XenMobile Mail Manager 10.x

XenMobile Mail Manager bietet die Funktionalität, die die Funktionen von XenMobile auf folgenden Weise erweitert:

  • Dynamische Zugriffssteuerung für Exchange ActiveSync-Geräte (EAS). EAS-Geräten kann der Zugriff auf Exchange-Dienste automatisch erlaubt oder verweigert werden.
  • Zugriff von XenMobile auf durch Exchange bereitgestellte EAS-Gerätepartnerschaftsinformationen.
  • Funktionalität für EAS-Löschen des mobilen Geräts durch XenMobile.
  • Zugriff von XenMobile auf Informationen über Blackberry-Geräte, und Steuerungsvorgänge wie Löschen und Kennwort zurücksetzen.

Zum Herunterladen von XenMobile Mail Manager navigieren Sie auf Citrix.com zum Abschnitt “Server Components” unter “XenMobile 10 Server”.

Neue Features in Version 10.1.6

Version 10.1.6 von XenMobile Mail Manager umfasst folgende Problemlösungen und Verbesserungen:

  • Das Snapshot-Verlaufsfenster wird u. U. nicht mehr aktualisiert. Der Mechanismus zur Fensteraktualisierung wurde verbessert. [CXM-47983]
  • Für partitionierte und nicht partitionierte Snapshots wurden zwei separate Modi und Codepfade verwendet. Da nicht partitionierte Snapshots partitionierten Snapshots entsprechen (mit einer Konfiguration mit einer einzelnen “*“-Partition) wurde der Modus mit nicht partitionierten Snapshots entfernt. Standardmodus sind jetzt Snapshots mit 36 Partitionen (0–9, A–). [CXM-49093]
  • Im Fenster “Snapshot History” wurden Fehlermeldungen durch Statusmeldungen überschrieben. XenMobile Mail Manager bietet jetzt zwei Felder, damit Benutzer Status- und Fehlermeldungen gleichzeitig anzeigen können. [CXM-51942]
  • Bei Verbindung mit Exchange Online (Office 365) erzeugten Snapshot-bezogene Abfragen evtl. ein unvollständiges Dataset. Dieses Problem konnte auftreten, wenn XenMobile Mail Manager ein Pipelineskript mit mehreren Befehlen ausführt. Der Upstreambefehl kann die Daten nicht schnell genug an den Downstreambefehl übergeben, der die Arbeit vorzeitig einstellt und unvollständige Daten liefert. XenMobile Mail Manager kann jetzt die Pipeline selbst nachahmen und die komplette Ausführung des Upstreambefehls abwarten, bevor der Downstreambefehl aufgerufen wird. Dadurch müssten alle Daten verarbeitet und erfasst werden. [CXM-52280]
  • Trat ein nicht auflösbarer Fehler in einem Richtlinienaktualisierungsbefehl für Exchange auf, wurde der Befehl lange Zeit wiederholt an die Arbeitswarteschlange zurückgegeben. Dadurch wurde der Befehl viele Male an Exchange gesendet. In dieser Version von XenMobile Mail Manager wird ein Befehl, der zu einem Fehler führt, nur eine spezifische Anzahl von Malen an die Arbeitswarteschlange zurückgegeben. [CXM-52633]
  • Wenn eine Richtlinienaktualisierung für ein bestimmtes Postfach das Zulassen oder Sperren aller Geräte beinhaltete, schlug der ausgegebene Befehl Set-CASMailbox fehl, weil die leere Liste in eine leere Zeichenfolge statt NULL konvertiert wurde. Jetzt werden die richtigen Daten gesendet. [CXM-53759]
  • Bei der Verarbeitung eines neuen Geräts gab Exchange u. U. den Status eine Zeit lang (normalerweise 15 Minuten) mit “DeviceDiscovery” zurück. Der Status wurde von XenMobile Mail Manager nicht speziell behandelt. XenMobile Mail Manager behandelt jetzt den Status. Die Benutzer können jetzt die Geräte auf der Registerkarte “Überwachen” nach diesem Status filtern. [CXM-53840]
  • XenMobile Mail Manager prüfte nicht, ob das Schreiben in die XenMobile Mail Manager-Datenbank möglich war. Bei begrenzten Berechtigungen war das Verhalten daher nicht vorhersagbar. XenMobile Mail Manager erfasst und validiert jetzt erforderliche Berechtigungen von der Datenbank. XenMobile Mail Manager weist jetzt bei Verbindungstests und beim Zeigen auf die Datenbankanzeige unten im Hauptfenster zum Konfigurieren durch eine Meldung auf begrenzte Berechtigungen hin. [CXM-54219]
  • Workloadabhängig wurde der Dienst bei Leitung an XenMobile Mail Manager u. U. nicht sofort gestoppt und erschien abgestürzt. Durch Verbesserungen können laufende Tasks jetzt unterbrochen werden, was ein ordnungsgemäßeres Beenden ermöglicht. [CXM-54282]

Neue Features in Version 10.1.5

Bei Version 10.1.5 von XenMobile Mail Manager wurden folgende Probleme behoben:

  • Auf eine Drosselung der XenMobile Mail Manager-Aktivität durch Exchange wurde ausschließlich in den Protokollen hingewiesen. Bei der neuen Version wird beim Zeigen auf den aktiven Snapshot mit der Maus der Zustand “throttling” angezeigt. Während einer Drosselung von XenMobile Mail Manager kann außerdem kein größerer Snapshot gestartet werden, bis Exchange die Drosselung aufhebt. [CXM-49617]
  • Wurde XenMobile Mail Manager während der Erstellung eines größeren Snapshots von Exchange gedrosselt wurde u. U. nicht genügend Zeit bis zum nächsten Snapshotversuch gewartet. Dies führte zu einer weiteren Drosselung und dem Fehlschlagen des Snapshots. XenMobile Mail Manager hält jetzt die von Exchange festgelegte Wartezeit zwischen Snapshotversuchen ein. [CXM-49618]
  • Wenn die Diagnose aktiviert ist, enthielt die Befehlsdatei Set-CasMailbox Befehle, bei denen die Bindestriche vor den Eigenschaftsnamen fehlten. Dieses Problem trat nur in der Diagnosedatei, nicht aber in den an Exchange übergebenen Befehlen auf. Aufgrund des fehlenden Bindestrichs konnten Befehle nicht per Cut & Paste direkt in eine Powershell-Eingabeaufforderung zum Testen eingefügt werden. Die Bindestriche wurden jetzt hinzugefügt. [CXM-52520]
  • Bei Postfachidentitäten des Formats “Nachname, Vorname” fügte Exchange vor dem Komma einen umgekehrten Schrägstrich ein, wenn Daten aus einer Abfrage zurückgegeben werden. Der Schrägstrich muss entfernt werden, wenn XenMobile Mail Manager unter Verwendung der Identität weitere Daten abfragt. [CXM-52635]

Bekannte Einschränkung

Bei XenMobile Mail Manager ist eine Einschränkung bekannt, die dazu führen kann, dass Exchange-Befehle fehlschlagen. Zum Anwenden von Richtlinienänderungen auf Exchange wird der Befehl Set_CASMailbox von XenMobile Mail Manager ausgegeben. Dieser Befehl kann die Geräteliste zum Zulassen und die Geräteliste zum Blockieren umfassen. Der Befehl wird auf mit einem Postfach verknüpfte Geräte angewendet.

Die Listen sind durch die Microsoft-API auf jeweils 256 Zeichen beschränkt. Ist eine Liste länger, schlägt der Befehl vollständig fehl und keine der Richtlinien für die Geräte des Postfachs kann festgelegt werden. Der in den XenMobile Mail Manager-Protokollen gemeldete Fehler sieht in etwa wie folgt aus. Das Beispiel gilt für die gesperrte Liste.

“Message:’Cannot bind parameter ‘ActiveSyncBlockedDeviceIDs’ to the target. Exception setting “ActiveSyncBlockedDeviceIDs”: “The length of the property is too long. The maximum length is 256 and the length of the value provided is …”

Die Länge von Geräte-IDs kann variieren, doch nach einer guten Faustregel überschreiten 10 oder mehr Geräte in einer Liste den Grenzwert. Es sind zwar nur selten so viele Geräte mit einem Postfach verknüpft, doch kann dies durchaus vorkommen. Bis XenMobile Mail Manager für die Verarbeitung eines solchen Szenarios verbessert ist, empfiehlt es sich, maximal 10 Geräte mit einem Benutzer und Postfach zu verknüpfen.

