Endpoint Management-Connector für Exchange ActiveSync

XenMobile Mail Manager ist jetzt ein Endpoint Management-Connector für Exchange ActiveSync. Weitere Informationen zum vereinheitlichten Citrix-Portfolio finden Sie im Citrix-Produkthandbuch.

Der Connector erweitert die Funktionen von XenMobile® auf folgende Weise:

• Dynamische Zugriffssteuerung für Exchange ActiveSync (EAS)-Geräte. EAS-Geräten kann der Zugriff auf Exchange-Dienste automatisch erlaubt oder blockiert werden.
• Die Möglichkeit für XenMobile, auf von Exchange bereitgestellte EAS-Gerätepartnerschaftsinformationen zuzugreifen.
• Die Möglichkeit für XenMobile, ein mobiles Gerät basierend auf dem EAS-Status zurückzusetzen (Wipe).
• Die Möglichkeit für XenMobile, auf Informationen über Blackberry-Geräte zuzugreifen und Steuerungsoperationen wie Wipe und ResetPassword durchzuführen.

Um ein Gerät basierend auf dem EAS-Status zurückzusetzen, konfigurieren Sie eine automatisierte Aktion mit einem ActiveSync-Trigger. Siehe Automatisierte Aktionen.

So laden Sie den Endpoint Management-Connector für Exchange ActiveSync herunter:

1. Gehen Sie zu https://www.citrix.com/downloads.
2. Navigieren Sie zu Citrix Endpoint Management™ (und Citrix XenMobile Server) > XenMobile Server (on-premises) > Product Software > XenMobile Server 10 > Server Components.
3. Klicken Sie auf der Kachel Citrix Endpoint Management connector for Exchange ActiveSync auf Download File.

Wichtig:

Ab Oktober 2022 werden die Endpoint Management- und Citrix Gateway-Konnektoren für Exchange ActiveSync Exchange Online aufgrund der von Microsoft hier angekündigten Authentifizierungsänderungen nicht mehr unterstützen. Der Endpoint Management-Konnektor für Exchange funktioniert weiterhin mit Microsoft Exchange Server (on-premises).

Neuerungen

Die folgenden Abschnitte listen die Neuerungen im Endpoint Management-Connector für Exchange ActiveSync auf, ehemals XenMobile Mail Manager.

Neuerungen in Version 10.1.10

Die folgenden Probleme wurden in Version 10.1.10 behoben:

• Kunden, die häufig Netzwerkprobleme haben, können einen Snapshot möglicherweise nicht innerhalb der zuvor bereitgestellten drei Versuche abschließen. Mit dieser Version kann ein Administrator die maximale Anzahl der Versuche (1-10) konfigurieren. Diese Korrektur ermöglicht es, dass ein Snapshot mehrere Kommunikationsunterbrechungen erleidet, ohne den Snapshot-Prozess vollständig abzubrechen. [CXM-70837]
• In früheren Versionen erschien der Snapshot-Typ nicht in der Liste der Exchange-Konfigurationen. Jetzt wird der Snapshot-Typ angezeigt. [CXM-70846]
• Die von PowerShell gemeldete PSRemotingTransport-Ausnahme weist darauf hin, dass die Sitzung zu Exchange nicht mehr verwendbar ist. Der Status wird standardmäßig zur Liste der kritischen Fehler in der Konfigurationsdatei hinzugefügt. Wenn die PSRemotingTransportException erkannt wird, wird die Verbindung als fehlerhaft markiert, um später entsorgt zu werden. Die nächste Kommunikation verwendet eine gültige Verbindung oder erstellt eine Verbindung. [XMHELP-2184, CXM-70836]
• Beim Speichern einer Konfigurationsänderung ist es möglich, dass nicht alle zuvor konfigurierten internen Komponenten ordnungsgemäß entsorgt wurden, bevor die neue Konfiguration geladen wurde. Dieses Problem kann zu unvorhersehbarem Verhalten führen. Das Verhalten hängt von der spezifischen Änderung ab und davon, ob die Änderung mit der vorherigen Konfiguration in Konflikt stand. In dieser Version werden alle internen Komponenten entsorgt, bevor die neue Konfiguration geladen wird. [XMHELP-2259, CXM-71388]

Neuerungen in früheren Versionen

Der folgende Abschnitt listet die Funktionen und behobenen Probleme in früheren Versionen des Endpoint Management-Connectors für Exchange ActiveSync auf.

Neuerungen in Version 10.1.9

Die folgenden Probleme wurden in Version 10.1.9 behoben:

• Konfigurationsänderungen werden jetzt konsistenter gehandhabt. Wenn der Dienst eine Konfigurationsänderung erkennt, wird jedes interne Subsystem gestoppt, was bedeutet, dass jede aktive oder geplante Verarbeitung unterbrochen wird. Anschließend wird die neue Konfiguration geladen und die Subsysteme werden erneut gestartet, was bedeutet, dass alle Zeitpläne und andere interne Infrastruktur mit neuen Einstellungen wiederhergestellt werden. Dieses Problem behebt ein bekanntes Problem in Version 10.1.8. [CXM-47709, CXM-61330]
• Während eines Upgrades wurde die vorhandene Datenbankkonfiguration nicht in die neue Konfigurationsdatei zusammengeführt. Die Datenbankkonfiguration wird jetzt in die aktualisierte Konfigurationsdatei zusammengeführt. [CXM-49326]
• In den Snapshot-bezogenen Diagnosedateien fehlten die Spaltenüberschriften. Die Überschriften wurden wiederhergestellt. [CXM-62680]
• Beim Upgrade von einer früheren Version wurde der Standardabschnitt der Konfigurationsdatei durch den analogen Abschnitt der verwendeten Konfigurationsdatei überschrieben. Dieses Problem verhinderte, dass Ergänzungen oder Verbesserungen des Standardabschnitts nach dem Upgrade vom Dienst geladen wurden. Ab dieser Version spiegelt der Standardabschnitt immer die neueste Konfiguration wider. [CXM-62681]

• Administratoren können bestimmte Optionen nicht mehr durch Drücken der Umschalttaste aufrufen, wenn die Anwendung ausgeführt wird. Diese Optionen waren zuvor mit Citrix-Berechtigung verfügbar. Einige Optionen sind jetzt vollständig verfügbar, wie z. B. “Allow Redirection”, und andere, wie z. B. “Hang Detection” und “Count Correction”, sind veraltet. [CXM-62767]

  

Neuerungen in Version 10.1.8

Die folgenden Probleme wurden in Version 10.1.8 behoben:

• Es ist möglich, dass Exchange den Citrix Endpoint Management-Connector für den Exchange ActiveSync-Dienst drosselt, wenn Befehle zu häufig ausgegeben werden. Dies ist bei Verbindungen zu Office 365 üblich. Die Drosselung erfordert, dass der Dienst für einen bestimmten Zeitraum pausiert, bevor der nächste Befehl gesendet wird. Die Konsole “Configure” zeigt nun die verbleibende Zeit der Pause an. [CXM-48044]
• Wenn Änderungen an den Abschnitten “Watchdog” oder “SpecialistsDefaults” der Konfigurationsdatei (config.xml) vorgenommen werden, spiegeln sich die Änderungen nach einem Upgrade nicht in der Konfigurationsdatei wider. Mit dieser Version werden die Änderungen korrekt in die neue Konfigurationsdatei zusammengeführt. [CXM-52523]
• Den an Google Analytics gesendeten Analysedaten wurden weitere Details hinzugefügt, insbesondere in Bezug auf Snapshots. [CXM-56691]
• Die Exchange-Testkonnektivitätsfunktion würde versuchen, die Verbindung nur einmal zu initialisieren. Da Office 365-Verbindungen gedrosselt werden können, war es möglich, dass ein Konnektivitätstest bei Drosselung fehlschlug. Der Citrix Endpoint Management-Connector für Exchange ActiveSync versucht nun, eine Verbindung bis zu dreimal zu initiieren. [CXM-58180]
• Um Richtlinien für Exchange zu implementieren, muss der Citrix Endpoint Management-Connector für Exchange ActiveSync einen Set-CASMailbox-Befehl kompilieren, der alle relevanten Geräte für jedes Postfach in zwei Listen enthält: Zulassen und Blockieren. Wenn ein Gerät in keiner der Listen enthalten ist, greift Exchange auf seinen Standardzugriffsstatus zurück. Wenn dieser Standardzugriffsstatus von dem gewünschten Status für ein Gerät abweicht, ist dieses Gerät nicht konform. Folglich könnte ein Benutzer den Zugriff auf seine E-Mails verlieren, wenn der Standardzugriffsstatus von Exchange blockiert ist und er erlaubt sein sollte. Oder einem Benutzer, dessen Zugriff auf E-Mails blockiert werden sollte, könnte Zugriff gewährt werden. Der Citrix Endpoint Management-Connector für Exchange ActiveSync stellt nun sicher, dass alle Geräte mit einem gültigen gewünschten Status in jedem Set-CasMailbox-Befehl enthalten sind. [CXM-61251]

Das folgende Problem ist in Version 10.1.8 bekannt:

Wenn ein Administrator in der Anwendung “Configure” eine Änderung vornimmt, die Konfigurationsdaten modifiziert, während der Dienst langwierige Operationen wie einen Snapshot oder eine Richtlinienauswertung durchführt, kann der Dienst in einen unbestimmten Zustand geraten. Ein mögliches Symptom könnte sein, dass Richtlinienänderungen nicht verarbeitet oder Snapshots nicht initiiert werden. Um den Dienst in einen funktionierenden Zustand zurückzuversetzen, muss der Dienst neu gestartet werden. Möglicherweise müssen Sie den Windows-Dienstmanager verwenden, um den Dienstprozess zu beenden, bevor Sie den Dienst starten. [CXM-61330]

Neuerungen in Version 10.1.7

• XenMobile Mail Manager ist jetzt ein Endpoint Management-Connector für Exchange ActiveSync.
• Wir haben die Option Disable Pipelining im Exchange-Konfigurationsdialogfeld veraltet. Sie können dieselbe Funktionalität erreichen, indem Sie mehrere Schritte für jeden Befehl in der Datei config.xml konfigurieren. [CXM-54593]

Die folgenden Probleme wurden in Version 10.1.7 behoben:

• Im Fenster “Snapshot History” können Fehlermeldungen mit wenig Kontext angezeigt werden. Jetzt werden Fehlermeldungen mit dem Kontext ihres Auftretens versehen. [CXM-49157]
• Die XmmGoogleAnalytics .dll hatte nicht die entsprechende Dateiversion für die Freigabe. [CXM-52518]
• Zur Verbesserung der Diagnose haben wir kürzlich das String-Format für eine Liste von Geräte-IDs geändert, die zum Festlegen des Status “Allowed/Blocked” eines Postfachs verwendet werden. Eine Spezifikation von zu vielen Geräten überschritt jedoch die maximale String-Größe. Jetzt verwenden wir eine interne Array-Datenstruktur. Diese Struktur hat keine Größenbeschränkung und formatiert die Daten auch für Diagnosezwecke entsprechend. [CXM-52610]
• Wenn Geräte-Richtlinien erkannt werden, die nicht mit Exchange synchronisiert sind, können ihre Befehle Geräte enthalten, die nicht zum relevanten Postfach gehören. Der Endpoint Management-Connector für Exchange ActiveSync stellt nun sicher, dass Befehle an Exchange nur Geräte repräsentieren, die zu ihren jeweiligen Postfächern gehören. [CXM-54842]
• In einigen Umgebungen ist eine Microsoft-Assembly nicht verfügbar. Die erforderliche Assembly wird nun explizit mit der Anwendung installiert. [CXM-55439]
• Wenn Distinguished Names für Geräte oder Postfächer Leerzeichen zwischen dem Attributnamen und dem Gleichheitszeichen und/oder Leerzeichen nach dem Gleichheitszeichen und vor dem Wert enthalten, kann der Endpoint Management-Connector für Exchange ActiveSync ein Gerät möglicherweise nicht richtig mit seinem Postfach abgleichen und umgekehrt. Das Ergebnis könnte sein, dass einige Geräte und/oder Postfächer während der Snapshot-Abstimmung abgelehnt werden. [CXM-56088]

Hinweis:

Die folgenden Abschnitte beziehen sich auf den Endpoint Management-Connector für Exchange ActiveSync unter seinem früheren Namen XenMobile Mail Manager. Der Name wurde ab Version 10.1.7 geändert.

