Exchange ActiveSyncユーザーがEXCHANGE SERVER環境で初めて EAS デバイスを同期できない

  • [アーティクル]
  • 適用対象:
    Exchange Server 2010 Enterprise, Exchange Server 2010 Standard, Exchange Server 2013 Enterprise, Exchange Server 2013 Standard Edition, Exchange Server 2016 Enterprise Edition, Exchange Server 2016 Standard Edition

元の KB 番号: 2579075

現象

ユーザーが初めて Microsoft Exchange ActiveSync (EAS) デバイスを同期することはできません。

この問題が発生すると、次のイベントがイベント ビューアーのアプリケーション ログに記録されます。

Source: MSExchange ActiveSync
Event ID: 1053
Task Category: Configuration
Description:

Exchange ActiveSync doesn't have sufficient permissions to create the "CN=MailboxName,OU=OrganizationalUnitName,DC=domain,DC=suffix" container under Active Directory user "Active Directory operation failed on DOMAINCONTROLLER.domain.suffix. This error is not retriable. Additional information: Access is denied.

Active directory response: 00000005: SecErr: DSID-031521D0, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0".

Make sure the user has inherited permission granted to domain\Exchange Servers to allow List, Create child, Delete child of object type "msExchangeActiveSyncDevices" and doesn't have any deny permissions that block such operations.

原因

この問題は、EAS デバイスを同期しようとしているユーザー アカウントに対する完全な制御アクセス許可が Owner Rights セキュリティ プリンシパルに付与されていない場合に発生する可能性があります。

解決方法

この問題を回避するには、Exchange Server グループにオブジェクトに対する msExchActiveSyncDevices アクセス許可を変更する権限を割り当てます。 これを行うには、次の手順を実行します。

  1. Active Directory ユーザーとコンピューターを起動します。
  2. [ 表示] をクリックし、[ 高度な機能] をクリックして有効にします。
  3. Exchange Serverのアクセス許可を変更するオブジェクトを右クリックし、[プロパティ] をクリックします。

    注:

    ユーザー、組織単位、またはドメインに対するアクセス許可を変更できます。

  4. [ セキュリティ ] タブで、[ 詳細設定] をクリックします。
  5. [ 追加] をクリックし、「 Exchange サーバー」と入力し、[OK] をクリック します
  6. [ 適用先 ] ボックスで、[ 子孫 msExchActiveSyncDevices オブジェクト] をクリックします。
  7. [ アクセス許可] で、[ アクセス許可の変更] をクリックして有効にします。
  8. [OK] を 3 回クリックします。

詳細

ユーザーが初めて EAS デバイスを同期しようとすると、Exchange Serverは、Active Directory Domain Services (AD DS) 内のユーザー オブジェクトの下に型msExchActiveSyncDevicesのコンテナーを作成しようとします。 Exchange Serverでは、コンテナーに対するアクセス許可の変更が試行されます。

既定では、Exchange Server グループにはオブジェクトを作成および削除msExchActiveSyncDevicesする権限があります。 ただし、Exchange Server グループには に対msExchActiveSyncDevicesするアクセス許可を変更する権限がありません。 代わりに、権限は Owner Rights セキュリティ プリンシパルから継承されます。 既定では、Owner Rights セキュリティ プリンシパルにはフル コントロールアクセス許可があります。

Owner Rights セキュリティ プリンシパルのアクセス許可が変更されると、「現象」セクションに記載されている問題が発生する可能性があります。 たとえば、この問題は、Owner Rights セキュリティ プリンシパルにオブジェクトに対する読み取りアクセス許可がある場合に発生する msExchActiveSyncDevices 可能性があります。

ガイド付きチュートリアルExchange Server使用した ActiveSync のトラブルシューティングは、次の問題のトラブルシューティングに役立ちます。

  • デバイスでプロファイルを作成できない
  • サーバーに接続できない
  • メールの問題
  • 予定表の問題
  • デバイス/CAS パフォーマンスの遅延

AD DS の Owner Rights セキュリティ プリンシパルの詳細については、「AD DS: Owner Rights」を参照してください。