Neue Features in Version 10.1.4

Bei Version 10.1.4 von XenMobile Mail Manager wurden folgende Probleme behoben:

  • Aufgrund der schwächer werdenden Sicherheit wird TLS 1.0 vom Payment Card Industry Security Standards Council abgelehnt. XenMobile Mail Manager unterstützt jetzt TLS 1.1 und 1.2. [CXM-38573, CXM-32560]
  • XenMobile Mail Manager umfasst eine neue Diagnosedatei. Wenn in der Exchange-Spezifikation Diagnose aktivieren ausgewählt wird, wird eine neue Snapshotverlaufsdatei generiert. Bei jedem Snapshotversuch wird der Datei eine Zeile mit dem Snapshotergebnis hinzugefügt. [CXM-49631]
  • In der Commands-Diagnosedatei wurde die Liste der zulässigen und gesperrten Geräte für den Befehl Set-CASMailbox nicht angezeigt. Stattdessen wurde in der Datei der interne Klassenname für die zugehörigen Argumente angezeigt. Es wird nun die Liste der Geräte-IDs in Form einer durch Kommas getrennten Liste angezeigt. [CXM-50693]
  • Beim Fehlschlagen einer Verbindung mit Exchange aufgrund einer fehlerhaften Spezifikation wurde fälschlicherweise gemeldet, dass alle Verbindungen in Verwendung seien. Es werden jetzt detailliertere Meldungen angezeigt, z. B. “All connections are inoperable”, “Connection pool is empty”, “All connections are throttled” und “No available connections”. [CXM-50783]
  • Die Befehle “Zulassen/Blockieren/Löschen wurden in Einzelfällen mehrfach im internen XenMobile Mail Manager-Cache hinzugefügt. Das Problem führt zu einer Verzögerung beim Senden des Befehls an Exchange. In XenMobile Mail Manager wird jetzt jeder Befehl nur einmal hinzugefügt. [CXM-51524]

Neue Features in Version 10.1.3

  • Unterstützung von Google Analytics: Wir möchten wissen, wie Sie XenMobile Mail Manager verwenden, damit wir wissen, wo wir das Produkt verbessern können.
  • Einstellung zum Aktivieren der Diagnose: Das Kontrollkästchen Enable Diagnostic wird im Dialogfeld Configuration der Konsole angezeigt.

Abbildung der Mail Manager-Konsole

Behobene Probleme in Version 10.1.3

  • Im Fenster Snapshot History geben Zustands-QuickInfos nicht den tatsächlichen Zustand von Snapshots an. [CXM-5570] XenMobile Mail Manager kann zeitweise nicht in die Commands-Diagnosedatei schreiben. In diesem Fall wird der Befehlsverlauf nicht vollständig protokolliert. [CXM-49217]
  • Wenn bei einer Verbindung ein Fehler auftritt, wird die Verbindung möglicherweise nicht als fehlerhaft markiert. Die Verbindung wird dann bei einem nachfolgenden Befehl ggf. verwendet, wodurch ein weiterer Fehler auftritt. [CXM-49495]
  • Eine von Exchange Server kommende Drosselung kann eine Ausnahme in der Check Health-Routine auslösen. Verbindungen, bei denen ein Fehler aufgetreten ist oder die abgelaufen sind, werden dann evtl. nicht bereinigt. Außerdem stellt XenMobile Mail Manager möglicherweise keine Verbindungen her, bis die Drosselung endet. [CXM-49794].
  • Bei Überschreiten der maximalen Sitzungsanzahl für Exchange meldet XenMobile Mail Manager fälschlicherweise den Fehler “Device Capture Failed”. Stattdessen müsste gemeldet werden, dass die beiden von XenMobile Mail Manager normalerweise für die Exchange-Kommunikation verwendeten Sitzungen in Verwendung sind. [CXM-49994]

Neue Features in Version 10.1.2

  • Verbesserte Verbindung mit Exchange: XenMobile Mail Manager verwendet PowerShell-Sitzungen für die Kommunikation mit Exchange. Eine PowerShell-Sitzung kann – insbesondere bei Office 365 – nach einiger Zeit instabil werden, sodass Befehle nicht mehr ausgeführt werden. In XenMobile Mail Manager können jetzt Ablaufzeiträume für Verbindungen festgelegt werden. Wenn eine Verbindung abläuft, fährt XenMobile Mail Manager die PowerShell-Sitzung ordnungsgemäß herunter und erstellt eine neue. Dadurch sinkt die Wahrscheinlichkeit, dass PowerShell-Sitzungen instabil werden und Snapshotfehler auftreten.
  • Verbesserter Snapshot-Workflow: Große Snapshots sind zeitaufwendig und prozessintensiv. Tritt während eines Snapshots ein Fehler auf, versucht XenMobile Mail Manager jetzt bis zu drei Mal, den Snapshot fertigzustellen. Die Wiederholungsversuche beginnen nicht beim Startpunkt. XenMobile Mail Manager fährt dort fort, wo der Vorgang unterbrochen wurde. Dies verbessert die allgemeine Snapshoterfolgsrate, da zeitweise Fehler während der Snapshoterstellung toleriert werden.
  • Verbesserte Diagnose: Die Problembehandlung bei Snapshotvorgängen ist jetzt dank drei neuer Diagnosedateien, die optional während eines Snapshots generiert werden können, einfacher. Mithilfe der Dateien lassen sich Probleme mit PowerShell-Befehlen, Postfächer, bei denen Informationen fehlen, und nicht mit einem Postfach verknüpfbare Geräte identifizieren. Anhand der Dateien können Administratoren fehlerhafte Daten in Exchange identifizieren.
  • Verbesserte Speichernutzung: Die Speichernutzung durch XenMobile Mail Manager ist nun effizienter. Administratoren können festlegen, dass XenMobile Mail Manager automatisch neu und in einem sauberen Zustand gestartet wird.
  • Voraussetzung – Microsoft .NET Framework 4.6: Microsoft .NET Framework ist jetzt in Version 4.6 erforderlich.

Behobene Probleme

  • Fehler bei Aufforderung zur Eingabe von Anmeldeinformationen: Eine instabile Office 365-Sitzung führte häufig zu diesem Fehler. Das Problem wurde durch die verbesserte Verbindung mit Exchange behoben. (XMHELP-293, XMHELP-311, XMHELP-801)
  • Ungenaue Postfach- und Gerätezahl: XenMobile Mail Manager besitzt einen verbesserten Algorithmus für die Zuordnung von Postfächern zu Geräten. Die verbesserte Diagnose hilft bei der Identifizierung von Postfächern und Geräten, für die XenMobile Mail Manager nicht zuständig ist. (XMHELP-623)
  • Befehle zum Zulassen/Blockieren/Löschen nicht erkannt: Ein Fehler wurde behoben, durch den XenMobile Mail Manager-Befehle zum Zulassen/Blockieren/Löschen manchmal nicht erkannt wurden. (XMHELP-489)
  • Speicherverwaltung: bessere Verwaltung und besserer Ausgleich für Speicher. (XMHELP-419)

Architektur

Die folgende Abbildung zeigt die wichtigsten Komponenten von XenMobile Mail Manager. Ein detailliertes Architekturdiagramm finden Sie unter Architektur.

Diagramm der XenMobile Mail Manager-Architektur

Die drei Hauptkomponenten sind Folgende:

  • Exchange ActiveSync Access Control Management: ruft eine Exchange ActiveSync-Richtlinie bei XenMobile ab und führt diese mit lokal definierten Richtlinien zusammen, um zu bestimmen, welche Exchange ActiveSync-Geräte Zugriff auf Exchange erhalten sollen. Lokale Richtlinien ermöglichen die Erweiterung der Richtlinienregeln für die Zugriffssteuerung auf der Basis von Active Directory-Gruppe, Benutzer, Gerätetyp oder Gerätebenutzer-Agent (im Allgemeinen die Version der mobilen Plattform).
  • Remote PowerShell Management: verantwortlich für das Planen und Aufrufen von Remote-PowerShell-Befehlen für die Anwendung der über Exchange ActiveSync Access Control Management kompilierten Richtlinie. Erstellt in regelmäßigen Abständen einen Snapshot der Exchange ActiveSync-Datenbank zur Erkennung neuer oder geänderter Exchange ActiveSync-Geräte.
  • Mobile Service Provider: bietet eine Webdienstschnittstelle, sodass XenMobile Exchange ActiveSync- und BlackBerry-Geräte abfragen und Vorgänge zu deren Steuerung, etwa die Löschung von Daten, ausgeben kann.

Systemanforderungen und Voraussetzungen

Die folgenden Mindestsystemanforderungen müssen für XenMobile Mail Manager erfüllt werden:

  • Windows Server 2012 R2, Windows Server 2008 R2 (Englisch-Sprachversion erforderlich)
  • Microsoft SQL Server 2016, SQL Server 2014, SQL Server 2012, SQL Server 2012 Express LocalDB oder SQL Server Express 2008
  • Microsoft .NET Framework 4.6
  • Blackberry Enterprise Service, Version 5 (optional)

Unterstützte Mindestversionen von Microsoft Exchange Server:

  • Microsoft Office 365
  • Exchange Server 2016
  • Exchange Server 2013
  • Exchange Server 2010 SP2

Voraussetzungen:

  • Windows Management Framework installiert
    • PowerShell V5, V4 und V3
  • Die PowerShell-Ausführungsrichtlinie muss über Set-ExecutionPolicy RemoteSigned auf RemoteSigned festgelegt werden.
  • TCP-Port 80 muss zwischen dem Computer mit XenMobile Mail Manager und dem Remote-Computer mit Exchange Server geöffnet sein.