Update in Version 10.1.6.20

Ein Update auf 10.1.6 enthält die folgende Korrektur in Version 10.1.6.20:

• Wenn Geräte-Richtlinien erkannt werden, die nicht mit Exchange synchronisiert sind, können ihre Befehle Geräte enthalten, die nicht zum relevanten Postfach gehören. XenMobile Mail Manager stellt nun sicher, dass Befehle an Exchange nur Geräte repräsentieren, die zu ihren jeweiligen Postfächern gehören. [CXM-54842]

Neuerungen in Version 10.1.6

XenMobile Mail Manager Version 10.1.6 enthält die folgenden behobenen Probleme und Verbesserungen:

• Das Snapshot-Verlaufsfenster gerät manchmal in einen Zustand, in dem es nicht mehr aktualisiert wird. Der Aktualisierungsmechanismus der Fenster wurde verbessert, um zuverlässiger zu aktualisieren. [CXM-47983]
• Für partitionierte und nicht-partitionierte Snapshots wurden zwei separate Modi und Codepfade verwendet. Da nicht-partitionierte Snapshots äquivalent zu partitionierten Snapshots mit einer Konfiguration sind, die eine einzelne “*” Partition verwendet, wurde der nicht-partitionierte Snapshot-Modus eliminiert. Der Standard-Snapshot-Modus sind jetzt partitionierte Snapshots mit 36 Partitionen (0–9, A–Z). [CXM-49093]
• Im Fenster “Snapshot History” werden Fehlermeldungen von Statusmeldungen überschrieben. Jetzt bietet XenMobile Mail Manager zwei separate Felder, sodass Benutzer Status und Fehler gleichzeitig anzeigen können. [CXM-51942]
• Beim Verbinden mit Exchange Online (Office 365) können Snapshot-bezogene Abfragen zu einem abgeschnittenen Datensatz führen. Dieses Problem kann auftreten, wenn XenMobile Mail Manager ein Multi-Befehls-Pipelined-Skript ausführt. Der Upstream-Befehl kann die Daten nicht schnell genug an den Downstream-Befehl weitergeben, der dann die Arbeit vorzeitig abschließt. Dies führt zu unvollständigen Daten. XenMobile Mail Manager kann jetzt die Pipeline selbst nachahmen und warten, bis der Upstream-Befehl abgeschlossen ist, bevor der Downstream-Befehl aufgerufen wird. Diese Änderung sollte dazu führen, dass alle Daten verarbeitet und erfasst werden. [CXM-52280]
• Wenn ein nicht behebbarer Fehler in einem Richtlinienaktualisierungsbefehl an Exchange auftritt, wird derselbe Befehl über einen langen Zeitraum wiederholt in die Arbeitswarteschlange zurückgegeben. Diese Situation führte dazu, dass der Befehl viele Male an Exchange gesendet wurde. In dieser Version von XenMobile Mail Manager wird ein Befehl, der zu einem Fehler führt, nur eine bestimmte Anzahl von Malen in die Arbeitswarteschlange zurückgegeben. [CXM-52633]
• Wenn eine Richtlinienaktualisierung für ein bestimmtes Postfach das Zulassen oder Blockieren aller Geräte beinhaltete: Der ausgegebene Set-CASMailbox-Befehl würde fehlschlagen, weil die leere Liste in einen leeren String anstatt in NULL konvertiert wurde. Die korrekten Daten werden jetzt gesendet. [CXM-53759]
• Beim Verarbeiten eines neuen Geräts kann Exchange den Status für eine Weile (normalerweise 15 Minuten) als “DeviceDiscovery” zurückgeben. XenMobile Mail Manager hat diesen Status nicht speziell behandelt. XenMobile Mail Manager behandelt den Status jetzt. Auf der Registerkarte “Monitor” der Benutzeroberfläche können Benutzer nach Geräten in diesem Status filtern. [CXM-53840]
• XenMobile Mail Manager hat die Schreibberechtigung für die XenMobile Mail Manager-Datenbank nicht überprüft. Folglich konnte das Verhalten nicht vorhergesagt werden, wenn die Berechtigungen eingeschränkt waren. XenMobile Mail Manager erfasst und validiert jetzt die erforderlichen Berechtigungen aus der Datenbank. XenMobile Mail Manager zeigt reduzierte Berechtigungen an, entweder beim Testen der Verbindung (Meldung wird angezeigt) oder im Datenbankindikator (Meldung beim Hover) am unteren Rand des Hauptkonfigurationsfensters. [CXM-54219]
• Abhängig von der aktuellen Arbeitslast kann es vorkommen, dass der XenMobile Mail Manager-Dienst nicht sofort beendet wird, wenn er dazu angewiesen wird. Daher scheint sich der Dienst in einem nicht reagierenden Zustand zu befinden. Verbesserungen ermöglichen es, laufende Aufgaben zu unterbrechen, was zu einem reibungsloseren Herunterfahren führt. [CXM-54282]

Neuerungen in Version 10.1.5

XenMobile Mail Manager Version 10.1.5 enthält die folgenden behobenen Probleme:

• Wenn Exchange die XenMobile Mail Manager-Aktivität drosselt, gibt es (außerhalb der Protokolle) keinen Hinweis darauf, dass die Drosselung stattfindet. Mit dieser Version kann ein Benutzer über den aktiven Snapshot fahren, und ein “Drosselungs”-Status wird angezeigt. Außerdem ist, während XenMobile Mail Manager gedrosselt wird, der Start eines großen Snapshots untersagt, bis Exchange das Drosselungsembargo aufhebt. [CXM-49617]
• Wenn XenMobile Mail Manager während eines großen Snapshots von Exchange gedrosselt wird: Es ist möglich, dass nicht genügend Zeit vergeht, bevor der nächste Versuch eines Snapshots ausgeführt wird. Dieses Problem führt zu weiterer Drosselung und einem fehlgeschlagenen Snapshot. XenMobile Mail Manager wartet nun mindestens die von Exchange angegebene Zeit zwischen den Snapshot-Versuchen. [CXM-49618]
• Wenn die Diagnose aktiviert ist, zeigt die Befehlsdatei Set-CasMailbox-Befehle an, denen vor jedem Eigenschaftsnamen Bindestriche fehlen. Dieses Problem tritt nur bei der Formatierung der Diagnosedatei auf und nicht beim eigentlichen Befehl an Exchange. Der fehlende Bindestrich verhindert, dass ein Benutzer den Befehl ausschneiden und direkt in eine PowerShell-Eingabeaufforderung zum Testen oder Validieren einfügen kann. Die Bindestriche wurden hinzugefügt. [CXM-52520]
• Wenn eine Postfachidentität die Form “Nachname, Vorname” hat, fügt Exchange einen Backslash vor dem Komma ein, wenn Daten aus einer Abfrage zurückgegeben werden. Dieser Backslash muss entfernt werden, wenn XenMobile Mail Manager die Identität verwendet, um weitere Daten abzufragen. [CXM-52635]

Bekannte Einschränkungen

Hinweis: Die folgende Einschränkung ist in Version 10.1.6 behoben.

XenMobile Mail Manager weist eine bekannte Einschränkung auf, die dazu führen kann, dass Befehle an Exchange fehlschlagen. Um Richtlinienänderungen auf Exchange anzuwenden, wird ein Befehl Set_CASMailbox von XenMobile Mail Manager ausgegeben. Dieser Befehl kann zwei Gerätelisten entgegennehmen: eine zum Zulassen und eine zum Blockieren. Der Befehl wird auf die Geräte angewendet, die mit einem Postfach gekoppelt sind.

Diese Listen sind durch die Microsoft API auf jeweils 256 Zeichen begrenzt. Wenn eine dieser Listen die Begrenzung überschreitet, schlägt der Befehl vollständig fehl, wodurch verhindert wird, dass alle Richtlinien für die Geräte des Postfachs festgelegt werden. Der gemeldete Fehler, der in den XenMobile Mail Manager-Protokollen angezeigt wird, würde wie folgt aussehen. Das Beispiel bezieht sich auf die blockierte Liste.

“Message:'Cannot bind parameter 'ActiveSyncBlockedDeviceIDs' to the target. Exception setting "ActiveSyncBlockedDeviceIDs": "The length of the property is too long. The maximum length is 256 and the length of the value provided is …”
<!--NeedCopy-->

Die Länge von Geräte-IDs kann variieren, aber ein guter Richtwert ist, dass etwa 10 oder mehr gleichzeitig zugelassene oder blockierte Geräte das Limit überschreiten könnten. Obwohl es selten ist, dass so viele Geräte mit einem bestimmten Postfach verknüpft sind, ist dies eine Möglichkeit. Bis XenMobile Mail Manager verbessert wird, um ein solches Szenario zu handhaben, empfehlen wir, die Anzahl der mit einem Benutzer und Postfach verknüpften Geräte auf 10 oder weniger zu begrenzen. [CXM-52633]

Neuerungen in Version 10.1.4

XenMobile Mail Manager Version 10.1.4 enthält die folgenden behobenen Probleme:

• Aufgrund ihrer nachlassenden Sicherheit wird TLS 1.0 vom PCI Council als veraltet eingestuft. Unterstützung für TLS 1.1 und 1.2 wurde zu XenMobile Mail Manager hinzugefügt. [CXM-38573, CXM-32560]
• XenMobile Mail Manager enthält eine neue Diagnosedatei. Wenn Diagnose aktivieren in der Exchange-Spezifikation ausgewählt ist, wird eine neue Snapshot-Verlaufsdatei generiert. Bei jedem Snapshot-Versuch wird eine Zeile mit den Ergebnissen des Snapshots zur Datei hinzugefügt. [CXM-49631]
• In der Diagnosedatei für Befehle wurde die Liste der zugelassenen oder blockierten Geräte für den Befehl Set-CASMailbox nicht angezeigt. Stattdessen wurde der interne Klassenname in der Datei für die zugehörigen Argumente angezeigt. XenMobile Mail Manager zeigt die Liste der Geräte-IDs nun als kommagetrennte Liste an. [CXM-50693]
• Wenn ein Versuch, eine Verbindung zu Exchange herzustellen, aufgrund einer fehlerhaften Spezifikation fehlschlägt: Die Fehlermeldung wird durch eine falsche Meldung überschrieben: “Alle Verbindungen in Gebrauch”. Es werden nun aussagekräftigere Meldungen angezeigt, wie z. B. “Alle Verbindungen sind nicht betriebsbereit”, “Verbindungspool ist leer”, “Alle Verbindungen werden gedrosselt” und “Keine verfügbaren Verbindungen”. [CXM-50783]
• Manchmal werden Befehle zum Zulassen/Blockieren/Löschen mehrfach im internen Cache von XenMobile Mail Manager in die Warteschlange gestellt. Dieses Problem führt zu einer Verzögerung beim Senden des Befehls an Exchange. XenMobile Mail Manager stellt nun nur noch eine Instanz jedes Befehls in die Warteschlange. [CXM-51524]

Neuerungen in Version 10.1.3

• Unterstützung für Google Analytics: Wir möchten wissen, wie Sie XenMobile Mail Manager verwenden, damit wir uns darauf konzentrieren können, das Produkt zu verbessern.
• Einstellung zum Aktivieren der Diagnose: Ein Kontrollkästchen Diagnose aktivieren wird in der Konfigurationskonsole im Dialogfeld Konfiguration angezeigt.

