Zertifikate zurückzugreifen, da Anwender ansonsten Zertifikatewarnungen erhalten. Bei der Anbindung erscheint dann eine Warnung, dass das iPhone den Server nicht verifizieren kann, wenn Sie mit unbekannten Zertifikaten arbeiten.
Erhalten Sie Meldungen, dass das iPhone das Konto nicht überprüfen kann, bestätigen Sie diese und fahren mit dem Einrichten fort. In den meisten Fällen liegt es am Zertifikat des Servers, dessen Zertifizierungsstelle das iPhone nicht vertraut. Sie können es über Details das Zertifikat anzeigen lassen und es akzeptieren. Über Mehr Details lassen Sie sich die Daten des Zertifikats anzeigen, und bevor Sie die Verbindung akzeptieren, können Sie diese überprüfen.
Natürlich können nicht nur Administratoren das iPhone von Anwendern verwalten, sondern auch der Anwender selbst. Dazu rufen Sie zunächst Outlook Web App auf, wenn diese Funktion im Internet zur Verfügung steht. Intern erreichen Sie die Funktion über https://<Servername>/owa, extern normalerweise über den gleichen Servernamen, den Sie auch für Exchange ActiveSync verwenden. Sobald Sie an OWA angemeldet sind, rufen Sie über den Menüpunkt rechts oben die Einstellungen Ihres Postfachs auf. Sie erreichen die Verwaltung Ihres Telefons über Telefon\Mobiltelefone\<Name des Gerätes>.
Anwender können sich für die einzelnen Telefone auch die Details anzeigen lassen und nachsehen, ob Richtlinien angewendet wurden beziehungsweise wann der letzte Synchronisierungsvorgang stattgefunden hat. Über die Schaltfläche Geräte zurücksetzen löschen Sie das Endgerät, sobald es sich das nächste Mal mit dem Exchange-Server verbindet. Diese Funktionen sind auch in Exchange Server 2010 enthalten.
Sollten Sie Probleme bei der Exchange-Anbindung bemerken, stellen Sie sicher, dass das iPhone nicht die Version 4 oder 6.1 verwendet. Diese beiden Versionen machen bei Exchange Schwierigkeiten. Aktualisieren Sie möglichst mindestens auf Version 6.1.2, da hier die Probleme behoben sind. Microsoft gibt in einem Artikel weitere Tipps zur Fehlerbehebung.
Auch Administratoren können ein Löschvorgang starten, indem sie in der Exchange-Verwaltungskonsole beim Empfänger auf Postfachfunktionen und dann auf Details anzeigen im Bereich Mobile Geräte klicken. Sie können sich die verbundenen Smartphones von Anwendern auch in der Exchange-Verwaltungs-Shell anzeigen lassen. Dazu verwenden Sie das CMDlet Get-MobileDevice -Mailbox <Benutzername>.
ActiveSync-Probleme mit Tools analysieren
Wenn Verbindungsprobleme mit ActiveSync gelöst werden müssen, helfen die beiden kostenlosen Analyse-Tools Log Parser 2.2 und Log Parser Studio.
Um die beiden Tools zu nutzen, installieren Sie Log Parser und entpacken das Zip-Archiv von Log Parser Studio. Sobald Sie Log Parser Studio über die Datei lps.exe starten, lassen sich die Protokolldateien auslesen.
Um ActiveSync-Probleme zu lösen, müssen beide Tools auf dem entsprechenden Server verfügbar sein. Anschließend erstellen Sie über File\New\Query inb Log Parser Studio eine neue Abfrage in den IIS-Protokolldateien. Über die Abfrage lassen sich ActiveSync-Probleme finden.
Beim Starten wählen Sie die Protokolldateien des IIS. Diese befinden sich standardmäßig im Verzeichnis \inetpub\logs\LogFiles. Exchange ActiveSync speichert Protokolldateien im Verzeichnis für Logdateien auf dem Server. Microsoft bietet auch ein PowerShell-Skript an, das bei Problemen mit Exchange ActiveSync helfen kann. Die Exchange-Entwickler stellen es in einem eigenen Blogbeitrag vor.
Tipps zum erfolgreichen Anbinden von Geräten
Wenn es trotz aller hier beschriebenen Ansätze nicht gelingt, dass sich das Smartphone mit Exchange synchronisiert, sollten Sie auf dem Gerät die Verbindung zu Exchange löschen und neu einrichten. Damit Exchange auf dem Smartphone funktioniert, muss das Gerät den Server natürlich erreichen. Außerdem darf es nicht blockiert werden, und der Anwender muss die Richtlinien, die gesetzt sind, auf dem Gerät zulassen. Generell ist es auch empfehlenswert, immer die neuesten Updates auf dem Smartphone zu installieren. So hat beispielsweise iOS 6.1 Probleme mit ActiveSync, die Apple in 6.1.2 behoben hat.
In seltenen Fällen kann es auch an Rechteproblemen in Active Directory liegen, wenn sich Benutzer nicht verbinden können. Microsoft geht auf diese Probleme in einem Knowledgebase-Artikel ein. (mje)