E-Mail-Clients auf Geräten: Nicht alle E-Mail-Clients geben konstant dieselbe ActiveSync-ID für das Gerät zurück. Da XenMobile Mail Manager eine eindeutige ActiveSync-ID für jedes Gerät erwartet, werden nur E-Mail-Clients unterstützt, die konstant dieselbe eindeutige ActiveSync-ID für jedes Gerät generieren. Folgende E-Mail-Clients wurden von Citrix getestet und funktionieren ordnungsgemäß:

  • HTC-nativer E-Mail-Client
  • Samsung-nativer E-Mail-Client
  • iOS-nativer E-Mail-Client
  • TouchDown für Smartphones

Exchange: Anforderungen für lokale Computer mit Exchange:

Das mit der Konfigurationsbenutzeroberfläche für Exchange festgelegte Konto muss in der Lage sein, eine Verbindung mit Exchange Server herzustellen und vollständigen Zugriff zum Ausführen der folgenden Exchange-spezifischen PowerShell-Cmdlets erhalten:

  • Exchange Server 2010 SP2
    • Get-CASMailbox
    • Set-CASMailbox
    • Get-Mailbox
    • Get-ActiveSyncDevice
    • Get-ActiveSyncDeviceStatistics
    • Clear-ActiveSyncDevice
    • Get-ExchangeServer
    • Get-ManagementRole
    • Get-ManagementRoleAssignment
  • Exchange Server 2013 und Exchange Server 2016:
    • Get-CASMailbox
    • Set-CASMailbox
    • Get-Mailbox
    • Get-MobileDevice
    • Get-MobileDeviceStatistics
    • Clear-MobileDevice
    • Get-ExchangeServer
    • Get-ManagementRole
    • Get-ManagementRoleAssignment
  • Wenn XenMobile Mail Manager zur Anzeige der kompletten Gesamtstruktur konfiguriert ist, muss die Berechtigung zum Ausführen von Set-AdServerSettings -ViewEntireForest $true gewährt werden.
  • Die angegebenen Anmeldeinformationen müssen zu einer Verbindung mit Exchange Server über die Remote-Shell berechtigt sein. Standardmäßig hat der Benutzer, der Exchange installiert, diese Berechtigung.
  • Laut Microsoft TechNet-Artikel über Remoteanforderungen müssen die Anmeldeinformationen zum Herstellen einer Remoteverbindung und Ausführen von Remotebefehlen einem Benutzer entsprechen, der auf dem Remotecomputer Administratorrechte hat. Sie können diese Anforderung mit dem Befehl “Set-PSSessionConfiguration” umgehen. Eine Erläuterung dieses Befehls geht jedoch über den Rahmen des vorliegenden Dokuments hinaus. Weitere Informationen finden Sie in dem Blogbeitrag You Don’t Have to Be An Administrator to Run Remote PowerShell Commands.
  • Exchange Server muss für die Unterstützung von Remote-PowerShell-Anfragen über HTTP konfiguriert sein. Normalerweise ist nur ein Administrator erforderlich, der folgenden PowerShell-Befehl auf dem Exchange Server ausführt: WinRM QuickConfig.
  • Exchange hat zahlreiche Drosselungsrichtlinien. Eine davon steuert, wie viele gleichzeitige PowerShell-Verbindungen pro Benutzer zugelassen sind. In Exchange 2010 ist die Standardzahl gleichzeitiger Verbindungen pro Benutzer 18. Wenn dieses Limit erreicht ist, kann XenMobile Mail Manager keine Verbindung mit Exchange Server herstellen. Es gibt Methoden zum Ändern der Zahl der maximal zulässigen gleichzeitigen Verbindungen über PowerShell, dies geht jedoch über den Rahmen der vorliegenden Dokumentation hinaus. Bei entsprechendem Interesse lesen Sie die Exchange-Dokumentation zu Drosselungsrichtlinien für die Remoteverwaltung per PowerShell.

Anforderungen für Office 365 Exchange

  • Berechtigungen: Das mit der Konfigurationsbenutzeroberfläche für Exchange festgelegte Konto muss in der Lage sein, eine Verbindung mit Office 365 herzustellen und vollständigen Zugriff zum Ausführen der folgenden Exchange-spezifischen PowerShell-Cmdlets erhalten:
    • Get-CASMailbox
    • Set-CASMailbox
    • Get-Mailbox
    • Get-MobileDevice
    • Get-MobileDeviceStatistics
    • Clear-MobileDevice
    • Get-ExchangeServer
    • Get-ManagementRole
    • Get-ManagementRoleAssignment
  • Privilegien: Die angegebenen Anmeldeinformationen müssen zu einer Verbindung mit dem Office 365-Server über die Remote-Shell berechtigt sein. Standardmäßig besitzt der Office 365-Onlineadministrator die erforderlichen Rechte.
  • Drosselungsrichtlinien: Exchange hat zahlreiche Drosselungsrichtlinien. Eine davon steuert, wie viele gleichzeitige PowerShell-Verbindungen pro Benutzer zugelassen sind. In Office 365 kann ein Benutzer standardmäßig drei gleichzeitige Verbindungen haben. Wenn dieses Limit erreicht ist, kann XenMobile Mail Manager keine Verbindung mit Exchange Server herstellen. Es gibt Methoden zum Ändern der Zahl der maximal zulässigen gleichzeitigen Verbindungen über PowerShell, dies geht jedoch über den Rahmen der vorliegenden Dokumentation hinaus. Bei entsprechendem Interesse lesen Sie die Exchange-Dokumentation zu Drosselungsrichtlinien für die Remoteverwaltung per PowerShell.

Installation und Konfiguration

  1. Klicken Sie auf die Datei XmmSetup.msi und folgen Sie den Anweisungen des Installers zum Installieren von XenMobile Mail Manager.

    Abbildung des Setupbildschirms für Mail Manager

  2. Lassen Sie auf dem letzten Bildschirm des Setupassistenten die Option Launch the Configure utility ausgewählt. Oder öffnen Sie über das Menü Start XenMobile Mail Manager.

    Abbildung des Setupbildschirms für Mail Manager

  3. Konfigurieren Sie die folgenden Datenbankeigenschaften:

    • Wählen Sie die Registerkarte Configure > Database aus.
    • Geben Sie den Namen des SQL-Servers ein (standardmäßig “localhost”).
    • Behalten Sie den Standarddatenbanknamen CitrixXmm bei.
  4. Wählen Sie einen der folgenden für SQL verwendeten Authentifizierungsmodi aus:

    • SQL: Geben Sie den Benutzernamen und das Kennwort eines gültigen SQL-Benutzers ein.
    • Windows Integrated: Wenn Sie diese Option auswählen, müssen die Anmeldeinformationen des XenMobile Mail Manager-Diensts in ein Windows-Konto geändert werden, das Zugriff auf den SQL-Server hat. Öffnen Sie hierfür Systemsteuerung > Verwaltung > Dienste. Klicken Sie mit der rechten Maustaste auf den XenMobile Mail Manager-Diensteintrag und klicken Sie dann auf die Registerkarte Anmelden.

    Wenn “Windows Integrated” auch für die BlackBerry-Datenbankverbindung ausgewählt wird, muss dem hier angegebenen Windows-Konto Zugriff auf die BlackBerry-Datenbank erteilt werden.

  5. Klicken Sie auf Test Connectivity, um sicherzustellen, dass eine Verbindung zum SQL-Server hergestellt werden kann, und klicken Sie auf Save.

  6. Eine Meldung fordert Sie zum Neustarten des Diensts auf. Klicken Sie auf Ja.

    Abbildung des Setupbildschirms für Mail Manager

  7. Konfigurieren Sie einen oder mehrere Exchange-Server:

    • Wenn Sie nur eine Exchange-Umgebung verwalten, konfigurieren Sie nur einen Server. Wenn Sie mehrere Exchange-Umgebungen verwalten, müssen Sie für jede einen eigenen Exchange Server-Computer festlegen.
    • Klicken Sie auf Configure > Exchange und dann auf Add.

    Abbildung des Setupbildschirms für Mail Manager

  8. Wählen Sie den Typ der Exchange Server-Umgebung aus: On Premise oder Office 365.

    Abbildung des Setupbildschirms für Mail Manager

    • Wenn Sie On Premise auswählen, geben Sie den Namen des für Remote PowerShell-Befehle verwendeten Exchange Servers ein.
    • Geben Sie den Benutzernamen einer Windows-Identität ein, die die unter “Anforderungen” aufgeführten Berechtigungen auf dem Exchange Server-Computer hat, und geben Sie das zugehörige Kennwort ein.
    • Wählen Sie den Zeitplan zum Ausführen größerer Snapshots. Bei einem größeren Snapshot wird jede Exchange ActiveSync-Partnerschaft ermittelt.
    • Wählen Sie den Zeitplan zum Ausführen kleinerer Snapshots. Bei einem kleineren Snapshot werden neu erstellte Exchange ActiveSync-Partnerschaften ermittelt.
    • Wählen Sie den Snapshottyp: Deep oder Shallow. Flache Snapshots (Shallow) werden in der Regel viel schneller erstellt und reichen zur Ausführung aller Funktionen der Exchange ActiveSync-Zugriffssteuerung von XenMobile Mail Manager aus. Tiefe Snapshots (Deep) brauchen länger und sind nur erforderlich, wenn Mobile Service Provider für ActiveSync aktiviert ist. Mit dieser Option kann XenMobile nicht verwaltete Geräte abfragen.
    • Wählen Sie den Standardzugriff aus: Allow, Block oder Unchanged. Durch die Einstellung wird gesteuert, wie Geräte behandelt werden, die keine der Kriterien von XenMobile-Regeln oder lokalen Regeln erfüllen. Wenn Sie Allow auswählen, ist der ActiveSync-Zugriff auf all diese Geräte zulässig. Wenn Sie Block auswählen, wird der Zugriff verweigert. Wenn Sie Unchanged auswählen, wird keine Änderung vorgenommen.
    • Wählen Sie für “ActiveSync Command Mode” eine Option aus: PowerShell oder Simulation.
    • Im PowerShell-Modus gibt XenMobile Mail Manager die PowerShell-Befehle für die gewünschte Zugriffssteuerung aus. Im Simulationsmodus werden von XenMobile Mail Manager keine PowerShell-Befehle ausgegeben, sondern stattdessen beabsichtigte Befehle und Ergebnisse in der Datenbank protokolliert. Im Simulationsmodus kann der Benutzer auf der Registerkarte “Monitor sehen, was passiert wäre, wenn der PowerShell-Modus aktiviert gewesen wäre.
    • Legen Sie unter Connection Expiration die Lebensdauer für Verbindungen fest. Wenn eine Verbindung das vorgegebene Alter erreicht, wird sie als abgelaufen markiert und nicht wieder verwendet. Eine solchermaßen nicht mehr verwendete Verbindung wird von XenMobile Mail Manager ordnungsgemäß getrennt. Wird erneut eine Verbindung benötigt, so wird eine erstellt, wenn keine verfügbar ist. Erfolgt keine Angabe, wird der Standardwert von 30 Minuten verwendet.
    • Wählen Sie View Entire Forest, damit XenMobile Mail Manager die gesamte Active Directory-Struktur in der Exchange-Umgebung anzeigt.
    • Wählen Sie das Authentifizierungsprotokoll aus: Kerberos oder Basic. XenMobile Mail Manager unterstützt die Basic-Authentifizierung für lokale Bereitstellungen. So kann XenMobile Mail Manager auch verwendet werden, wenn der XenMobile Mail Manager-Server kein Mitglied der Domäne des Exchange-Servers ist.
    • Klicken Sie auf Test Connectivity, um sicherzustellen, dass eine Verbindung zum Exchange-Server hergestellt werden kann, und klicken Sie auf Save.
    • Eine Meldung fordert Sie zum Neustarten des Diensts auf. Klicken Sie auf Yes.
  9. Konfigurieren Sie die Zugriffsregeln: Klicken Sie auf die Registerkarte Configure > Access Rules, klicken Sie auf die Registerkarte “XMS Rules” und dann auf Add.