Behobene Probleme in Version 10.1.3

• Im Fenster Snapshot-Verlauf spiegeln Tooltips, die den aktuellen Status des Snapshots anzeigen, nicht den tatsächlichen Status wider. [CXM-5570] Gelegentlich kann XenMobile Mail Manager nicht in die Diagnosedatei für Befehle schreiben. In diesem Fall wird der Befehlsverlauf nicht vollständig protokolliert. [CXM-49217]
• Wenn ein Fehler bei einer Verbindung auftritt, wird die Verbindung möglicherweise nicht als “fehlerhaft” markiert. Infolgedessen könnte ein nachfolgender Befehl versuchen, die Verbindung zu verwenden und einen weiteren Fehler verursachen. [CXM-49495]
• Wenn eine Drosselung vom Exchange Server auftritt, kann in der Routine zur Zustandsprüfung eine Ausnahme ausgelöst werden. Infolgedessen werden Verbindungen, die einen Fehler aufwiesen oder abgelaufen sind, möglicherweise nicht gelöscht. Außerdem erstellt XenMobile Mail Manager möglicherweise keine Verbindungen, bis die Drosselungszeit abläuft. [CXM-49794]
• Wenn die maximale Sitzungsanzahl für Exchange überschritten wird, meldet XenMobile Mail Manager den Fehler “Geräteerfassung fehlgeschlagen”, was keine genaue Meldung ist. Stattdessen sollte die Meldung darauf hinweisen, dass die beiden Sitzungen, die XenMobile Mail Manager normalerweise für die Exchange-Kommunikation verwendet, belegt sind. [CXM-49994]

Neuerungen in Version 10.1.2

• Verbesserte Verbindung zu Exchange: XenMobile Mail Manager verwendet PowerShell-Sitzungen zur Kommunikation mit Exchange. Eine PowerShell-Sitzung, insbesondere im Umgang mit Office 365, kann nach einer Weile instabil werden und nachfolgende Befehle am Erfolg hindern. XenMobile Mail Manager kann nun eine Ablaufzeit für Verbindungen festlegen. Wenn die Verbindung ihre Ablaufzeit erreicht, fährt XenMobile Mail Manager die PowerShell-Sitzung ordnungsgemäß herunter und erstellt eine neue Sitzung. Dadurch ist die PowerShell-Sitzung weniger anfällig für Instabilität, was die Wahrscheinlichkeit eines Snapshot-Fehlers erheblich reduziert.
• Verbesserter Snapshot-Workflow: Große Snapshots sind zeitaufwändige und prozessintensive Vorgänge. Tritt während eines Snapshots ein Fehler auf, versucht XenMobile Mail Manager nun mehrfach (bis zu dreimal), einen Snapshot abzuschließen. Nachfolgende Versuche beginnen nicht von vorne. XenMobile Mail Manager setzt dort fort, wo er aufgehört hat. Diese Verbesserung erhöht die Erfolgsrate von Snapshots im Allgemeinen, indem sie vorübergehende Fehler zulässt, während ein Snapshot noch läuft.
• Verbesserte Diagnose: Die Fehlerbehebung bei Snapshot-Vorgängen wird nun durch drei neue Diagnosedateien erleichtert, die optional während eines Snapshots generiert werden. Diese Dateien helfen, Probleme mit PowerShell-Befehlen, Postfächer mit fehlenden Informationen und Geräte, die keinem Postfach zugeordnet werden können, zu identifizieren. Ein Administrator kann diese Dateien verwenden, um Daten zu identifizieren, die in Exchange möglicherweise nicht korrekt sind.
• Verbesserte Speichernutzung: XenMobile Mail Manager ist jetzt effizienter in seiner Speichernutzung. Administratoren können XenMobile Mail Manager so planen, dass er automatisch neu startet, um dem System einen sauberen Start zu ermöglichen.
• Voraussetzung Microsoft .NET Framework 4.6: Die Voraussetzung für Microsoft .NET Framework ist nun Version 4.6.

Behobene Probleme

• Fehler bei der Aufforderung zur Eingabe von Anmeldeinformationen: Instabilität der Office 365-Sitzung verursachte diesen Fehler oft. Die Verbesserung der Verbindung zu Exchange behebt das Problem. (XMHELP-293, XMHELP-311, XMHELP-801)
• Ungenauigkeiten bei der Postfach- und Gerätezählung: XenMobile Mail Manager verfügt über einen verbesserten Algorithmus zur Postfach-Geräte-Zuordnung. Die Funktion “Verbesserte Diagnose” hilft bei der Identifizierung von Postfächern und Geräten, die XenMobile Mail Manager nicht als in seinem Verantwortungsbereich liegend betrachtet. (XMHELP-623)
• Befehle zum Zulassen/Blockieren/Löschen werden nicht erkannt: Ein Fehler wurde behoben, bei dem XenMobile Mail Manager-Befehle zum Zulassen/Blockieren/Löschen manchmal nicht erkannt wurden. (XMHELP-489)
• Speicherverwaltung: Bessere Speicherverwaltung und -minderung. (XMHELP-419)

Architektur

Die folgende Abbildung zeigt die Hauptkomponenten des Endpoint Management Connectors für Exchange ActiveSync. Ein detailliertes Referenzarchitekturdiagramm finden Sie unter Architektur.

Die drei Hauptkomponenten sind:

• Exchange ActiveSync Zugriffssteuerung: Kommuniziert mit XenMobile, um eine Exchange ActiveSync-Richtlinie von XenMobile abzurufen, und führt diese Richtlinie mit allen lokal definierten Richtlinien zusammen, um die Exchange ActiveSync-Geräte zu bestimmen, denen der Zugriff auf Exchange erlaubt oder verweigert werden soll. Die lokale Richtlinie ermöglicht die Erweiterung der Richtlinienregeln, um die Zugriffssteuerung nach Active Directory-Gruppe, Benutzer, Gerätetyp oder Geräte-Benutzeragent (im Allgemeinen die mobile Plattformversion) zu ermöglichen.
• Remote PowerShell-Verwaltung: Verantwortlich für die Planung und den Aufruf von Remote-PowerShell-Befehlen zur Umsetzung der von der Exchange ActiveSync-Zugriffssteuerung kompilierten Richtlinie. Erstellt regelmäßig einen Snapshot der Exchange ActiveSync-Datenbank, um neue oder geänderte Exchange ActiveSync-Geräte zu erkennen.
• Mobiler Dienstanbieter: Bietet eine Webservice-Schnittstelle, damit XenMobile Exchange ActiveSync abfragen, Blackberry-Geräte abfragen und Steuerungsoperationen wie das Löschen von ActiveSync- und Blackberry-Geräten ausführen kann.

Systemanforderungen und Voraussetzungen

Die folgenden Mindestsystemanforderungen sind für die Verwendung des Endpoint Management Connectors für Exchange ActiveSync erforderlich:

• Windows Server 2016, Windows Server 2012 R2 oder Windows Server 2008 R2 Service Pack 1. Muss ein englischsprachiger Server sein. Der Support für Windows Server 2008 R2 Service Pack 1 endet am 14. Januar 2020 und der Support für Windows Server 2012 R2 endet am 10. Oktober 2023.
• Microsoft SQL Server 2016 Service Pack 2 oder SQL Server 2014 Service Pack 3.
• Microsoft .NET Framework 4.6.
• Blackberry Enterprise Service, Version 5 (optional).

Mindestens unterstützte Versionen von Microsoft Exchange Server:

• Microsoft Office 365
• Exchange Server 2016
• Exchange Server 2013 (Support endet am 11. April 2023)
• Exchange Server 2010 Service Pack 3 (Support endet am 14. Januar 2020)

Voraussetzungen

• Windows Management Framework muss installiert sein.
  • PowerShell V5, V4 und V3
• Die PowerShell-Ausführungsrichtlinie muss über Set-ExecutionPolicy RemoteSigned auf RemoteSigned gesetzt werden.

• TCP-Port 80 muss zwischen dem Computer, auf dem der Endpoint Management Connector für Exchange ActiveSync ausgeführt wird, und dem Remote Exchange Server geöffnet sein.

• E-Mail-Clients für Geräte: Nicht alle E-Mail-Clients geben konsistent dieselbe ActiveSync-ID für ein Gerät zurück. Da der Endpoint Management Connector für Exchange ActiveSync eine eindeutige ActiveSync-ID für jedes Gerät erwartet, werden nur E-Mail-Clients unterstützt, die konsistent dieselben eindeutigen ActiveSync-IDs für jedes Gerät generieren. Diese E-Mail-Clients wurden von Citrix getestet und funktionierten fehlerfrei:

  • Nativer Samsung E-Mail-Client
  • Nativer iOS E-Mail-Client

• Exchange: Die Anforderungen für lokale Computer, auf denen Exchange ausgeführt wird, sind wie folgt:

  Die in der Exchange-Konfigurations-Benutzeroberfläche angegebenen Anmeldeinformationen müssen in der Lage sein, eine Verbindung zum Exchange Server herzustellen und vollen Zugriff zum Ausführen der folgenden Exchange-spezifischen PowerShell-Cmdlets zu erhalten.

