Exchange ActiveSync Benutzer ein EAS-Gerät nicht zum ersten Mal in einer Exchange Server Umgebung synchronisieren können

Ursprüngliche KB-Nummer:   2579075

Problembeschreibung

Ein Benutzer kann ein Microsoft Exchange ActiveSync (EAS)-Gerät nicht zum ersten Mal synchronisieren.

Wenn dieses Problem auftritt, wird das folgende Ereignis im Anwendungsprotokoll in Ereignisanzeige protokolliert:

Source: MSExchange ActiveSync
Event ID: 1053
Task Category: Configuration
Description:

Exchange ActiveSync doesn't have sufficient permissions to create the "CN=MailboxName,OU=OrganizationalUnitName,DC=domain,DC=suffix" container under Active Directory user "Active Directory operation failed on DOMAINCONTROLLER.domain.suffix. This error is not retriable. Additional information: Access is denied.

Active directory response: 00000005: SecErr: DSID-031521D0, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0".

Make sure the user has inherited permission granted to domain\Exchange Servers to allow List, Create child, Delete child of object type "msExchangeActiveSyncDevices" and doesn't have any deny permissions that block such operations.

Ursache

Dieses Problem kann auftreten, wenn der Sicherheitsprinzipal "Besitzerrechte" nicht über Vollzugriffsberechtigungen für das Benutzerkonto verfügt, das versucht, das EAS-Gerät zu synchronisieren.

Lösung

Um dieses Problem zu umgehen, weisen Sie der Gruppe Exchange Server das Recht zu, Berechtigungen für msExchActiveSyncDevices Objekte zu ändern. Gehen Sie dazu wie folgt vor:

  1. Starten Sie "Active Directory-Benutzer und -Computer".
  2. Klicken Sie auf "Anzeigen", und klicken Sie dann, um die erweiterten Features zu aktivieren.
  3. Klicken Sie mit der rechten Maustaste auf das Objekt, in dem Sie die Exchange Server Berechtigungen ändern möchten, und klicken Sie dann auf "Eigenschaften".

    Hinweis

    Sie können Berechtigungen für einen Benutzer, eine Organisationseinheit oder eine Domäne ändern.

  4. Klicken Sie auf der Registerkarte "Sicherheit " auf "Erweitert".
  5. Klicken Sie auf "Hinzufügen", geben Sie Exchange Server ein, und klicken Sie dann auf "OK".
  6. In the Apply to box, click Descendant msExchActiveSyncDevices objects.
  7. Klicken Sie unter "Berechtigungen" auf " Berechtigungen ändern".
  8. Klicken Sie dreimal auf OK.

Weitere Informationen

Wenn ein Benutzer zum ersten Mal versucht, ein EAS-Gerät zu synchronisieren, versucht der Exchange Server, einen Container vom Typ msExchActiveSyncDevices unter dem Benutzerobjekt in Active Directory Domain Services (AD DS) zu erstellen. Der Exchange Server versucht dann, Berechtigungen für den Container zu ändern.

Standardmäßig verfügt die Exchange Server Gruppe über die Berechtigung zum Erstellen und Löschen msExchActiveSyncDevices von Objekten. Die Exchange Server Gruppe verfügt jedoch nicht über die Berechtigung zum Ändern von Berechtigungen für msExchActiveSyncDevices. Stattdessen werden die Rechte vom Sicherheitsprinzipal "Besitzerrechte" geerbt. Standardmäßig verfügt der Sicherheitsprinzipal "Besitzerrechte" über Vollzugriffsberechtigungen.

Wenn die Berechtigungen für den Sicherheitsprinzipal "Besitzerrechte" geändert werden, kann das im Abschnitt "Symptome" beschriebene Problem auftreten. Dieses Problem kann beispielsweise auftreten, wenn der Sicherheitsprinzipal "Besitzerrechte" über Leseberechtigungen für Objekte verfügt msExchActiveSyncDevices .

Die Problembehandlung für ActiveSync mit Exchange Server geführten exemplarischen Vorgehensweise hilft bei der Behebung der folgenden Probleme:

  • Profil kann auf dem Gerät nicht erstellt werden
  • Verbindung mit dem Server kann nicht hergestellt werden
  • E-Mail-Probleme
  • Kalenderprobleme
  • Verzögerungen bei der Geräte-/CAS-Leistung

Weitere Informationen zum Sicherheitsprinzipal "Besitzerrechte" in AD DS finden Sie unter AD DS: Besitzerrechte.