    Abbildung der Mail Manager-Konsole

  10. Ändern Sie auf der Seite XenMobile server Service Properties die URL-Zeichenfolge so, dass sie auf den XenMobile-Server verweist. Wenn der Instanzname beispielsweise zdm lautet, geben Sie http://<XdmHostName>/zdm/services/MagConfigService ein. Ersetzen Sie XdmHostName in dem Beispiel durch die IP- oder DNS-Adresse des XenMobile-Servers.

    Abbildung der Mail Manager-Konsole

    • Geben Sie einen berechtigten Serverbenutzer an.
    • Geben Sie das Kennwort des Benutzers ein.
    • Behalten Sie die Standardwerte für Baseline Interval, Delta Interval und Timeout bei.
    • Klicken Sie auf Test Connectivity, um die Verbindung zu dem Server zu testen, und klicken Sie auf OK.

    Wenn das Kontrollkästchen Disabled aktiviert ist, ruft der XenMobile Mail-Dienst keine Richtlinien von XenMobile ab.

  11. Klicken Sie auf die Registerkarte Local Rules.

    Abbildung der Mail Manager-Konsole

    • Sie können lokale Regeln basierend auf den Parametern “ActiveSync Device ID”, “Device Type”, “AD Group”, “User” oder “UserAgent” hinzufügen. Wählen Sie in der Liste den geeigneten Schlüssel aus.
    • Geben Sie Text oder Textteile in das Textfeld ein. Klicken Sie optional auf die Schaltfläche “Query”, um die Entsprechungen für die Textteile anzuzeigen.

    Bei allen Typen mit Ausnahme von Group verwendet das System die in einem Snapshot gefundenen Geräte. Wenn Sie gerade erst anfangen und noch keinen Snapshot erstellt haben, ist daher noch nichts verfügbar.

    • Wählen Sie einen Textwert aus und klicken Sie auf Allow oder Deny, um ihn rechts zum Bereich Rule List hinzuzufügen. Sie können die Reihenfolge der Regeln ändern oder sie mithilfe der Schaltflächen rechts neben dem Bereich Rule List entfernen. Die Reihenfolge ist wichtig, weil die Regeln für jeden Benutzer bzw. jedes Gerät in der angegebenen Reihenfolge bewertet werden und eine Übereinstimmung bei einer höher stehenden Regel dazu führt, dass darunter stehende Regeln wirkungslos bleiben. Beispiel: Wenn Sie eine Regel zum Zulassen aller iPads und darunter eine Regel zum Blockieren des Benutzers “Matthias” erstellen, dann wird das iPad des Benutzers Matthias zugelassen, da die iPad-Regel Priorität vor der Matthias-Regel hat.
    • Zum Durchführen einer Analyse der Regeln in der Liste auf mögliche Außerkraftsetzungen, Konflikte oder zusätzliche Konstrukte klicken Sie zunächst auf Analyze und dann auf Save.
  12. Wenn Sie lokale Regeln für Active Directory-Gruppen erstellen möchten, klicken Sie auf Configure LDAP und konfigurieren Sie die LDAP-Verbindungseigenschaften.

    Abbildung der Mail Manager-Konsole

  13. Konfigurieren des Mobile Service Provider-Diensts

    Mobile Service Provider ist optional. Der Dienst ist nur erforderlich, wenn auch XenMobile für die Verwendung der Mobile Service Provider-Schnittstelle zum Abfragen nicht verwalteter Geräte konfiguriert ist.

    • Wählen Sie die Registerkarte Configure > MSP.

    Abbildung der Mail Manager-Konsole

    • Legen Sie den Dienst-Transporttyp für Mobile Service Provider auf HTTP oder HTTPS fest.
    • Legen Sie unter Service port den Port (normalerweise 80 oder 443) für den Mobile Service Provider-Dienst fest. Wenn Sie Port 443 verwenden, muss an den Port in IIS ein SSL-Zertifikat gebunden sein.
    • Legen Sie Authorization Group oder User fest. Dies ist die Gruppe bzw. der Benutzer, die bzw. der in XenMobile eine Verbindung mit dem Mobile Service Provider-Dienst herstellen kann.
    • Legen Sie fest, ob ActiveSync-Abfragen aktiviert sein sollen. Wenn ActiveSync-Abfragen für den XenMobile-Server aktiviert werden, muss der Snapshottyp für den bzw. die Exchange Server auf Deep eingestellt werden. Diese Einstellung kann zu einer starken Leistungsminderung beim Erstellen von Snapshots führen.
    • Standardmäßig werden ActiveSync-Geräte, die dem regelmäßigen Ausdruck “Secure Mail.*” entsprechen, nicht an XenMobile gesendet. Zum Ändern dieses Verhaltens ändern Sie das Feld Filter ActiveSync nach Bedarf. Ein leeres Feld bedeutet, dass alle Geräte an XenMobile weitergeleitet werden.
    • Klicken Sie auf Speichern.
  14. Konfigurieren Sie optional eine oder mehrere Instanzen von BlackBerry Enterprise Server (BES): Klicken Sie auf Add und geben Sie den Servernamen des BES-SQL-Servers ein

    Abbildung der Mail Manager-Konsole

    • Geben Sie den Namen der BES-Verwaltungsdatenbank ein.
    • Wählen Sie unter Authentication den Authentifizierungsmodus aus. Bei Auswahl von “Windows Integrated” wird das Benutzerkonto des XenMobile Mail Manager-Diensts für die Verbindung mit dem BES SQL-Server verwendet. Wenn “Windows Integrated” auch für die XenMobile Mail Manager-Datenbankverbindung ausgewählt wird, muss dem hier angegebenen Windows-Konto Zugriff auf die XenMobile Mail Manager-Datenbank erteilt werden.
    • Wenn Sie SQL authentication auswählen, geben Sie den Benutzernamen und das Kennwort ein.
    • Legen Sie unter Sync Schedule den Synchronisierungszeitplan fest. Nach diesem Zeitplan erfolgt eine regelmäßige Verbindung mit dem BES SQL-Server zur Prüfung auf Aktualisierungen an Geräten.
    • Klicken Sie auf Test Connectivity, um die Verbindung mit dem SQL-Server zu prüfen. Wurde “Windows Integrated” ausgewählt, wird beim Test das Konto des aktuell angemeldeten Benutzers anstelle des XenMobile Mail Manager-Dienstkontos verwendet und die SQL-Authentifizierung daher nicht richtig getestet.
    • Wenn Sie Remotelöschen und Zurücksetzen des Kennworts auf BlackBerry-Geräten von XenMobile aus unterstützen möchten, aktivieren Sie das Kontrollkästchen Enabled.
    • Geben Sie den vollqualifizierten Domänennamen (FQDN) des BES ein.
    • Geben Sie den BES-Port für den Verwaltungswebdienst ein.
    • Geben Sie den vollständig qualifizierten Benutzernamen und das Kennwort für den BES-Dienst ein.
    • Klicken Sie auf Test Connectivity, um die Verbindung mit BES zu testen.
    • Klicken Sie auf Speichern.

Erzwingen von E-Mail-Richtlinien mit ActiveSync-IDs

Die E-Mail Richtlinie Ihres Unternehmens schreibt möglicherweise vor, dass bestimmte Geräte nicht für Unternehmens-E-Mails verwendet werden dürfen. Für die Einhaltung dieser Richtlinie müssen Sie sicherstellen, dass Benutzer über solche Geräte keinen Zugriff auf Unternehmens-E-Mail haben. XenMobile Mail Manager und XenMobile sorgen zusammen für die Einhaltung einer solchen E-Mail-Richtlinie. In XenMobile wird die Richtlinie für den Zugriff auf Unternehmens-E-Mail festgelegt, und wenn ein nicht genehmigtes Gerät bei XenMobile registriert wird, erzwingt XenMobile Mail Manager die Einhaltung der Richtlinie.