  • Für Exchange Server 2010 SP2:
    • Get-CASMailbox
    • Set-CASMailbox
    • Get-Mailbox
    • Get-ActiveSyncDevice
    • Get-ActiveSyncDeviceStatistics
    • Clear-ActiveSyncDevice
    • Get-ExchangeServer
    • Get-ManagementRole
    • Get-ManagementRoleAssignment
  • Für Exchange Server 2013 und Exchange Server 2016:
    • Get-CASMailbox
    • Set-CASMailbox
    • Get-Mailbox
    • Get-MobileDevice
    • Get-MobileDeviceStatistics
    • Clear-MobileDevice
    • Get-ExchangeServer
    • Get-ManagementRole
    • Get-ManagementRoleAssignment
  • Wenn der Endpoint Management Connector für Exchange ActiveSync so konfiguriert ist, dass er den gesamten Forest anzeigt, muss die Berechtigung zum Ausführen von Set-AdServerSettings -ViewEntireForest $true erteilt worden sein.
  • Den angegebenen Anmeldeinformationen muss das Recht erteilt worden sein, über die Remote-Shell eine Verbindung zum Exchange Server herzustellen. Standardmäßig besitzt der Benutzer, der Exchange installiert hat, dieses Recht.
  • Um eine Remote-Verbindung herzustellen und Remote-Befehle auszuführen, müssen die Anmeldeinformationen einem Benutzer entsprechen, der Administrator auf dem Remote-Computer ist. Sie können Set-PSSessionConfiguration verwenden, um die Administratoranforderung zu eliminieren, aber die Erörterung dieses Befehls geht über den Rahmen dieses Dokuments hinaus. Weitere Informationen finden Sie im Microsoft-Artikel About Session Configurations.
  • Der Exchange Server muss so konfiguriert sein, dass er Remote-PowerShell-Anfragen über HTTP unterstützt. Typischerweise ist es ausreichend, wenn ein Administrator den folgenden PowerShell-Befehl auf dem Exchange Server ausführt: WinRM QuickConfig.
  • Exchange verfügt über viele Drosselungsrichtlinien. Eine dieser Richtlinien steuert, wie viele gleichzeitige PowerShell-Verbindungen pro Benutzer zugelassen sind. Die Standardanzahl gleichzeitiger Verbindungen, die für einen Benutzer zulässig ist, beträgt 18 auf Exchange 2010. Wenn das Verbindungslimit erreicht ist, kann der Endpoint Management Connector für Exchange ActiveSync keine Verbindung zum Exchange Server herstellen. Es gibt Möglichkeiten, die maximal zulässigen gleichzeitigen Verbindungen über PowerShell zu ändern, die über den Rahmen dieser Dokumentation hinausgehen. Bei Interesse untersuchen Sie die Exchange-Drosselungsrichtlinien im Zusammenhang mit der Remote-Verwaltung mit PowerShell.

Anforderungen für Office 365 Exchange

• Berechtigungen: Die in der Exchange-Konfigurations-Benutzeroberfläche angegebenen Anmeldeinformationen müssen in der Lage sein, eine Verbindung zu Office 365 herzustellen und vollen Zugriff zum Ausführen der folgenden Exchange-spezifischen PowerShell-Cmdlets zu erhalten:
  • Get-CASMailbox
  • Set-CASMailbox
  • Get-Mailbox
  • Get-MobileDevice
  • Get-MobileDeviceStatistics
  • Clear-MobileDevice
  • Get-ExchangeServer
  • Get-ManagementRole
  • Get-ManagementRoleAssignment
• Berechtigungen: Den angegebenen Anmeldeinformationen muss das Recht erteilt worden sein, über die Remote-Shell eine Verbindung zum Office 365-Server herzustellen. Standardmäßig verfügt der Office 365 Online-Administrator über die erforderlichen Berechtigungen.
• Drosselungsrichtlinien: Exchange verfügt über viele Drosselungsrichtlinien. Eine dieser Richtlinien steuert, wie viele gleichzeitige PowerShell-Verbindungen pro Benutzer zugelassen sind. Die Standardanzahl gleichzeitiger Verbindungen, die für einen Benutzer zulässig ist, beträgt drei auf Office 365. Wenn das Verbindungslimit erreicht ist, kann der Endpoint Management Connector für Exchange ActiveSync keine Verbindung zum Exchange Server herstellen. Es gibt Möglichkeiten, die maximal zulässigen gleichzeitigen Verbindungen über PowerShell zu ändern, die über den Rahmen dieser Dokumentation hinausgehen. Bei Interesse untersuchen Sie die Exchange-Drosselungsrichtlinien im Zusammenhang mit der Remote-Verwaltung mit PowerShell.

Installieren und konfigurieren

1. Klicken Sie auf die Datei XmmSetup.msi und folgen Sie dann den Anweisungen des Installationsprogramms, um den Endpoint Management Connector für Exchange ActiveSync zu installieren.

2. Lassen Sie Launch the Configure utility im letzten Bildschirm des Setup-Assistenten ausgewählt. Oder öffnen Sie über das Startmenü den Endpoint Management-Connector für Exchange ActiveSync.

3. Konfigurieren Sie die folgenden Datenbankeigenschaften:

   • Wählen Sie die Registerkarte Configure > Database aus.
   • Geben Sie den Namen des SQL Servers ein (Standardwert ist localhost).
   • Behalten Sie die Datenbank als Standard CitrixXmm bei.

4. Wählen Sie einen der folgenden Authentifizierungsmodi für SQL aus:

   • SQL: Geben Sie den Benutzernamen und das Kennwort eines gültigen SQL-Benutzers ein.
   • Windows Integrated: Wenn Sie diese Option auswählen, müssen die Anmeldeinformationen des Endpoint Management-Connectors für den Exchange ActiveSync-Dienst in ein Windows-Konto geändert werden, das über Berechtigungen für den Zugriff auf den SQL Server verfügt. Öffnen Sie dazu die Systemsteuerung > Verwaltung > Dienste, klicken Sie mit der rechten Maustaste auf den Eintrag des Endpoint Management-Connectors für den Exchange ActiveSync-Dienst und klicken Sie dann auf die Registerkarte Anmelden.

   Wenn die Windows-Authentifizierung auch für die BlackBerry-Datenbankverbindung gewählt wird, muss das hier angegebene Windows-Konto auch Zugriff auf die BlackBerry-Datenbank erhalten.

5. Klicken Sie auf Test Connectivity, um zu überprüfen, ob eine Verbindung zum SQL Server hergestellt werden kann, und klicken Sie dann auf Save.

6. Eine Meldung fordert Sie auf, den Dienst neu zu starten. Klicken Sie auf Yes.

   

7. Konfigurieren Sie einen oder mehrere Exchange-Server:

   • Wenn Sie eine einzelne Exchange-Umgebung verwalten, geben Sie nur einen einzelnen Server an. Wenn Sie mehrere Exchange-Umgebungen verwalten, geben Sie für jede Exchange-Umgebung einen einzelnen Exchange-Server an.
   • Klicken Sie auf die Registerkarte Configure > Exchange und dann auf Add.

   

8. Wählen Sie den Typ der Exchange Server-Umgebung aus: On Premise oder Office 365.

   • Wenn Sie On Premise auswählen, geben Sie den Namen des Exchange Servers ein, der für Remote-PowerShell-Befehle verwendet werden soll.
   • Geben Sie den Benutzernamen einer Windows-Identität ein, die über die im Abschnitt “Anforderungen” angegebenen entsprechenden Rechte auf dem Exchange Server verfügt, und geben Sie dann das Kennwort für den Benutzer ein.
   • Wählen Sie den Zeitplan für die Ausführung von Major-Snapshots aus. Ein Major-Snapshot erkennt jede Exchange ActiveSync-Partnerschaft.
   • Wählen Sie den Zeitplan für die Ausführung von Minor-Snapshots aus. Ein Minor-Snapshot erkennt neu erstellte Exchange ActiveSync-Partnerschaften.
   • Wählen Sie den Snapshot-Typ aus: Deep oder Shallow. Shallow-Snapshots sind in der Regel viel schneller und ausreichend, um alle Exchange ActiveSync-Zugriffssteuerungsfunktionen des Endpoint Management-Connectors für Exchange ActiveSync auszuführen. Deep-Snapshots können länger dauern und sind nur erforderlich, wenn der Mobile Service Provider für ActiveSync aktiviert ist. Diese Option ermöglicht XenMobile, nicht verwaltete Geräte abzufragen.
   • Wählen Sie den Standardzugriff aus: Allow, Block oder Unchanged. Diese Einstellung steuert, wie alle Geräte behandelt werden, die nicht durch explizite XenMobile- oder lokale Regeln identifiziert werden. Wenn Sie Allow auswählen, ist der ActiveSync-Zugriff auf alle diese Geräte erlaubt. Wenn Sie Block auswählen, wird der Zugriff verweigert. Wenn Sie Unchanged auswählen, wird keine Änderung vorgenommen.
   • Wählen Sie den ActiveSync-Befehlsmodus aus: PowerShell oder Simulation.
   • Im PowerShell-Modus gibt der Endpoint Management-Connector für Exchange ActiveSync PowerShell-Befehle aus, um die gewünschte Zugriffssteuerung zu implementieren. Im Simulationsmodus gibt der Endpoint Management-Connector für Exchange ActiveSync keine PowerShell-Befehle aus, sondern protokolliert den beabsichtigten Befehl und die beabsichtigten Ergebnisse in der Datenbank. Im Simulationsmodus kann der Benutzer dann die Registerkarte Monitor verwenden, um zu sehen, was passiert wäre, wenn der PowerShell-Modus aktiviert gewesen wäre.
   • Legen Sie unter Connection Expiration die Stunden und Minuten für die Lebensdauer einer Verbindung fest. Wenn eine Verbindung das angegebene Alter erreicht, wird die Verbindung als abgelaufen markiert, sodass sie nie wieder verwendet wird. Wenn die abgelaufene Verbindung nicht mehr verwendet wird, fährt der Endpoint Management-Connector für Exchange ActiveSync die Verbindung ordnungsgemäß herunter. Wenn eine Verbindung erneut benötigt wird, wird eine neue Verbindung initialisiert, falls keine verfügbar ist. Wenn nichts angegeben wird, wird der Standardwert von 30 Minuten verwendet.
   • Wählen Sie View Entire Forest aus, um den Endpoint Management-Connector für Exchange ActiveSync so zu konfigurieren, dass er den gesamten Active Directory-Gesamtstruktur in der Exchange-Umgebung anzeigt.
   • Wählen Sie das Authentifizierungsprotokoll aus: Kerberos oder Basic. Der Endpoint Management-Connector für Exchange ActiveSync unterstützt die Basic-Authentifizierung für lokale Bereitstellungen. Dies ermöglicht die Verwendung des Endpoint Management-Connectors für Exchange ActiveSync, wenn der Endpoint Management-Connector für Exchange ActiveSync-Server kein Mitglied der Domäne ist, in der sich der Exchange-Server befindet.
   • Klicken Sie auf Test Connectivity, um zu überprüfen, ob eine Verbindung zum Exchange Server hergestellt werden kann, und klicken Sie dann auf Save.
   • Eine Meldung fordert Sie auf, den Dienst neu zu starten. Klicken Sie auf Yes.

9. Konfigurieren Sie die Zugriffsregeln: Wählen Sie die Registerkarte Configure > Access Rules aus, klicken Sie auf die Registerkarte XMS Rules und dann auf Add.

