Недавно ко мне обратилось несколько пользователей, которые столкнулись с следующей проблемой - они не могли синхронизировать свои мобильные устройства с помощью ActiveSync. В качестве почтового сервера использовался 2010 SP1, мобильные устройства были самые разные - как iPhones, так и телефоны и планшеты с Android. Быстрый просмотр логов IIS показал что коннект идет, но они получают 403 ошибку HTTP:

2011-08-30 10:09:31 172.16.10.12 OPTIONS /Microsoft-Server-ActiveSync/default.eas User=XXXXX&DeviceId=d849cec9be024c828b9af73da93bb59b&DeviceType=htcbravo&Log=LdapC2_Error:UserPrincipalCouldNotBeFound_Dc:dc.domain.com_Budget:(D)Conn%3a1%2cHangingConn%3a0%2cAD%3a%24null%2f%24null%2f0%25%2cCAS%3a%24null%2f%24null%2f0%25%2cAB%3a%24null%2f%24null%2f0%25%2cRPC%3a%24null%2f%24null%2f0%25%2cFC%3a1000%2f0%2cPolicy%3aDefaultThrottlingPolicy%5Fe205201e-d418-409a-a15b-4b51baef9bf4%2cNorm%5bResources%3a(DC)dc.domain.com(Health%3a-1%25%2cHistLoad%3a0)%2c%5d_ 443 domain\XXXXX 62.140.137.149 Android-EAS/0.1 403 0 0 124

Другое полезное сообщение было найдено в логе событий, где были ошибки от MSExchange ActiveSync под номером 1053:

Остаток ошибки содержит такие сведения: “Make sure the user has inherited permission granted to domain\Exchange Servers to allow List, Create child, Delete child of object type “msExchangeActiveSyncDevices” and doesn’t have any deny permissions blocking such operations”. Как видно, Exchange пытается создать контейнер ExchangeActiveSyncDevices для пользователя и сохранить в него объект MsExchActiveSync для каждого пользовательского устройства ActiveSync. Очевидно что в данный момент Exchange не имеет на это достаточных прав.

Для решения проблемы откройте Active Directory Users and Computers. Чтобы проверить настройки безопасности, сначала необходимо активировать дополнительные возможности. Для этого в меню View выберите Advanced Features.

Далее найдите аккаунт пользователя, который испытывает проблемы с синхронизацией. Откройте его свойства, перейдите на вкладку Security и нажмите Advanced.

Обратите внимание - чекбокс Include inheritable permissionsfrom this object’s parent не установлен и соответственно Exchange не имеет никаких прав на этот объект.

Для решения проблемы просто отметьте чекбокс Include inheritable permissions from this object’s parent и нажмите OK. Вас вернет к предыдущему окну, где вы можете увидеть что теперь аккаунт серверов Exchange имеет необходимые права на данный объект:

В данный момент ActiveSync работает и Exchange сможет создать объект MsExchActiveSync в контейнере ExchangeActiveSyncDevices container:

Обратите внимание - опция Include inheritable permissions from this object’s parent по умолчанию не установлена для членов защищенных групп, например Domain Admins. В действительности каждый час DACL членов защищенных групп будет сбрасываться и все наследуемые разрешения будут удалены. Данный процесс называется AdminSDHolder и служит для предотвращения незаконных изменений, сделанных специально или по ошибке.

Поэтому я рекомендую следовать старой, но все таки крайне актуальной практике системных администраторов - использовать один аккаунт для повседневных операций, в том числе для электронной почты и другой аккаунт для администрирования.

Для новичков в интернет-заработке хочу порекомендовать отличный сайт, информацией с которого я пользуюсь давно и очень успешно. Если вы хотите знать как заработать деньги в интеренет - милости просим. Однако не стоит думать, что деньги потекут в карман сами. Для успешного заработка думать и работать нужно везде.

А когда ваш заработок в интернете будет хорошим и постоянным - вы сможете без всяких проблем выбирать себе элитные кухни, чем я в настоящий момент и занимаюсь.