Der E-Mail-Client eines Geräts kündigt sich bei Exchange Server (oder Office 365) mit der Geräte-ID an. Die Geräte-ID wird auch als “ActiveSync-ID” bezeichnet und ermöglicht die Identifizierung des Geräts. Secure Hub ruft eine ähnliche ID ab und sendet sie XenMobile, wenn das Gerät registriert wird. Durch den Vergleich der beiden Geräte-IDs kann XenMobile Mail Manager ermitteln, ob ein bestimmtes Gerät auf Unternehmens-E-Mail zugreifen darf. Das Konzept wird in folgender Abbildung dargestellt:

Diagramm des Workflows zur Ermittlung der ActiveSync-ID

Wenn XenMobile eine andere ActiveSync-ID an XenMobile Mail Manager sendet als die, die das Gerät an Exchange gibt, dann kann XenMobile Mail Manager Exchange nicht anzeigen, wie mit dem Gerät verfahren werden soll.

Das Zuordnen von ActiveSync-IDs funktioniert zuverlässig auf den meisten Plattformen. Bei einigen Android-Implementierungen hat Citrix jedoch festgestellt, dass sich die ActiveSync-ID des Geräts von der ID unterscheidet, die der E-Mail-Client Exchange ankündigt. Auf folgende Weise mindern Sie das Problem:

  • Auf der Samsung SAFE-Plattform stellen Sie die ActiveSync-Konfiguration von XenMobile per Push auf dem Gerät bereit.
  • Auf allen anderen Android-Plattformen stellen Sie die TouchDown-App und die TouchDown-ActiveSync-Konfiguration von XenMobile per Push bereit.

Dadurch wird jedoch nicht verhindert, dass ein Mitarbeiter einen anderen E-Mail-Client als TouchDown auf einem Android-Gerät installiert. Um sicherzustellen, dass die Unternehmensrichtlinien für den E-Mail-Zugriff ordnungsgemäß durchgesetzt werden, können Sie eine defensive Sicherheitsstrategie anwenden und XenMobile Mail Manager so konfigurieren, dass E-Mails blockiert werden, indem Sie die statische Richtlinie standardmäßig auf “Verweigern” festlegen. Wenn ein Mitarbeiter dann einen anderen E-Mail-Client als TouchDown auf einem Android-Gerät konfiguriert und die ActiveSync-ID-Erkennung nicht ordnungsgemäß funktioniert, wird dem Mitarbeiter der Zugriff auf Unternehmens-E-Mail verweigert.

Regeln für die Zugriffssteuerung

XenMobile Mail Manager bietet eine regelbasierte Methode zur dynamischen Konfiguration der Zugriffssteuerung für Exchange ActiveSync-Geräte. XenMobile Mail Manager-Zugriffsregeln bestehen aus zwei Teilen: einem Abgleichausdruck und dem gewünschten Zugriffszustand (Zulassen oder Blockieren). Eine Regel kann gegen ein Exchange ActiveSync-Gerät ausgewertet werden, um zu ermitteln, ob die Regel auf das Gerät zutrifft, d. h. ob der Abgleichausdruck auf das Gerät zutrifft. Es gibt mehrere Arten von Abgleichausdrücken, eine Regel kann beispielsweise auf alle Geräten eines bestimmten Typs, eine bestimmte Exchange ActiveSync-Geräte-ID, alle Geräte eines bestimmten Benutzers usw. zutreffen.

Beim Hinzufügen, Entfernen und Umordnen von Regeln in der Regelliste kann die Liste jederzeit mit einem Klick auf die Schaltfläche Abbrechen auf den Zustand zurückgesetzt werden, den sie beim ersten Öffnen hatte. Wenn Sie nicht auf Speichern klicken, gehen alle im Fenster gemachten Änderungen verloren, wenn Sie das Tool zum Konfigurieren schließen.

XenMobile Mail Manager bietet drei Regeltypen: lokale Regeln, XenMobile-Serverregeln (XDM-Regeln) und die Standardzugriffsregel.

Lokale Regeln: Diese haben die höchste Priorität, d. h. sobald eine lokale Regel auf ein Gerät zutrifft, wird die Regelauswertung eingestellt. Es werden weder die XenMobile-Serverregeln noch die Standardzugriffsregel konsultiert. Lokale Regeln werden in Bezug auf XenMobile Mail Manager lokal über die Registerkarte Konfigurieren > Zugriffsregeln > Lokale Regeln konfiguriert. Der Abgleich basiert auf der Mitgliedschaft von Benutzern bei einer bestimmten Active Directory-Gruppe. Der Abgleich basiert auf regulären Ausdrücken in folgenden Feldern:

  • ActiveSync Device ID
  • ActiveSync Device Type
  • User Principal Name (UPN)
  • ActiveSync User Agent (normalerweise die Geräteplattform oder der E-Mail Client)

Sofern ein größerer Snapshot durchgeführt und Geräte gefunden wurden, müsste es möglich sein, eine normale Regel oder eine solche mit regulären Ausdrücken hinzuzufügen. Wenn kein größerer Snapshot durchgeführt wurde, können Sie nur Regeln mit regulären Ausdrücken hinzufügen.

XenMobile-Serverregeln: Diese Regeln sind Verweise auf einen externen XenMobile-Server, der Regeln für verwaltete Geräte bereitstellt. Der XenMobile-Server kann mit eigenen allgemeinen Regeln konfiguriert werden, bei denen Geräte basierend auf in XenMobile bekannten Eigenschaften (z. B. Vorliegen von Jailbreak oder Vorhandensein verbotener Apps) zugelassen oder blockiert werden. XenMobile wertet die allgemeinen Regeln aus und generiert eine Liste zulässiger bzw. blockierter ActiveSync-Geräte-IDs, die dann an XenMobile Mail Manager gesendet werden.

Standardzugriffsregel: Die Besonderheit der Standardzugriffsregel besteht darin, dass sie theoretisch auf jedes Gerät zutreffen kann und immer als letzte ausgewertet wird. Die Regel dient als Auffangnetz für alle Geräte; trifft bei einem Gerät weder eine lokale noch eine XenMobile-Serverregel zu, wird der gewünschte Zugriffszustand durch die Standardzugriffsregel bestimmt.

  • Default Access – Allow: Geräte, auf die weder eine lokale noch eine XenMobile-Serverregel zutrifft, werden alle zugelassen.
  • Default Access – Block: Geräte, auf die weder eine lokale noch eine XenMobile-Serverregel zutrifft, werden alle blockiert.
  • Default Access – Unchanged: Bei Geräten, auf die weder eine lokale noch eine XenMobile-Serverregel zutrifft, wird der Zugriffszustand von XenMobile Mail Manager nicht geändert. Wurde ein Gerät beispielsweise durch Exchange in den Quarantänemodus versetzt, erfolgt keine Aktion. Das Gerät kann nur aus dem Quarantänemodus genommen werden, wenn es eine explizite lokale oder XDM-Regel gibt, die die Quarantäne außer Kraft setzt.

Regelauswertung

Für jedes Gerät, das Exchange an XenMobile Mail Manager meldet, werden die Regeln beginnend bei der Regel mit der höchsten bis zu der Regel mit der niedrigsten Priorität in folgender Reihenfolge ausgewertet:

  • Lokale Regeln
  • XenMobile-Serverregeln
  • Standardzugriffsregel

Sobald eine Regel zutrifft, wird die Auswertung beendet. Trifft beispielsweise eine lokale Regel auf ein Gerät zu, erfolgt für dieses keine Auswertung der XenMobile-Serverregeln oder der Standardzugriffsregel. Das gleiche Prinzip gilt für die Regeln desselben Regeltyps. Beispiel: Treffen mehrere lokale Regeln auf ein Gerät zu, wird die Auswertung beendet, wenn die erste Übereinstimmung gefunden wird.

XenMobile Mail Manager wiederholt die Auswertung eines vorliegenden Regelsatzes, wenn Geräteeigenschaften sich ändern, wenn Geräte hinzugefügt oder entfernt werden oder wenn die Regeln selbst sich ändern. Bei größeren Snapshots werden Änderungen an Eigenschaften und Entfernungen von Geräten in konfigurierbaren Intervallen ermittelt. Bei kleineren Snapshots werden Hinzufügungen von Geräten in konfigurierbaren Intervallen ermittelt.

Exchange ActiveSync umfasst ebenfalls Regeln für den Zugriff. Es ist wichtig, zu wissen, wie diese Regeln im Zusammenhang mit XenMobile Mail Manager funktionieren. In Exchange können Regeln dreierlei Ebenen konfiguriert werden: persönliche Ausnahmen, Geräteregeln und Organisationseinstellungen. XenMobile Mail Manager automatisiert die Zugriffssteuerung durch programmgesteuerte Remote PowerShell-Anforderungen, die sich auf die Listen der persönlichen Ausnahmen auswirken. Bei diesen handelt es sich um Listen zulässiger oder blockierter Exchange ActiveSync-Geräte-IDs eines Postfachs. Wird XenMobile Mail Manager bereitgestellt, übernimmt es die Verwaltung der Ausnahmelistenfunktion in Exchange. Weitere Informationen finden Sie in diesem Microsoft-Artikel.

Eine Analyse ist besonders dann nützlich, wenn mehrere Regeln für das gleiche Feld definiert wurden. Sie können die Beziehungen zwischen Regeln auf Konflikte untersuchen. Die Analyse erfolgt aus der Perspektive der Regelfelder, d. h. Regeln werden beispielsweise in Gruppen nach abgeglichenen Feld (ActiveSync Device ID, ActiveSync Device Type, User, User Agent usw.) analysiert.