   

10. Auf der Seite XenMobile server Service Properties ändern Sie die URL-Zeichenfolge so, dass sie auf den XenMobile Server verweist. Wenn der Instanzname beispielsweise zdm lautet, geben Sie https://<XdmHostName>/zdm/services/MagConfigService ein. Ersetzen Sie im Beispiel XdmHostName durch die IP- oder DNS-Adresse des XenMobile Servers.

    

    • Geben Sie einen autorisierten Benutzer des Servers ein.
    • Geben Sie das Kennwort des Benutzers ein.
    • Behalten Sie die Standardwerte für Baseline Interval, Delta Interval und Timeout bei.
    • Klicken Sie auf Test Connectivity, um die Verbindung zum Server zu überprüfen, und klicken Sie dann auf OK.

    Wenn das Kontrollkästchen Disabled aktiviert ist, erfasst der XenMobile Mail Service keine Richtlinien von XenMobile.

11. Klicken Sie auf die Registerkarte Local Rules.

    

    • Sie können lokale Regeln basierend auf ActiveSync-Geräte-ID, Gerätetyp, AD-Gruppe, Benutzer oder Geräte-UserAgent hinzufügen. Wählen Sie in der Liste den entsprechenden Typ aus.
    • Geben Sie Text oder Textfragmente in das Textfeld ein. Optional können Sie auf die Abfrage-Schaltfläche klicken, um die Entitäten anzuzeigen, die dem Fragment entsprechen.

    Für alle Typen außer “Gruppe” stützt sich das System auf die Geräte, die in einem Snapshot gefunden wurden. Wenn Sie also gerade erst anfangen und noch keinen Snapshot abgeschlossen haben, sind keine Entitäten verfügbar.

    • Wählen Sie einen Textwert aus und klicken Sie dann auf Allow oder Deny, um ihn dem Bereich Rule List auf der rechten Seite hinzuzufügen. Sie können die Reihenfolge der Regeln ändern oder sie mit den Schaltflächen rechts neben dem Bereich Rule List entfernen. Die Reihenfolge ist wichtig, da für einen bestimmten Benutzer und ein bestimmtes Gerät Regeln in der angezeigten Reihenfolge ausgewertet werden und eine Übereinstimmung mit einer höherrangigen Regel (näher oben) dazu führt, dass nachfolgende Regeln keine Wirkung haben. Wenn Sie beispielsweise eine Regel haben, die alle iPad-Geräte zulässt, und eine nachfolgende Regel, die den Benutzer Matt blockiert, wird Matts iPad weiterhin zugelassen, da die iPad-Regel eine höhere effektive Priorität hat als die Matt-Regel.
    • Um eine Analyse der Regeln innerhalb der Regelliste durchzuführen, um potenzielle Überschreibungen, Konflikte oder ergänzende Konstrukte zu finden, klicken Sie auf Analyze und dann auf Save.

12. Wenn Sie lokale Regeln erstellen möchten, die auf Active Directory-Gruppen angewendet werden, klicken Sie auf Configure LDAP und konfigurieren Sie dann die LDAP-Verbindungseigenschaften.

    

13. Konfigurieren Sie den Mobile Service Provider.

    Der Mobile Service Provider ist optional. Diese Einstellung ist nur erforderlich, wenn XenMobile auch so konfiguriert ist, dass es die Mobile Service Provider-Schnittstelle zum Abfragen nicht verwalteter Geräte verwendet.

    • Klicken Sie auf die Registerkarte Configure > MSP.

    

    • Legen Sie den Diensttransporttyp als HTTP oder HTTPS für den Mobile Service Provider-Dienst fest.
    • Legen Sie den Dienstport (typischerweise 80 oder 443) für den Mobile Service Provider-Dienst fest. Wenn Sie Port 443 verwenden, erfordert der Port ein in IIS daran gebundenes SSL-Zertifikat.
    • Legen Sie die Authorization Group oder den User fest. Dies legt den Benutzer oder die Benutzergruppe fest, die sich von XenMobile aus mit dem Mobile Service Provider-Dienst verbinden können.
    • Legen Sie fest, ob ActiveSync-Abfragen aktiviert sind oder nicht. Wenn ActiveSync-Abfragen für den XenMobile Server aktiviert sind, muss der Snapshot-Typ für einen oder mehrere Exchange-Server auf Deep gesetzt werden. Diese Einstellung kann erhebliche Leistungskosten für die Erstellung von Snapshots verursachen.
    • Standardmäßig werden ActiveSync-Geräte, die dem regulären Ausdruck WorxMail.* entsprechen, nicht an XenMobile gesendet. Um dieses Verhalten zu ändern, passen Sie das Feld Filter ActiveSync bei Bedarf an. Leer bedeutet, dass alle Geräte an XenMobile weitergeleitet werden.
    • Klicken Sie auf Save.

14. Konfigurieren Sie optional eine oder mehrere Instanzen des BlackBerry Enterprise Servers (BES): Klicken Sie auf Add und geben Sie dann den Servernamen des BES SQL Servers ein.

    

    • Geben Sie den Datenbanknamen der BES-Verwaltungsdatenbank ein.
    • Wählen Sie den Authentifizierungsmodus aus. Wenn Sie die Windows Integrated-Authentifizierung auswählen, ist das Benutzerkonto des Endpoint Management-Connectors für den Exchange ActiveSync-Dienst das Konto, das für die Verbindung zum BES SQL Server verwendet wird. Wenn Sie auch Windows Integrated für die Datenbankverbindung des Endpoint Management-Connectors für Exchange ActiveSync wählen, muss das hier angegebene Windows-Konto auch Zugriff auf die Datenbank des Endpoint Management-Connectors für Exchange ActiveSync erhalten.
    • Wenn Sie die SQL-Authentifizierung auswählen, geben Sie den Benutzernamen und das Kennwort ein.
    • Legen Sie den Sync Schedule fest. Dies ist der Zeitplan, der verwendet wird, um eine Verbindung zum BES SQL Server herzustellen und nach Geräteaktualisierungen zu suchen.
    • Klicken Sie auf Test Connectivity, um die Konnektivität zum SQL Server zu überprüfen. Wenn Sie Windows Integrated auswählen, verwendet dieser Test den aktuell angemeldeten Benutzer und nicht den Benutzer des Endpoint Management-Connectors für den Exchange ActiveSync-Dienst und testet daher die SQL-Authentifizierung nicht genau.
    • Um das Remote-Löschen (Wipe) und Zurücksetzen des Kennworts (ResetPassword) von BlackBerry-Geräten von XenMobile aus zu unterstützen, aktivieren Sie das Kontrollkästchen Enabled.
    • Geben Sie den vollqualifizierten Domänennamen (FQDN) des BES ein.
    • Geben Sie den BES-Port ein, der für den Admin-Webdienst verwendet wird.
    • Geben Sie den vollqualifizierten Benutzer und das Kennwort ein, die vom BES-Dienst benötigt werden.
    • Klicken Sie auf Test Connectivity, um die Verbindung zum BES zu testen.
    • Klicken Sie auf Save.

E-Mail-Richtlinien mit ActiveSync-IDs durchsetzen

Ihre Unternehmens-E-Mail-Richtlinie kann vorschreiben, dass bestimmte Geräte nicht für die Nutzung von Unternehmens-E-Mails zugelassen sind. Um dieser Richtlinie zu folgen, möchten Sie sicherstellen, dass Mitarbeiter von solchen Geräten aus nicht auf Unternehmens-E-Mails zugreifen können. Der Endpoint Management-Connector für Exchange ActiveSync und XenMobile arbeiten zusammen, um eine solche E-Mail-Richtlinie durchzusetzen. XenMobile legt die Richtlinie für den Zugriff auf Unternehmens-E-Mails fest, und wenn sich ein nicht genehmigtes Gerät bei XenMobile registriert, setzt der Endpoint Management-Connector für Exchange ActiveSync die Richtlinie durch.

Der E-Mail-Client auf einem Gerät meldet sich beim Exchange Server (oder Office 365) unter Verwendung der Geräte-ID, auch bekannt als ActiveSync-ID, die zur Identifizierung des Geräts verwendet wird. Secure Hub erhält einen ähnlichen Bezeichner und sendet diesen Bezeichner an XenMobile, wenn das Gerät registriert wird. Durch den Vergleich der beiden Geräte-IDs kann der Endpoint Management-Connector für Exchange ActiveSync feststellen, ob ein bestimmtes Gerät Zugriff auf Unternehmens-E-Mails haben sollte. Die folgende Abbildung veranschaulicht dieses Konzept:

Wenn XenMobile dem Endpoint Management Connector für Exchange ActiveSync eine ActiveSync-ID sendet, die sich von der ID unterscheidet, die das Gerät an Exchange übermittelt, kann der Endpoint Management Connector für Exchange ActiveSync Exchange nicht mitteilen, was mit dem Gerät geschehen soll.

Der Abgleich von ActiveSync-IDs funktioniert auf den meisten Plattformen zuverlässig. Citrix hat jedoch festgestellt, dass bei einigen Android-Implementierungen die ActiveSync-ID des Geräts von der ID abweicht, die der E-Mail-Client an Exchange meldet. Um dieses Problem zu mindern, können Sie Folgendes tun:

• Auf der Samsung SAFE-Plattform die ActiveSync-Konfiguration des Geräts von XenMobile pushen.

Um sicherzustellen, dass Ihre Richtlinie für den Zugriff auf Unternehmens-E-Mails ordnungsgemäß durchgesetzt wird, können Sie eine defensive Sicherheitsstrategie verfolgen und den Endpoint Management Connector für Exchange ActiveSync so konfigurieren, dass E-Mails blockiert werden, indem die statische Richtlinie standardmäßig auf „Verweigern“ gesetzt wird. Dies bedeutet, dass, wenn ein Mitarbeiter einen E-Mail-Client auf einem Android-Gerät konfiguriert und wenn die ActiveSync-ID-Erkennung nicht ordnungsgemäß funktioniert, dem Mitarbeiter der Zugriff auf Unternehmens-E-Mails verweigert wird.

Zugriffssteuerungsregeln

Der Endpoint Management Connector für Exchange ActiveSync bietet einen regelbasierten Ansatz zur dynamischen Konfiguration der Zugriffssteuerung für Exchange ActiveSync-Geräte. Eine Zugriffssteuerungsregel des Endpoint Management Connectors für Exchange ActiveSync besteht aus zwei Teilen: einem Übereinstimmungsausdruck und einem gewünschten Zugriffsstatus (Zulassen oder Blockieren). Eine Regel kann anhand eines bestimmten Exchange ActiveSync-Geräts ausgewertet werden, um festzustellen, ob die Regel auf das Gerät zutrifft oder mit ihm übereinstimmt. Es gibt verschiedene Arten von Übereinstimmungsausdrücken; zum Beispiel kann eine Regel alle Geräte eines bestimmten Gerätetyps, eine bestimmte Exchange ActiveSync-Geräte-ID oder alle Geräte eines bestimmten Benutzers usw. abgleichen.

