Поделиться через

Exchange ActiveSync пользователи не могут синхронизировать устройство EAS впервые в среде Exchange Server

  • Применяется к: Exchange Server 2010 Enterprise, Exchange Server 2010 Standard, Exchange Server 2013 Enterprise, Exchange Server 2013 Standard Edition, Exchange Server 2016 Enterprise Edition, Exchange Server 2016 Standard Edition

Исходный номер базы знаний: 2579075

Симптомы

Пользователь не может синхронизировать устройство Microsoft Exchange ActiveSync (EAS) в первый раз.

При возникновении этой проблемы в журнале приложений в Просмотр событий регистрируется следующее событие:

Source: MSExchange ActiveSync
Event ID: 1053
Task Category: Configuration
Description:

Exchange ActiveSync doesn't have sufficient permissions to create the "CN=MailboxName,OU=OrganizationalUnitName,DC=domain,DC=suffix" container under Active Directory user "Active Directory operation failed on DOMAINCONTROLLER.domain.suffix. This error is not retriable. Additional information: Access is denied.

Active directory response: 00000005: SecErr: DSID-031521D0, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0".

Make sure the user has inherited permission granted to domain\Exchange Servers to allow List, Create child, Delete child of object type "msExchangeActiveSyncDevices" and doesn't have any deny permissions that block such operations.

Причина

Эта проблема может возникнуть, если субъект безопасности прав владельца не имеет разрешений на полный доступ к учетной записи пользователя, которая пытается синхронизировать устройство EAS.

Разрешение

Чтобы обойти эту проблему, назначьте группе Exchange Server право изменять разрешения для msExchActiveSyncDevices объектов. Для этого выполните следующие действия:

  1. Откройте оснастку «Пользователи и компьютеры Active Directory».
  2. Нажмите кнопку Вид, а затем нажмите кнопку , чтобы включить дополнительные функции.
  3. Щелкните правой кнопкой мыши объект, в котором требуется изменить разрешения Exchange Server, и выберите пункт Свойства.

    Примечание.

    Вы можете изменить разрешения для пользователя, подразделения или домена.

  4. На вкладке Безопасность нажмите кнопку Дополнительно.
  5. Нажмите кнопку Добавить, введите Серверы Exchange и нажмите кнопку ОК.
  6. В поле Применить к щелкните Потомок msExchActiveSyncDevices объекты.
  7. В разделе Разрешения щелкните , чтобы включить изменение разрешений.
  8. Нажмите кнопку ОК три раза.

Дополнительная информация

При первой попытке пользователя синхронизировать устройство EAS Exchange Server пытается создать контейнер типа msExchActiveSyncDevices в объекте пользователя в доменные службы Active Directory (AD DS). Затем Exchange Server пытается изменить разрешения для контейнера.

По умолчанию группа Exchange Server имеет права на создание и удаление msExchActiveSyncDevices объектов. Однако группа Exchange Server не имеет прав на изменение разрешений для msExchActiveSyncDevices. Вместо этого права наследуются от субъекта безопасности "Права владельца". По умолчанию субъект безопасности "Права владельца" имеет разрешения на полный доступ.

Если разрешения для субъекта безопасности прав владельца изменены, может возникнуть проблема, описанная в разделе "Симптомы". Например, эта проблема может возникнуть, если субъект безопасности "Права владельца" имеет разрешения на msExchActiveSyncDevices чтение объектов.

Пошаговое руководство по устранению неполадок ActiveSync с Exchange Server поможет устранить следующие проблемы:

  • Не удается создать профиль на устройстве
  • Не удается подключиться к серверу
  • Проблемы с почтой
  • Проблемы с календарем
  • Задержки производительности устройства или CAS

Дополнительные сведения о субъекте безопасности "Права владельца" в AD DS см. в разделе AD DS: права владельца.