Terminologie der Regeln

  • Außerkraftsetzung: Eine Außerkraftsetzung tritt auf, wenn mehrere Regeln auf ein Gerät zutreffen. Da Regeln nacheinander gemäß Priorität ausgewertet werden, werden zutreffende Regeln weiter unten in der Liste möglicherweise nie ausgewertet.
  • Konflikt: Ein Konflikt tritt auf, wenn mehrere Regeln auf ein Gerät zutreffen, der Zugriffszustand (Zulassen/Blockieren) jedoch nicht übereinstimmt. Handelt es sich nicht um Regeln mit regulären Ausdrücken, folgt aus einem Konflikt grundsätzlich eine Außerkraftsetzung.
  • Ergänzung: Eine Ergänzung liegt vor, wenn mehrere Regeln reguläre Ausdrücke enthalten und daher sichergestellt werden muss, dass die regulären Ausdrücke sich entweder zu einem einzigen zusammenfassen lassen, oder aber keine Funktionalität duplizieren. Eine Ergänzungsregel kann auch beim Zugriffszustand (Zulassen/Blockieren) einen Konflikt verursachen.
  • Primärregel: Die primäre Regel ist diejenige, auf die im Dialogfeld geklickt wurde. Sie wird durch einen durchgehenden Rahmen optisch hervorgehoben. Für diese Regel werden auch ein oder zwei nach oben oder unten weisende grüne Pfeile angezeigt. Ein nach oben weisender Pfeil zeigt an, dass es Nebenregeln gibt, die vor der primären Regel stehen. Ein nach unten weisender Pfeil zeigt an, dass es Nebenregeln gibt, die nach der primären Regel stehen. Es kann immer nur eine primäre Regel aktiv sein.
  • Nebenregel: Eine Nebenregel hängt durch eine Außerkraftsetzung, einen Konflikt oder eine Ergänzungsbeziehung mit einer primären Regel zusammen. Solche Regeln werden durch einen gestrichelten Rahmen optisch hervorgehoben. Jede primäre Regel kann beliebig viele Nebenregeln haben. Wenn Sie auf einen unterstrichenen Eintrag klicken, erfolgt die Hervorhebung der Nebenregeln immer aus der Sicht der primären Regel. Beispiel: Die Nebenregel wird durch die primäre Regel außer Kraft gesetzt und/oder die Nebenregel verursacht einen Konflikt beim Zugriffszustand mit der primären Regel und/oder die Nebenregel ergänzt die primäre Regel.

Darstellung des Regeltyps im Dialogfeld “Rule Analysis”

Wenn keine Konflikte, Außerkraftsetzungen oder Ergänzungen vorliegen, enthält das Dialogfeld “Rule Analysis” keine unterstrichenen Einträge. Das Klicken auf Elemente hat keine Auswirkung, es wird z. B. normal angezeigt, welches Element ausgewählt ist.

Im Fenster “Rule Analysis” ist ein Kontrollkästchen, bei dessen Aktivierung nur die Regeln angezeigt werden, die Konflikte, Überschreibungen, Redundanzen oder Ergänzungen sind.

Abbildung der Mail Manager-Konsole

Wenn eine Außerkraftsetzung vorliegt, werden mindestens zwei Regeln unterstrichen dargestellt: die primäre Regel und die Nebenregel(n). Mindestens eine Nebenregel erscheint in einer helleren Schrift, um anzuzeigen, dass sie durch eine höhere Regel außer Kraft gesetzt wird. Sie können auf die außer Kraft gesetzte Regel klicken, um zu ermitteln, durch welche Regel(n) sie außer Kraft gesetzt wird. Neben außer Kraft gesetzten Primär- oder Nebenregeln wird, sobald sie ausgewählt werden, ein schwarzer Punkt als deutliches Zeichen dafür angezeigt, dass die jeweilige Regel nicht aktiv ist. Beispiel: Bevor Sie auf eine Regel klicken, wird das Dialogfeld folgendermaßen angezeigt:

Abbildung der Mail Manager-Konsole

Wenn Sie auf die Regel mit der höchsten Priorität klicken, wird es folgendermaßen angezeigt:

Abbildung der Mail Manager-Konsole

In diesem Beispiel ist die Regel mit regulären Ausdrücken WorkMail.* die primäre Regel (angezeigt durch den durchgehenden Rahmen) und die normale Regel workmailc633313818 ist eine Nebenregel (angezeigt durch den gestrichelten Rahmen). Der schwarze Punkt neben der Nebenregel weist deutlich darauf hin, dass die Regel inaktiv ist (d. h. niemals ausgewertet wird), da ihr die Regel mit den regulären Ausdrücken voransteht und eine höhere Priorität hat. Nach dem Klicken auf die außer Kraft gesetzte Regel wird das Dialogfeld folgendermaßen angezeigt:

Abbildung der Mail Manager-Konsole

Im obigen Beispiel ist die Regel mit regulären Ausdrücken WorkMail.* die Nebenregel (angezeigt durch den gestrichelten Rahmen) und die normale Regel workmailc633313818 ist eine primäre Regel (angezeigt durch den durchgehenden Rahmen). In diesem einfachen Beispiel ist der Unterschied nicht groß. Ein etwas vielschichtigeres Beispiel finden Sie weiter unten in der Beschreibung komplexer Ausdrücke. In einem Szenario mit vielen definierten Regeln lässt sich durch einen Klick auf eine außer Kraft gesetzte Regel schnell herausfinden, welche Regel(n) sie außer Kraft setzen.

Wenn ein Konflikt vorliegt, werden mindestens zwei Regeln unterstrichen dargestellt: die primäre Regel und die Nebenregel(n). Die widersprüchlichen Regeln werden mit einem roten Punkt gekennzeichnet. Ein reiner Konflikt ist nur möglich, wenn mindestens zwei Regeln mit regulären Ausdrücken definiert wurden. Bei allen anderen Szenarios liegt nicht nur ein Konflikt vor, sondern auch eine Außerkraftsetzung. Vor dem Klicken auf eine der Regeln in diesem einfachen Beispiel sieht das Dialogfeld folgendermaßen aus:

Abbildung der Mail Manager-Konsole

Eine Untersuchung der beiden Regeln mit regulären Ausdrücken ergibt, dass die erste alle Geräte, deren ID “App” enthält, zulässt und die zweite alle Geräte, deren ID “Appl” enthält, blockiert. Obwohl die zweite Regel alle Geräte, deren ID “Appl” enthält, blockiert, wird kein Gerät, auf das die Regel zutrifft, je blockiert, da die zulassende Regel eine höhere Priorität hat. Nach dem Klicken auf die erste Regel wird das Dialogfeld folgendermaßen angezeigt:

Abbildung der Mail Manager-Konsole

Im vorherigen Szenario wird sowohl die primäre Regel (mit dem regulären Ausdruck App.*) und die Nebenregel (mit dem regulären Ausdruck Appl.*) gelb markiert angezeigt. Dies ist ein einfacher optischer Warnhinweis auf den Umstand, dass mehrere Regeln mit regulärem Ausdruck für ein einzelnes Feld angewendet wurden, was eine Redundanz oder ein schwerwiegenderes Problem bedeuten kann.

In einem Szenario mit Konflikt und Außerkraftsetzung wird sowohl die primäre Regel (mit dem regulären Ausdruck App.*) und die Nebenregel (mit dem regulären Ausdruck Appl.*) gelb markiert angezeigt. Dies ist ein einfacher optischer Warnhinweis auf den Umstand, dass mehrere Regeln mit regulärem Ausdruck für ein einzelnes Feld angewendet wurden, was eine Redundanz oder ein schwerwiegenderes Problem bedeuten kann.

Abbildung der Mail Manager-Konsole

Im vorherigen Beispiel ist leicht zu erkennen, dass die erste Regel (mit dem regulären Ausdruck SAMSUNG.*) die nächste Regel (normale Regel SAMSUNG-SM-G900A/101.40402) außer Kraft setzt und überdies ein Konflikt beim Zugriffszustand (primäre Regel = Zulassen, Nebenregel = Blockieren) vorliegt. Die zweite Regel (normale Regel SAMSUNG-SM-G900A/101.40402) wird in einer helleren Schrift dargestellt, um darauf hinzuweisen, dass sie aufgrund einer Außerkraftsetzung inaktiv ist.

Nach dem Klicken auf die Regel mit dem regulären Ausdruck wird das Dialogfeld folgendermaßen angezeigt:

Abbildung der Mail Manager-Konsole

Die primäre Regel (mit dem regulären Ausdruck SAMSUNG.*) ist mit einem roten Punkt gekennzeichnet, um anzuzeigen, dass ihr Zugriffszustand im Widerspruch mit dem von mindestens einer Nebenregel steht. Die Nebenregel (normale Regel SAMSUNG-SM-G900A/101.40402) ist mit einem roten Punkt gekennzeichnet, um anzuzeigen, dass ihr Zugriffszustand im Widerspruch mit dem der primären Regel steht. Ein schwarzer Punkt zeigt überdies an, dass sie außer Kraft gesetzt und daher inaktiv ist.