Zu jedem Zeitpunkt während des Hinzufügens, Entfernens und Neuanordnens der Regeln in der Regelliste führt das Klicken auf die Schaltfläche Abbrechen dazu, dass die Regelliste in den Zustand zurückgesetzt wird, in dem sie sich beim ersten Öffnen befand. Sofern Sie nicht auf Speichern klicken, gehen alle in diesem Fenster vorgenommenen Änderungen verloren, wenn Sie das Konfigurationstool schließen.

Der Endpoint Management Connector für Exchange ActiveSync verfügt über drei Regeltypen: lokale Regeln, XenMobile Server-Regeln (auch als XDM-Regeln bekannt) und die Standardzugriffsregel.

Lokale Regeln: Lokale Regeln haben die höchste Priorität: Wenn ein Gerät von einer lokalen Regel abgeglichen wird, stoppt die Regelauswertung. Weder XenMobile Server-Regeln noch die Standardzugriffsregeln werden herangezogen. Lokale Regeln werden lokal für den Endpoint Management Connector für Exchange ActiveSync über die Registerkarte Konfigurieren > Zugriffsregeln > Lokale Regeln konfiguriert. Die Übereinstimmung basiert auf der Mitgliedschaft eines Benutzers in einer bestimmten Active Directory-Gruppe. Die Übereinstimmung basiert auf regulären Ausdrücken für die folgenden Felder:

• ActiveSync-Geräte-ID
• ActiveSync-Gerätetyp
• Benutzerprinzipalname (UPN)
• ActiveSync-Benutzeragent (typischerweise die Geräteplattform oder der E-Mail-Client)

Solange ein Haupt-Snapshot abgeschlossen ist und Geräte gefunden wurden, sollten Sie in der Lage sein, entweder eine normale Regel oder eine Regel mit regulärem Ausdruck hinzuzufügen. Wenn kein Haupt-Snapshot abgeschlossen wurde, können Sie nur Regeln mit regulärem Ausdruck hinzufügen.

XenMobile Server-Regeln: XenMobile Server-Regeln sind Verweise auf einen externen XenMobile Server, der Regeln für verwaltete Geräte bereitstellt. Der XenMobile Server kann mit eigenen übergeordneten Regeln konfiguriert werden, die die zuzulassenden oder zu blockierenden Geräte basierend auf XenMobile bekannten Eigenschaften identifizieren, z. B. ob das Gerät jailbroken ist oder ob das Gerät verbotene Apps enthält. XenMobile wertet die übergeordneten Regeln aus und erzeugt eine Reihe von zugelassenen oder blockierten ActiveSync-Geräte-IDs, die dann an den Endpoint Management Connector für Exchange ActiveSync übermittelt werden.

Standardzugriffsregel: Die Standardzugriffsregel ist insofern einzigartig, als sie potenziell jedes Gerät abgleichen kann und immer zuletzt ausgewertet wird. Diese Regel ist die Auffangregel, was bedeutet, dass, wenn ein bestimmtes Gerät keiner lokalen oder XenMobile Server-Regel entspricht, der gewünschte Zugriffsstatus des Geräts durch den gewünschten Zugriffsstatus der Standardzugriffsregel bestimmt wird.

• Standardzugriff – Zulassen: Jedes Gerät, das keiner lokalen oder XenMobile Server-Regel entspricht, wird zugelassen.
• Standardzugriff – Blockieren: Jedes Gerät, das keiner lokalen oder XenMobile Server-Regel entspricht, wird blockiert.
• Standardzugriff – Unverändert: Jedes Gerät, das keiner lokalen oder XenMobile Server-Regel entspricht, wird seinen Zugriffsstatus durch den Endpoint Management Connector für Exchange ActiveSync in keiner Weise ändern lassen. Wenn ein Gerät von Exchange in den Quarantänemodus versetzt wurde, wird keine Aktion ausgeführt. Die einzige Möglichkeit, ein Gerät aus dem Quarantänemodus zu entfernen, besteht beispielsweise darin, dass eine explizite lokale oder XDM-Regel die Quarantäne außer Kraft setzt.

Informationen zur Regelauswertung

Für jedes Gerät, das Exchange an den Endpoint Management Connector für Exchange ActiveSync meldet, werden die Regeln der Reihe nach, von der höchsten zur niedrigsten Priorität, wie folgt ausgewertet:

• Lokale Regeln
• XenMobile Server-Regeln
• Standardzugriffsregel

Wenn eine Übereinstimmung gefunden wird, stoppt die Auswertung. Wenn beispielsweise eine lokale Regel mit einem bestimmten Gerät übereinstimmt, wird das Gerät nicht anhand der XenMobile Server-Regeln oder der Standardzugriffsregel ausgewertet. Dies gilt auch innerhalb eines bestimmten Regeltyps. Wenn es beispielsweise mehr als eine einzelne Übereinstimmung für ein bestimmtes Gerät in der lokalen Regelliste gibt, stoppt die Auswertung, sobald die erste Übereinstimmung gefunden wird.

Der Endpoint Management Connector für Exchange ActiveSync wertet den aktuell definierten Regelsatz neu aus, wenn sich Geräteeigenschaften ändern, Geräte hinzugefügt oder entfernt werden oder sich die Regeln selbst ändern. Haupt-Snapshots erfassen Änderungen und Entfernungen von Geräteeigenschaften in konfigurierbaren Intervallen. Neben-Snapshots erfassen neue Geräte in konfigurierbaren Intervallen.

Exchange ActiveSync verfügt ebenfalls über Regeln zur Zugriffssteuerung. Es ist wichtig zu verstehen, wie diese Regeln im Kontext des Endpoint Management Connectors für Exchange ActiveSync funktionieren. Exchange kann mit drei Regelebenen konfiguriert werden: persönliche Ausnahmen, Geräteregeln und Organisationseinstellungen. Der Endpoint Management Connector für Exchange ActiveSync automatisiert die Zugriffssteuerung, indem er programmatisch Remote PowerShell-Anfragen ausgibt, um die Listen der persönlichen Ausnahmen zu beeinflussen. Dies sind Listen von zugelassenen oder blockierten Exchange ActiveSync-Geräte-IDs, die einem bestimmten Postfach zugeordnet sind. Bei der Bereitstellung übernimmt der Endpoint Management Connector für Exchange ActiveSync effektiv die Verwaltung der Funktion für Ausnahmelisten innerhalb von Exchange. Weitere Informationen finden Sie im Microsoft-Artikel Gerätezugriff steuern.

Die Analyse ist nützlich in Situationen, in denen mehrere Regeln für dasselbe Feld definiert wurden. Sie können die Beziehungen zwischen Regeln beheben. Sie führen die Analyse aus der Perspektive der Regelfelder durch. Zum Beispiel werden Regeln in Gruppen analysiert, basierend auf dem Feld, das abgeglichen wird, wie z. B. ActiveSync-Geräte-ID, ActiveSync-Gerätetyp, Benutzer, Benutzeragent.

Regelterminologie

• Überschreibende Regel: Eine Überschreibung tritt auf, wenn mehr als eine einzelne Regel auf dasselbe Gerät angewendet werden kann. Da Regeln nach Priorität in der Liste ausgewertet werden, werden die späteren Regelinstanzen, die möglicherweise zutreffen, möglicherweise nie ausgewertet.
• Konfliktregel: Ein Konflikt tritt auf, wenn mehr als eine einzelne Regel auf dasselbe Gerät angewendet werden könnte, aber der Zugriff (Zulassen/Blockieren) nicht übereinstimmt. Wenn die Konfliktregeln keine Regeln mit regulärem Ausdruck sind, impliziert ein Konflikt immer eine Überschreibung.
• Ergänzende Regel: Eine Ergänzung tritt auf, wenn mehr als eine Regel eine Regel mit regulärem Ausdruck ist und daher möglicherweise sichergestellt werden muss, dass die beiden (oder mehr) regulären Ausdrücke entweder zu einer einzigen Regel mit regulärem Ausdruck kombiniert werden können oder keine Funktionalität duplizieren. Eine ergänzende Regel kann auch in ihrem Zugriff (Zulassen/Blockieren) in Konflikt stehen.
• Primäre Regel: Die primäre Regel ist die Regel, die im Dialogfeld angeklickt wurde. Die Regel wird visuell durch eine durchgezogene Rahmenlinie angezeigt, die sie umgibt. Die Regel hat auch einen oder zwei grüne Pfeile, die nach oben oder unten zeigen. Zeigt ein Pfeil nach oben, so weist er darauf hin, dass es Hilfsregeln gibt, die der primären Regel vorausgehen. Zeigt ein Pfeil nach unten, so weist dies darauf hin, dass es Hilfsregeln gibt, die nach der primären Regel kommen. Es kann immer nur eine primäre Regel aktiv sein.
• Hilfsregel: Eine Hilfsregel steht in irgendeiner Weise mit der primären Regel in Beziehung, entweder durch Überschreibung, Konflikt oder eine ergänzende Beziehung. Die Regeln werden visuell durch einen gestrichelten Rahmen angezeigt, der sie umgibt. Für jede primäre Regel kann es eine bis viele Hilfsregeln geben. Beim Klicken auf einen unterstrichenen Eintrag werden die hervorgehobenen Hilfsregeln immer aus der Perspektive der primären Regel betrachtet. Zum Beispiel wird die Hilfsregel von der primären Regel überschrieben, und/oder die Hilfsregel steht in ihrem Zugriff mit der primären Regel in Konflikt, und/oder die Hilfsregel ergänzt die primäre Regel.

Wie Regeltypen im Dialogfeld „Regelanalyse“ angezeigt werden

Wenn es keine Konflikte, Überschreibungen oder Ergänzungen gibt, hat das Dialogfeld „Regelanalyse“ keine unterstrichenen Einträge. Das Klicken auf eines der Elemente hat keine Auswirkungen; zum Beispiel treten normale visuelle Darstellungen ausgewählter Elemente auf.

Das Fenster „Regelanalyse“ verfügt über ein Kontrollkästchen, das, wenn es ausgewählt ist, nur die Regeln anzeigt, die Konflikte, Überschreibungen, Redundanzen oder Ergänzungen sind.

