Jump to content
Sign in to follow this  
Squire

iPhone Active Sync Phänomen

Recommended Posts

Hallo Leute,

 

ich hab ein kleines Phänomen in einer unsere Tochtergesellschaften ...

 

Gegeben: Exchange 2016 DAG gepublished über Citrix Netscaler

Standardmail domain ist firma.com

Maildomain der Niederlassung ist firma.be

 

Die betroffenen iPhone User befinden sich in der gleichen Domäne wie die User der Hauptstelle, Mailboxen sind bei uns auf dem Exchange. Der Exchange ist autoritativ für firma.com und firma.be, sowie noch für diverse andere Länderdomains.

 

Die iPhones sind via Blackberry UEM als MDM Lösung am Exchange angebunden. Die betroffenen Geräte bekommen Mails, jedoch können Sie keine schicken. Androiden in diesem Standort mit der gleichen Config haben keine Probleme.

IPhones in allen anderen Standorten (egal ob auf unserem zentralen Exchange als auch auf den Exchange Servern vor Ort) haben keine Probleme - die User haben alle @firma.com Adressen. Nur die Apple Teile in Belgien machen Stress. Ich hab auch schon mal ein Gerät auf Werkszustand zurücksetzen und neu einrichten lassen und sogar neuestes IOS 11.4 installiert - laut Anwender besteht der Fehler immer noch. Wie gesagt - Androiden in Belgien funktionieren ohne Probleme.

 

Hat jemand ne Idee?

 

Ciao

Robert

Edited by Squire

Share this post


Link to post
Share on other sites

Moin Robert,

also bevor ich dir jetzt was erzähle bitte mal folgendes posten:

  • UEM Version 
  • UEM Aktivierungstyp
  • genutzte Client App

 

Anschließend brauche ich bitte noch die aktuelle Exchange Version: http://blog-schulenburg.de/index.php/kategorie-als-blog/87-exchange-build-nummern (Danke @NobbyausHB :-) )  Damit kann man es dann zumindest etwas einkreisen und ich kann dir Ansatzpunkte liefern. 

 

 

Viele Grüße

Carsten

Share this post


Link to post
Share on other sites

Also UEM: 12.8.0

Mobile Client version 12.33.1705 bzw. 12.36.1926

UEM Enterprise Aktivierung: MDM only

Client App: ist die Default EMail App vom IOS

Exchange 2016 CU8 inkl. aller Security patches

 

Edited by Squire

Share this post


Link to post
Share on other sites

Was steht im AD Attribut "admincount" eines betroffenen Nutzers? Die User könnten administrative Rechte haben, dann hat man den beschriebenen Effekt.

Share this post


Link to post
Share on other sites

Dann dürfte es aber auch mit den Android Mobiles nicht funktionieren! Es betrifft genau 3 Anwender von rund 400 Mobile device usern. Sie können ja Emails empfangen - nur keine schicken! Wenn es der AdminSDHolder wäre, dann kämen auch keine Emails an!

 

Gerade mal alle AdminSDHolder in der Domäne per Powershell ([adsisearcher]"(AdminCount=1)").findall() gezogen ... keiner der 3 User ist da dabei

Edited by Squire

Share this post


Link to post
Share on other sites
vor 31 Minuten schrieb Squire:

Also UEM: 12.8.0

Mobile Client version 12.33.1705 bzw. 12.36.1926

UEM Enterprise Aktivierung: MDM only

Client App: ist die Default EMail App vom IOS

Exchange 2016 CU8 inkl. aller Security patches

 

 

 

Das bedeutet, dass die iOS Geräte keinen BSCP Tunnel in Richtung Exchange machen. Der Server muss somit extern verfügbar sein. Ist das so korrekt? Sind iPhones in anderen Standorten evt. anders konfiguriert? 

Wenn du 12.8.0 einsetzt muss das Endgerät mind. mit iOS 11.3 unterwegs sein. Alles andere verträgt sich einfach nicht so gut. Kannst du testen, ob du die OWA Seite deines Exchange aufrufen kannst? Funktioniert das?  Ist diese URL auch im Profil des BlackBerry UEM hinterlegt? 

 

 

Viele Grüße

Carsten 

Share this post


Link to post
Share on other sites

OWA ist erreichbar - die Geräte sprechen via ActiveSync direkt mit dem Exchange (gepublished via Netscaler) . Der BES ist nur für das MDM da.

Nachdem alles über unseren zentralen Exchange DAG Knoten geht ist das Activesync Profil für alle gleich ... also wie schon geschrieben - identische Konfig für alle! - Android in BE geht, IOS kotzt (wurde mit 11.3 und 11.4 probiert)

Edited by Squire

Share this post


Link to post
Share on other sites

Hi Squire,

meine Strategie wäre wie folgt:

 

- Prüfen, ob das Gerät sich überhaupt registriert am Exchange

- Anschließend - falls registriert - Debug Logging für ActiveSync einschalten

- Alternativ dazu mal ein funktionierendes iOS Gerät vergleichen

 

Was passiert wenn du das Gerät ohne BES an den Exchange hängst? Ich vermute, dass das iOS Gerät trotz Patch für E2016 nicht mit dem Server spricht. Frank Zöchling hatte das auch bereits in seinem Blog beschrieben:

https://www.frankysweb.de/ios-11-probleme-mit-exchange-2016-activesync-auf-server-2016/

 

Genauso kann es sein, dass Geräte nach Update auf iOS 11 keine Verbindung mehr aufbauen können. In deinem Umfeld kann es also auch schon am Loadbalancer scheitern. Du musst dir bitte die Sessions suchen und analysieren welche Kommandos wohin gesendet werden. Da es ja scheinbar bei allen anderen Anwendern funktioniert kann es nur in Kombination mit dem aktuellen iOS Release auftauchen. ich hatte das Problem bereits auf LoadBalancer, Exchange Server (siehe oben) und auf dem UEM Server (andere Umgebung/Aufbau) folglich musst du die Kommunikation dieser Endgeräte testen und dir die Logs ansehen. 

 

https://blogs.technet.microsoft.com/jasonsla/2013/03/19/exchange-activesync-mailbox-logging/

 

 

Viel Erfolg!

 

Share this post


Link to post
Share on other sites

Ist http2 immer noch nicht gefixt in iOS? Der to schreibt er hat einen loadbalancer davor. Falls der in Layer7 arbeitet könnte man dort einfach mal http/2 abdrehen und schauen ob’s hilft.

Share this post


Link to post
Share on other sites

da läuft ein redundanter Citrix Netscaler davor ... ich müsste morgen mal unsere Netzwerk Jungs fragen ob das möglich ist. 

 

 

Share this post


Link to post
Share on other sites

das wird sich hinziehen ... es ist ein bisschen schwierig mit den drei Kollegen in Belgien - da ist kein ITler vor Ort und so wird das Testen sehr mühseelig.

 

was den Netscaler an geht .. Layer 7 ... wegen der Config bzgl. HTTP/2 müssen die Kollegen noch schauen ... Nachtrag: HTTP/2 ist auf dem Netscaler deaktiviert

Edited by Squire

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...