Mindestens zwei Regeln werden unterstrichen dargestellt: die primäre Regel und die Nebenregel(n). Regeln, die nur einander ergänzen, können nur solche mit regulären Ausdrücken sein. Wenn Regeln einander ergänzen, werden sie durch eine gelbe Schattierung gekennzeichnet. Vor dem Klicken auf eine der Regeln in diesem einfachen Beispiel sieht das Dialogfeld folgendermaßen aus:

Abbildung der Mail Manager-Konsole

Es ist leicht zu erkennen, dass beide Regeln solche mit regulären Ausdrücken sind, und beide auf das Feld “ActiveSync device ID” in XenMobile Mail Manager angewendet werden. Nach dem Klicken auf die erste Regel sieht das Dialogfeld folgendermaßen aus:

Abbildung der Mail Manager-Konsole

Die primäre Regel (mit dem regulären Ausdruck WorkMail.*) ist gelb hinterlegt, um anzuzeigen, dass es mindestens eine Nebenregel mit einem regulären Ausdruck gibt. Die Nebenregel (mit dem regulären Ausdruck SAMSUNG.*) ist gelb hinterlegt, um anzuzeigen, dass sie und die primäre Regel als Regel mit einem regulären Ausdruck auf dasselbe Feld in XenMobile Mail Manager (ActiveSync device ID) angewendet werden. In diesem Fall ist dieses Feld die ActiveSync-Geräte-ID. Dabei überschneiden die regulären Ausdrücke einander möglicherweise. Sie müssen entscheiden, ob die regulären Ausdrücke richtig konfiguriert wurden.

Beispiel für einen komplexen Ausdruck

Es sind viele Außerkraftsetzungen, Konflikte oder Ergänzungen möglich, die hier nicht alle mit einem Beispiel vorgestellt werden können. Im Folgenden werden anhand eines Negativbeispiels die immensen Vorzüge des visuellen Konstrukts der Regelanalyse gezeigt. Die meisten Elemente in der folgenden Abbildung sind unterstrichen. Viele Elemente werden in einer helleren Schrift dargestellt, wodurch angezeigt wird, dass die jeweilige Regel durch eine höhere Regel außer Kraft gesetzt wurde. Die Liste enthält auch eine Reihe von Regeln mit regulären Ausdrücken, die durch das Symbol Image of icon gekennzeichnet sind.

Abbildung der Mail Manager-Konsole

Analysieren einer Außerkraftsetzung

Um zu sehen, welche Regeln eine bestimmte Regel außer Kraft setzen, klicken Sie auf die Regel.

Beispiel 1: In diesem Beispiel wird untersucht, warum zentrain01@zenprise.com außer Kraft gesetzt wird.

Abbildung der Mail Manager-Konsole

Die primäre Regel (AD-Gruppenregel zenprise/TRAINING/ZenTraining B, bei der zentrain01@zenprise.com Mitglied ist) hat die folgenden Merkmale:

  • Sie ist blau unterlegt und wird von einem durchgehenden Rahmen umgeben.
  • Sie hat einen nach oben weisenden grünen Pfeil, was anzeigt, dass alle Nebenregeln weiter oben sind.
  • Sie ist mit einem roten und einem schwarzen Punkt gekennzeichnet, um anzuzeigen, dass erstens mindestens eine Nebenregel einen widersprüchlichen Zugriffszustand hat und zweitens die primäre Regel außer Kraft gesetzt und somit inaktiv ist.

Wenn Sie einen Bildlauf nach oben durchführen, wird Folgendes angezeigt:

Abbildung der Mail Manager-Konsole

In diesem Fall gibt es zwei Nebenregeln, die die primäre Regel außer Kraft setzen: die Regel mit regulärem Ausdruck zen.* und die normale Regel zentrain01@zenprise.com (von zenprise/TRAINING/ZenTraining A). Bei der letzteren Nebenregel besteht das Problem darin, dass die Active Directory-Gruppenregel ZenTraining A den Benutzer zentrain01@zenprise.com enthält, die Active Directory-Gruppenregel ZenTraining B den Benutzer zentrain01@zenprise.com jedoch auch enthält. Da die Nebenregel eine höhere Priorität hat als die primäre Regel, wird die primäre Regel außer Kraft gesetzt. Der Zugriffszustand der primären Regel ist “Zulassen” und weil der Zugriffszustand beider Nebenregeln “Blockieren” ist, werden alle mit einem roten Punkt gekennzeichnet, um auf den Konflikt hinzuweisen.

Beispiel 2: Dieses Beispiel zeigt, warum die Regel zu dem Gerät mit der ActiveSync-Geräte-ID 069026593E0C4AEAB8DE7DD589ACED33 außer Kraft gesetzt wurde:

Abbildung der Mail Manager-Konsole

Die primäre Regel (normale Regel mit Geräte-ID 069026593E0C4AEAB8DE7DD589ACED33) hat die folgenden Merkmale:

  • Sie ist blau unterlegt und wird von einem durchgehenden Rahmen umgeben.
  • Sie hat einen nach oben weisenden grünen Pfeil, was anzeigt, dass die Nebenregel weiter oben ist.
  • Sie ist mit einem schwarzen Punkt gekennzeichnet, um anzuzeigen, dass sie von einer Nebenregel außer Kraft gesetzt und somit deaktiviert wurde.

Abbildung der Mail Manager-Konsole

In diesem Fall wird die primäre Regel von einer einzigen Nebenregel außer Kraft gesetzt: der Regel mit der ActiveSync Geräte-ID und dem regulären Ausdruck 3E.*. Da der reguläre Ausdruck 3E.* auf 069026593E0C4AEAB8DE7DD589ACED33 zutrifft, würde die primäre Regel niemals ausgewertet.

Analysieren einer Ergänzung und eines Konflikts

In diesem Beispiel ist die primäre Regel die ActiveSync-Gerätetypregel mit dem regulären Ausdruck touch.* Sie hat folgende Merkmale:

  • Sie ist von einem durchgehenden Rahmen umgeben und gelb hinterlegt, was anzeigt, dass mehrere Regeln mit regulären Ausdrücken auf das gleiche Feld abzielen (in diesem Fall “ActiveSync device type”).
  • Ein nach oben und ein nach unten weisender Pfeil geben an, dass es mindestens eine Nebenregel mit höherer Priorität und mindestens eine Nebenregel mit niedrigerer Priorität gibt.
  • Der rote Punkt zeigt an, dass bei mindestens einer Nebenregel der Zugriffszustand auf Zulassen festgelegt ist und somit ein Konflikt mit der primären Regel besteht, bei welcher der Zugriffszustand auf Blockieren festgelegt ist.
  • Es gibt zwei Nebenregeln: die ActiveSync-Gerätetypregel mit dem regulären Ausdruck SAM.* und die ActiveSync-Gerätetypregel mit dem regulären Ausdruck Andro.*.
  • Beide Nebenregeln sind von einem gestrichelten Rahmen umgeben, welcher anzeigt, dass es sich um Nebenregeln handelt.
  • Beide Nebenregeln sind gelb hinterlegt, was anzeigt, dass sie auch auf das Regelfeld “ActiveSync device type” angewendet werden.
  • In einem solchen Szenario sollten Sie sicherstellen, dass die Regeln mit regulären Ausdrücken nicht redundant sind.

Abbildung der Mail Manager-Konsole

Weitere Analyse von Regeln

In diesem Beispiel wird demonstriert, dass Regelbeziehungen immer aus der Sicht der primären Regel dargestellt werden. Im vorherigen Beispiel wurde gezeigt, was ein Klick auf die Regel mit dem regulären Ausdruck für den Wert touch.* des Felds “device type” bewirkt. Wenn Sie auf die Nebenregel Andro.* klicken, werden andere Nebenregeln hervorgehoben.

Abbildung der Mail Manager-Konsole

In diesem Beispiel wird eine außer Kraft gesetzte Regel, die Teil der Regelbeziehung ist, gezeigt. Diese Regel ist die normale ActiveSync-Gerätetypregel Android, die außer Kraft gesetzt ist (sichtbar an der helleren Schrift und dem schwarzen Punkt) und deren Zugriffszustand mit dem der primären ActiveSync-Gerätetypregel mit regulärem Ausdruck Andro.* einen Konflikt verursacht. Letztere war vor dem Anklicken eine Nebenregel. Im vorherigen Beispiel wurde die normale ActiveSync-Gerätetypregel Android nicht als Nebenregel angezeigt, da sie aus Sicht der primären Regel (der ActiveSync-Gerätetypregel mit regulärem Ausdruck touch.*) nicht mit dieser in Beziehung stand.

Konfigurieren einer lokalen Regel mit normalem Ausdruck

  1. Klicken Sie auf die Registerkarte Access Rules.

    Abbildung der Mail Manager-Konsole

  2. Wählen Sie in der Liste Device ID das Feld aus, für das Sie eine lokale Regel erstellen möchten.

  3. Klicken Sie auf das Lupensymbol, um alle eindeutigen Übereinstimmungen für das ausgewählte Feld einzublenden. In diesem Beispiel wurde das Feld Gerätetyp ausgewählt und die Auswahlmöglichkeiten werden unten im Listenfeld aufgeführt.

    Abbildung der Mail Manager-Konsole

  4. Klicken Sie auf eines der Elemente in der Ergebnisliste und anschließend auf eine der folgenden Optionen:

    • Allow konfiguriert Exchange so, dass ActiveSync-Datenverkehr für alle übereinstimmenden Geräte zugelassen wird.
    • Deny Allow konfiguriert Exchange so, dass ActiveSync-Datenverkehr für alle übereinstimmenden Geräte verweigert wird.

    In diesem Beispiel wird der Zugriff für alle Geräte des Typs TouchDown verweigert.