Wenn eine Überschreibung auftritt, werden mindestens zwei Regeln unterstrichen: die primäre Regel und die Hilfsregel(n). Mindestens eine Hilfsregel erscheint in einer helleren Schriftart, um anzuzeigen, dass die Regel von einer Regel mit höherer Priorität überschrieben wurde. Sie können auf die überschriebene Regel klicken, um herauszufinden, welche Regel(n) die Regel überschrieben hat/haben. Jedes Mal, wenn eine überschriebene Regel hervorgehoben wurde, sei es, weil die Regel die primäre oder Hilfsregel ist, erscheint ein schwarzer Kreis daneben als weitere visuelle Anzeige, dass die Regel inaktiv ist. Bevor Sie beispielsweise auf die Regel klicken, sieht das Dialogfeld wie folgt aus:

Wenn Sie auf die Regel mit der höchsten Priorität klicken, sieht das Dialogfeld wie folgt aus:

In diesem Beispiel ist die Regel mit regulärem Ausdruck WorkMail.* die primäre Regel (angezeigt durch den durchgezogenen Rahmen) und die normale Regel workmailc633313818 ist eine Hilfsregel (angezeigt durch den gestrichelten Rahmen). Der schwarze Punkt neben der Hilfsregel ist ein visueller Hinweis, der zusätzlich anzeigt, dass die Regel inaktiv ist (nie ausgewertet wird) aufgrund der ihr vorausgehenden Regel mit höherer Priorität. Nach dem Klicken auf die überschriebene Regel sieht das Dialogfeld wie folgt aus:

Im vorhergehenden Beispiel ist die Regel mit regulärem Ausdruck WorkMail.* die Hilfsregel (angezeigt durch den gestrichelten Rahmen) und die normale Regel workmailc633313818 ist eine primäre Regel (angezeigt durch den durchgezogenen Rahmen). Für dieses einfache Beispiel gibt es keinen großen Unterschied. Ein komplizierteres Beispiel finden Sie im Beispiel für komplexe Ausdrücke weiter unten in diesem Thema. In einem Szenario mit vielen definierten Regeln würde das Klicken auf die überschriebene Regel schnell identifizieren, welche Regel oder Regeln sie überschrieben hat.

Wenn ein Konflikt auftritt, werden mindestens zwei Regeln unterstrichen, die primäre Regel und die Hilfsregel(n). Die in Konflikt stehenden Regeln werden durch einen roten Punkt angezeigt. Regeln, die nur miteinander in Konflikt stehen, sind nur möglich, wenn zwei oder mehr Regeln mit regulärem Ausdruck definiert sind. In allen anderen Konfliktszenarien gibt es nicht nur einen Konflikt, sondern auch eine Überschreibung. Bevor Sie in einem einfachen Beispiel auf eine der Regeln klicken, sieht das Dialogfeld wie folgt aus:

Durch die Überprüfung der beiden Regeln mit regulärem Ausdruck wird deutlich, dass die erste Regel alle Geräte mit einer Geräte-ID, die „App“ enthält, zulässt und dass die zweite Regel alle Geräte mit einer Geräte-ID, die „Appl“ enthält, verweigert. Obwohl die zweite Regel alle Geräte mit einer Geräte-ID, die „Appl“ enthält, verweigert, werden keine Geräte, die den Kriterien entsprechen, jemals verweigert, da die Zulassungsregel eine höhere Präzedenz hat. Nach dem Klicken auf die erste Regel sieht das Dialogfeld wie folgt aus:

Im vorhergehenden Szenario sind sowohl die primäre Regel (Regel mit regulärem Ausdruck App.*) als auch die Hilfsregel (Regel mit regulärem Ausdruck Appl.*) gelb hervorgehoben. Dies ist lediglich eine visuelle Warnung, um Sie darauf aufmerksam zu machen, dass Sie mehr als eine einzelne Regel mit regulärem Ausdruck auf ein einziges abgleichbares Feld angewendet haben, was ein Redundanzproblem oder etwas Ernsteres bedeuten kann.

In einem Szenario mit sowohl einem Konflikt als auch einer Überschreibung werden sowohl die primäre Regel (Regel für reguläre Ausdrücke App.*) als auch die Nebenregel (Regel für reguläre Ausdrücke Appl.*) gelb hervorgehoben. Dies ist lediglich eine visuelle Warnung, die Sie darauf aufmerksam machen soll, dass Sie mehr als eine einzige Regel für reguläre Ausdrücke auf ein einzelnes abgleichbares Feld angewendet haben, was ein Redundanzproblem oder etwas Ernsteres bedeuten kann.

Im vorhergehenden Beispiel ist leicht zu erkennen, dass die erste Regel (Regel für reguläre Ausdrücke SAMSUNG.*) nicht nur die nächste Regel (normale Regel SAMSUNG-SM-G900A/101.40402) überschreibt, sondern dass sich die beiden Regeln auch in ihrem Zugriff unterscheiden (die primäre Regel gibt „Zulassen“ an, die Nebenregel gibt „Blockieren“ an). Die zweite Regel (normale Regel SAMSUNG-SM-G900A/101.40402) wird in hellerem Text angezeigt, um darauf hinzuweisen, dass sie überschrieben wurde und daher inaktiv ist.

Nach dem Klicken auf die Regel für reguläre Ausdrücke wird das Dialogfeld wie folgt angezeigt:

Die primäre Regel (Regel für reguläre Ausdrücke SAMSUNG.*) ist von einem roten Punkt gefolgt, der anzeigt, dass ihr Zugriffsstatus mit einer oder mehreren Nebenregeln in Konflikt steht. Die Nebenregel (normale Regel SAMSUNG-SM-G900A/101.40402) ist von einem roten Punkt gefolgt, der anzeigt, dass ihr Zugriffsstatus mit der primären Regel in Konflikt steht. Diese Regel ist auch von einem schwarzen Punkt gefolgt, der anzeigt, dass sie überschrieben und daher inaktiv ist.

Mindestens zwei Regeln werden unterstrichen sein: die primäre Regel und die Nebenregel(n). Regeln, die sich nur gegenseitig ergänzen, betreffen ausschließlich Regeln für reguläre Ausdrücke. Wenn Regeln sich gegenseitig ergänzen, werden sie mit einer gelben Überlagerung gekennzeichnet. Bevor Sie in einem einfachen Beispiel auf eine der Regeln klicken, wird das Dialogfeld wie folgt angezeigt:

Eine visuelle Überprüfung zeigt leicht, dass beide Regeln Regeln für reguläre Ausdrücke sind, die beide auf das ActiveSync-Geräte-ID-Feld im Endpoint Management-Connector für Exchange ActiveSync angewendet wurden. Nach dem Klicken auf die erste Regel sieht das Dialogfeld wie folgt aus:

Die primäre Regel (Regel für reguläre Ausdrücke WorkMail.*) ist mit einer gelben Überlagerung hervorgehoben, um anzuzeigen, dass mindestens eine weitere Nebenregel existiert, die ein regulärer Ausdruck ist. Die Nebenregel (Regel für reguläre Ausdrücke SAMSUNG.*) ist mit einer gelben Überlagerung hervorgehoben, um anzuzeigen, dass sowohl sie als auch die primäre Regel Regeln für reguläre Ausdrücke sind, die auf dasselbe Feld innerhalb des Endpoint Management-Connectors für Exchange ActiveSync angewendet werden. In diesem Fall ist dieses Feld die ActiveSync-Geräte-ID. Die regulären Ausdrücke können sich überlappen oder auch nicht. Es liegt an Ihnen zu entscheiden, ob Ihre regulären Ausdrücke korrekt erstellt sind.

Beispiel für einen komplexen Ausdruck

Es können viele potenzielle Überschreibungen, Konflikte oder Ergänzungen auftreten, wodurch es unmöglich ist, ein Beispiel für alle möglichen Szenarien zu geben. Das folgende Beispiel erörtert, was nicht zu tun ist, und dient gleichzeitig dazu, die volle Leistungsfähigkeit des visuellen Konstrukts der Regelanalyse zu veranschaulichen. Die meisten Elemente sind in der folgenden Abbildung unterstrichen. Viele der Elemente werden in einer helleren Schriftart dargestellt, was darauf hinweist, dass die betreffende Regel in irgendeiner Weise durch eine Regel mit höherer Priorität überschrieben wurde. Verschiedene Regeln für reguläre Ausdrücke sind ebenfalls in der Liste enthalten, wie durch das Symbol angezeigt.

So analysieren Sie eine Überschreibung

Um zu sehen, welche Regel(n) eine bestimmte Regel überschrieben haben, klicken Sie auf die Regel.

Beispiel 1: Dieses Beispiel untersucht, warum zentrain01@zenprise.com überschrieben wurde.

Die primäre Regel (AD-Gruppenregel zenprise/TRAINING/ZenTraining B, deren Mitglied zentrain01@zenprise.com ist) weist die folgenden Merkmale auf:

• Ist blau hervorgehoben und hat einen durchgezogenen Rahmen.
• Hat einen nach oben zeigenden grünen Pfeil (um anzuzeigen, dass sich die Nebenregel(n) alle darüber befinden).
• Ist gefolgt von einem roten und einem schwarzen Kreis, um jeweils anzuzeigen, dass eine oder mehrere Nebenregeln mit ihrem Zugriff in Konflikt stehen und dass die primäre Regel überschrieben wurde und somit inaktiv ist.

Wenn Sie nach oben scrollen, sehen Sie Folgendes:

In diesem Fall gibt es zwei Nebenregeln, die die primäre Regel überschreiben: die Regel für reguläre Ausdrücke zen.* und die normale Regel zentrain01@zenprise.com (von zenprise/TRAINING/ZenTraining A). Im Fall der letzteren Nebenregel ist Folgendes geschehen: Die Active Directory-Gruppenregel ZenTraining A enthält den Benutzer zentrain01@zenprise.com, und die Active Directory-Gruppenregel ZenTraining B enthält ebenfalls den Benutzer zentrain01@zenprise.com. Da die Nebenregel jedoch eine höhere Priorität als die primäre Regel hat, wurde die primäre Regel überschrieben. Der Zugriff der primären Regel ist „Zulassen“, und da der Zugriff beider Nebenregeln „Blockieren“ ist, sind alle mit einem roten Kreis gefolgt, um einen Zugriffs-Konflikt weiter anzuzeigen.

Beispiel 2: Dieses Beispiel zeigt, warum das Gerät mit einer ActiveSync-Geräte-ID von 069026593E0C4AEAB8DE7DD589ACED33 überschrieben wurde:

Die primäre Regel (normale Geräte-ID-Regel 069026593E0C4AEAB8DE7DD589ACED33) weist die folgenden Merkmale auf:

• Ist blau hervorgehoben und hat einen durchgezogenen Rahmen.
• Hat einen nach oben zeigenden grünen Pfeil (um anzuzeigen, dass sich die Nebenregel darüber befindet).
• Ist gefolgt von einem schwarzen Kreis, um anzuzeigen, dass eine Nebenregel die primäre Regel überschrieben hat und somit inaktiv ist.

In diesem Fall überschreibt eine einzige Nebenregel die primäre Regel: Die Regel für reguläre Ausdrücke für die ActiveSync-Geräte-ID ist 3E.* Da der reguläre Ausdruck 3E.* mit 069026593E0C4AEAB8DE7DD589ACED33 übereinstimmen würde, wird die primäre Regel niemals ausgewertet.