    Abbildung der Mail Manager-Konsole

Hinzufügen eines regelmäßigen Ausdrucks

Lokale Regeln mit regulären Ausdrücken sind an dem Symbol Image of icon zu erkennen. Zum Hinzufügen einer Regel mit regulärem Ausdruck können Sie entweder einen Wert aus der Ergebnisliste für ein spezifisches Feld als Grundlage verwenden (sofern bereits ein größerer Snapshot durchgeführt wurde) oder den regulären Ausdruck selbst eingeben.

Erstellen eines regulären Ausdrucks aus einem vorhandenen Feldwert

  1. Klicken Sie auf die Registerkarte Access Rules.

    Abbildung der Mail Manager-Konsole

  2. Wählen Sie in der Liste Device ID das Feld aus, für das Sie eine lokale Regel mit regulärem Ausdruck erstellen möchten.

  3. Klicken Sie auf das Lupensymbol, um alle eindeutigen Übereinstimmungen für das ausgewählte Feld einzublenden. In diesem Beispiel wurde das Feld Gerätetyp ausgewählt und die Auswahlmöglichkeiten werden unten im Listenfeld aufgeführt.

    Abbildung der Mail Manager-Konsole

  4. Klicken Sie auf einen der Einträge in der Ergebnisliste. In diesem Beispiel wurde SAMSUNGSPHL720 ausgewählt und wird im Textfeld neben Device Type angezeigt.

    Abbildung der Mail Manager-Konsole

  5. Um alle Gerätetypen zuzulassen, deren Gerätetypwert “Samsung” enthält, fügen Sie eine Regel mit regulärem Ausdruck hinzu, indem Sie die folgenden Schritte ausführen:

    1. Klicken Sie in das Textfeld des ausgewählten Elements.

    2. Ändern Sie den Text SAMSUNGSPHL720 in SAMSUNG.*.

    3. Stellen Sie sicher, dass das Kontrollkästchen “regular expression” aktiviert ist.

    4. Klicken Sie auf Allow.

    Abbildung der Mail Manager-Konsole

Erstellen einer Zugriffsregel

  1. Klicken Sie auf die Registerkarte “Local Rules”.
  2. Zur Eingabe des regulären Ausdrucks benötigen Sie die Liste “Device ID” und das Textfeld mit dem ausgewählten Element.

    Abbildung der Mail Manager-Konsole

  3. Wählen Sie das gewünschte Kriterienfeld aus. In diesem Beispiel ist dies “Device Type”.
  4. Geben Sie den regulären Ausdruck ein. In diesem Beispiel ist dies samsung.*
  5. Stellen Sie sicher, dass das Kontrollkästchen “regular expression” aktiviert ist, und klicken Sie auf Allow oder Deny. In diesem Beispiel ist die Auswahl Allow. Endergebnis:

    Abbildung der Mail Manager-Konsole

Suchen von Geräten

Durch Aktivieren des Kontrollkästchens “regular expression” können Sie Geräte, die dem angegebenen Ausdruck entsprechen, suchen. Dieses Feature steht nur zur Verfügung, wenn ein größerer Snapshot erfolgreich durchgeführt wurde. Sie können das Feature nutzen, selbst wenn Sie keine Verwendung regulärer Ausdrücke planen. Beispiel: Sie möchten alle Geräte suchen, deren ActiveSync-Geräte-ID den Text “workmail” enthält. Gehen Sie hierfür wie nachfolgend beschrieben vor.

  1. Klicken Sie auf die Registerkarte “Access Rules”.
  2. Stellen Sie sicher, dass als Kriterienfeld “Device ID” (= Standardeinstellung) ausgewählt ist.

    Abbildung der Mail Manager-Konsole

  3. Klicken Sie in das Textfeld des ausgewählten Elements (blau in der Abbildung oben) und geben Sie workmail.* ein.
  4. Stellen Sie sicher, dass das Kontrollkästchen “regular expression” aktiviert ist, und klicken Sie auf das Lupensymbol, damit Übereinstimmungen angezeigt werden (siehe folgende Abbildung).

    Abbildung der Mail Manager-Konsole

Hinzufügen eines einzelnen Benutzers, eines einzelnen Geräts oder eines einzelnen Gerätetyps zu einer statischen Regel

Sie können statische Regeln basierend auf Benutzern, Geräte-IDs oder Gerätetypen auf der Registerkarte ActiveSync Devices hinzufügen.

  1. Klicken Sie auf die Registerkarte “ActiveSync Devices”.

  2. Klicken Sie in der Liste mit der rechten Maustaste auf einen Benutzer, ein Gerät oder einen Gerätetyp und wählen Sie Zulassen oder Verweigern aus.

    Die folgende Abbildung zeigt die Allow-/Deny-Option für user1.

    Abbildung der Mail Manager-Konsole

Geräteüberwachung

Die Registerkarte Monitor in XenMobile Mail Manager ermöglicht das Durchsuchen der erkannten Exchange ActiveSync- und BlackBerry-Geräte sowie des Verlaufs automatisch ausgegebener PowerShell-Befehle. Die Registerkarte Monitor enthält die folgenden drei Registerkarten:

  • ActiveSync Devices:
    • Sie können die angezeigten ActiveSync-Geräte exportieren, indem Sie auf die Schaltfläche Export klicken.
    • Sie können lokale (statische) Regeln hinzufügen, indem Sie mit der rechten Maustaste auf die Spalte User, Device ID oder Type klicken und den entsprechenden Regeltyp zum Blockieren oder Zulassen auswählen.
    • Zum Reduzieren einer erweiterten Zeile klicken Sie darauf bei gedrückter Strg-Taste.
  • Blackberry-Geräte
  • Automation History

Auf der Registerkarte Configure wird der Verlauf aller Snapshots angezeigt. Unter “Snapshot history” wird angezeigt, wann ein Snapshot erstellt wurde, wie lange er dauerte, wie viele Geräte erkannt wurden und ggf. welche Fehler aufgetreten sind.

  • Klicken Sie auf der Registerkarte Exchange auf das Info-Symbol für den gewünschten Exchange-Server.
  • Klicken Sie auf der Registerkarte MSP auf das Info-Symbol für den gewünschten Blackberry-Server.

Problembehandlung und Diagnose

In folgender Protokolldatei von XenMobile Mail Manager werden Fehler und andere Betriebsinformationen aufgezeichnet: Install Folder\log\XmmWindowsService.log. Von XenMobile Mail Manager werden auch wichtige Ereignisse im Windows-Ereignisprotokoll protokolliert.

Häufige Fehler

Beispiele für verbreitete Fehler:

  • XenMobile Mail Manager-Dienst startet nicht

    Prüfen Sie die Protokolldatei und das Windows-Ereignisprotokoll auf Fehler. Typische Ursachen:

    • Der XenMobile Mail Manager-Dienst hat keinen Zugriff auf den SQL-Server. Dafür kann Folgendes Ursache sein:

      • Der SQL Server-Dienst wird nicht ausgeführt.
      • Die Authentifizierung schlägt fehl.

      Wenn die integrierte Windows-Authentifizierung konfiguriert ist, muss das Benutzerkonto von XenMobile Mail Manager als zulässige SQL-Anmeldung konfiguriert sein. Standardmäßig ist das Konto des XenMobile Mail Manager-Diensts das lokale System, es kann aber in jedes beliebige Konto, das über lokale Administratorprivilegien verfügt, geändert werden. Wenn die SQL-Authentifizierung konfiguriert ist, muss die SQL-Anmeldung in SQL richtig konfiguriert sein.

    • Der für den Mobile Service Provider konfigurierte Port ist nicht verfügbar. Es muss ein Überwachungsport verwendet werden, der von keinem anderen Prozess des Systems verwendet wird.

  • XenMobile kann keine Verbindung mit dem Mobile Service Provider herstellen

    Stellen Sie auf der Registerkarte Configure > MSP der XenMobile Mail Manager-Konsole sicher, dass der Port und Transport für den Mobile Service Provider-Dienst ordnungsgemäß konfiguriert sind. Stellen Sie sicher, dass die Autorisierungsgruppe bzw. der Benutzer richtig eingestellt ist.

    Wenn HTTPS konfiguriert ist, muss ein gültiges SSL-Serverzertifikat installiert sein. Wenn IIS installiert ist, kann IIS-Manager verwendet werden, um das Zertifikat zu installieren. Wenn IIS nicht installiert ist, konsultieren Sie die Seite http://msdn.microsoft.com/en-us/library/ms733791.aspx zur Installation von Zertifikaten.

    XenMobile Mail Manager enthält ein Hilfsprogramm zum Testen der Verbindung mit dem Mobile Service Provider-Dienst. Führen Sie das Programm InstallFolder\MspTestServiceClient.exe aus, legen Sie die URL und die Anmeldeinformationen auf Werte fest, die in XenMobile konfiguriert werden, und klicken Sie dann auf Test Connectivity. Dies simuliert die vom XenMobile-Dienst ausgehenden Webdienstanfragen. Wenn HTTPS konfiguriert ist, müssen Sie den Hostnamen des Servers (den im SSL-Zertifikat angegebenen Namen) verwenden.

    Für Test Connectivity muss mindestens ein ActiveSyncDevice-Datensatz vorhanden sein, sonst schlägt der Test möglicherweise fehl.

    Abbildung der Mail Manager-Konsole

Problembehandlungstools

PowerShell-Dienstprogramme zur Problembehandlung sind im Order Support\PowerShell verfügbar.

Ein Problembehandlungstool führt eine gründliche RBAC-Analyse von Benutzern sowie detaillierte Analysen der Postfächer und Geräte von Benutzern aus, um Fehlerzustände und potenzielle Fehlerbereiche zu erkennen. Alle Cmdlets können in eine Textdatei ausgegeben und gespeichert werden.