So analysieren Sie eine Ergänzung und einen Konflikt

In diesem Fall ist die primäre Regel die Regel für reguläre Ausdrücke für den ActiveSync-Gerätetyp touch.* Die Merkmale sind wie folgt:

• Ist durch einen durchgezogenen Rahmen mit einer gelben Überlagerung gekennzeichnet, als Warnung, dass mehr als eine einzige Regel für reguläre Ausdrücke auf ein bestimmtes Regelfeld angewendet wird, in diesem Fall ActiveSync-Gerätetyp.
• Zwei Pfeile zeigen jeweils nach oben und unten, was darauf hinweist, dass es mindestens eine Nebenregel mit höherer Priorität und mindestens eine Nebenregel mit niedrigerer Priorität gibt.
• Der rote Kreis daneben zeigt an, dass mindestens eine Nebenregel ihren Zugriff auf „Zulassen“ gesetzt hat, was mit dem Zugriff der primären Regel von „Blockieren“ in Konflikt steht.
• Es gibt zwei Nebenregeln: die Regel für reguläre Ausdrücke für den ActiveSync-Gerätetyp SAM.* und die Regel für reguläre Ausdrücke für den ActiveSync-Gerätetyp Andro.*.
• Beide Nebenregeln sind mit Strichen umrandet, um anzuzeigen, dass sie Nebenregeln sind.
• Beide Nebenregeln sind mit Gelb überlagert, um anzuzeigen, dass sie auch auf das Regelfeld des ActiveSync-Gerätetyps angewendet werden.

• Sie sollten in solchen Szenarien sicherstellen, dass ihre Regeln für reguläre Ausdrücke nicht redundant sind.

  

So analysieren Sie die Regeln weiter

Dieses Beispiel untersucht, wie Regelbeziehungen immer aus der Perspektive der primären Regel betrachtet werden. Das vorhergehende Beispiel zeigte, wie ein Klick auf die Regel für reguläre Ausdrücke, die auf das Regelfeld des Gerätetyps mit dem Wert touch.* angewendet wurde. Das Klicken auf die Nebenregel Andro.* zeigt, dass ein anderer Satz von Nebenregeln hervorgehoben wird.

Das Beispiel zeigt eine überschriebene Regel, die in der Regelbeziehung enthalten ist. Diese Regel ist die normale ActiveSync-Gerätetyp-Regel Android, die überschrieben wird (angezeigt durch die hellere Schriftart und den schwarzen Kreis daneben) und auch in ihrem Zugriff mit der primären Regel für reguläre Ausdrücke für den ActiveSync-Gerätetyp Andro.* in Konflikt steht. Diese Regel war früher eine Nebenregel, bevor darauf geklickt wurde. Im vorhergehenden Beispiel wurde die normale ActiveSync-Gerätetyp-Regel Android nicht als Nebenregel angezeigt, da sie aus der Perspektive der damaligen primären Regel (der Regel für reguläre Ausdrücke für den ActiveSync-Gerätetyp touch.*) nicht damit in Beziehung stand.

So konfigurieren Sie eine normale lokale Ausdrucksregel

1. Klicken Sie auf die Registerkarte Zugriffsregeln.

1. Wählen Sie in der Liste Geräte-ID das Feld aus, für das Sie eine lokale Regel erstellen möchten.

2. Klicken Sie auf das Lupensymbol, um alle eindeutigen Übereinstimmungen für das ausgewählte Feld anzuzeigen. In diesem Beispiel wurde das Feld Gerätetyp ausgewählt, und die Optionen werden unten im Listenfeld angezeigt.

   

3. Klicken Sie auf eines der Elemente im Ergebnislistenfeld und dann auf eine der folgenden Optionen:

   • Zulassen bedeutet, dass Exchange so konfiguriert wird, dass ActiveSync-Datenverkehr für alle übereinstimmenden Geräte zugelassen wird.
   • Verweigern bedeutet, dass Exchange so konfiguriert wird, dass ActiveSync-Datenverkehr für alle übereinstimmenden Geräte verweigert wird.

   In diesem Beispiel wird allen Geräten mit dem Gerätetyp SamsungSPhl720 der Zugriff verweigert.

   

So fügen Sie einen regulären Ausdruck hinzu

Lokale Regeln für reguläre Ausdrücke können durch das Symbol unterschieden werden, das daneben angezeigt wird – .

Um eine Regel für reguläre Ausdrücke hinzuzufügen, können Sie entweder eine Regel für reguläre Ausdrücke aus einem vorhandenen Wert aus der Ergebnisliste für ein bestimmtes Feld erstellen (sofern ein wichtiger Snapshot abgeschlossen wurde) oder Sie können einfach den gewünschten regulären Ausdruck eingeben.

So erstellen Sie einen regulären Ausdruck aus einem vorhandenen Feldwert

1. Klicken Sie auf die Registerkarte Zugriffsregeln.

   

2. Wählen Sie in der Liste Geräte-ID das Feld aus, für das Sie eine lokale Regel für reguläre Ausdrücke erstellen möchten.

3. Klicken Sie auf das Lupensymbol, um alle eindeutigen Übereinstimmungen für das ausgewählte Feld anzuzeigen. In diesem Beispiel wurde das Feld Gerätetyp ausgewählt, und die Optionen werden unten im Listenfeld angezeigt.

   

4. Klicken Sie auf eines der Elemente in der Ergebnisliste. In diesem Beispiel wurde SAMSUNGSPHL720 ausgewählt und erscheint im Textfeld neben Gerätetyp.

   

5. Um alle Gerätetypen zuzulassen, die “Samsung” in ihrem Gerätetypwert enthalten, fügen Sie eine Regel für reguläre Ausdrücke hinzu, indem Sie die folgenden Schritte ausführen:

   1. Klicken Sie in das Textfeld des ausgewählten Elements.

   2. Ändern Sie den Text von SAMSUNGSPHL720 in SAMSUNG.*.

   3. Stellen Sie sicher, dass das Kontrollkästchen für reguläre Ausdrücke aktiviert ist.

   4. Klicken Sie auf Zulassen.

   

So erstellen Sie eine Zugriffsregel

1. Klicken Sie auf die Registerkarte Lokale Regeln.

2. Um den regulären Ausdruck einzugeben, müssen Sie sowohl die Liste der Geräte-IDs als auch das Textfeld des ausgewählten Elements verwenden.

   

3. Wählen Sie das Feld aus, mit dem Sie abgleichen möchten. Dieses Beispiel verwendet den Gerätetyp.
4. Geben Sie den regulären Ausdruck ein. Dieses Beispiel verwendet samsung.*

5. Stellen Sie sicher, dass das Kontrollkästchen für reguläre Ausdrücke aktiviert ist, und klicken Sie dann auf Zulassen oder Verweigern. In diesem Beispiel ist die Auswahl Zulassen. Das Endergebnis sieht wie folgt aus:

   

So finden Sie Geräte

Durch Aktivieren des Kontrollkästchens für reguläre Ausdrücke können Sie nach bestimmten Geräten suchen, die dem angegebenen Ausdruck entsprechen. Diese Funktion ist nur verfügbar, wenn ein wichtiger Snapshot erfolgreich abgeschlossen wurde. Sie können diese Funktion auch dann verwenden, wenn keine Regeln für reguläre Ausdrücke geplant sind. Angenommen, Sie möchten alle Geräte finden, die den Text “workmail” in ihrer ActiveSync-Geräte-ID enthalten. Gehen Sie dazu wie folgt vor.

1. Klicken Sie auf die Registerkarte Zugriffsregeln.

2. Stellen Sie sicher, dass der Feldselektor für den Geräteabgleich auf Geräte-ID (Standard) eingestellt ist.

   

3. Klicken Sie in das Textfeld des ausgewählten Elements (wie in der vorhergehenden Abbildung blau dargestellt) und geben Sie dann workmail.* ein.

4. Stellen Sie sicher, dass das Kontrollkästchen für reguläre Ausdrücke aktiviert ist, und klicken Sie dann auf das Lupensymbol, um Übereinstimmungen anzuzeigen, wie in der folgenden Abbildung dargestellt.

   

So fügen Sie einen einzelnen Benutzer, ein Gerät oder einen Gerätetyp zu einer statischen Regel hinzu

Sie können statische Regeln basierend auf Benutzer, Geräte-ID oder Gerätetyp auf der Registerkarte ActiveSync-Geräte hinzufügen.

1. Klicken Sie auf die Registerkarte ActiveSync-Geräte.

2. Klicken Sie in der Liste mit der rechten Maustaste auf einen Benutzer, ein Gerät oder einen Gerätetyp und wählen Sie aus, ob Sie Ihre Auswahl zulassen oder verweigern möchten.

   Die folgende Abbildung zeigt die Option „Zulassen/Verweigern“, wenn user1 ausgewählt ist.

   

Geräteüberwachung

Auf der Registerkarte Überwachen im Endpoint Management-Connector für Exchange ActiveSync können Sie die erkannten Exchange ActiveSync- und BlackBerry-Geräte sowie den Verlauf der ausgeführten automatisierten PowerShell-Befehle durchsuchen. Die Registerkarte Überwachen enthält die folgenden drei Registerkarten:

• ActiveSync-Geräte:
  • Sie können die angezeigten ActiveSync-Gerätepartnerschaften exportieren, indem Sie auf die Schaltfläche Exportieren klicken.
  • Sie können lokale (statische) Regeln hinzufügen, indem Sie mit der rechten Maustaste auf die Spalten Benutzer, Geräte-ID oder Typ klicken und den entsprechenden Regeltyp zum Zulassen oder Blockieren auswählen.
  • Um eine erweiterte Zeile zu reduzieren, klicken Sie bei gedrückter <Strg>-Taste auf die erweiterte Zeile.
• BlackBerry-Geräte
• Automatisierungsverlauf

Die Registerkarte Konfigurieren zeigt den Verlauf aller Snapshots an. Der Snapshot-Verlauf zeigt an, wann der Snapshot erstellt wurde, wie lange er dauerte, wie viele Geräte erkannt wurden und welche Fehler aufgetreten sind:

• Klicken Sie auf der Registerkarte Exchange auf das Info-Symbol für den gewünschten Exchange Server.
• Klicken Sie auf der Registerkarte MSP auf das Info-Symbol für den gewünschten BlackBerry Server.

Fehlerbehebung und Diagnose

Der Endpoint Management-Connector für Exchange ActiveSync protokolliert Fehler und andere Betriebsinformationen in seiner Protokolldatei: Installationsordner\log\XmmWindowsService.log. Der Endpoint Management-Connector für Exchange ActiveSync protokolliert auch wichtige Ereignisse im Windows-Ereignisprotokoll.

So ändern Sie die Protokollierungsstufe

Der Endpoint Management-Connector für Exchange ActiveSync umfasst die folgenden Protokollierungsstufen: Error, Info, Warn, Debug und Trace.

Hinweis:

Jede aufeinanderfolgende Stufe erzeugt mehr Details (mehr Daten). Beispielsweise bietet die Stufe „Error“ die geringsten Details, während die Stufe „Trace“ die meisten Details bietet.

Gehen Sie wie folgt vor, um die Protokollierungsstufe zu ändern:

1. Öffnen Sie in C:\Program Files\Citrix\Citrix Endpoint Management connector die Datei nlog.config.

2. Ändern Sie im Abschnitt <rules> den Parameter minilevel auf die gewünschte Protokollierungsstufe. Beispiel:

       <rules>
   
       <logger name="*" writeTo="file" minlevel="Debug" />
   
       </rules>
   <!--NeedCopy-->
   

3. Speichern Sie die Datei.

   Die Änderungen werden sofort wirksam. Sie müssen den Connector für Exchange ActiveSync nicht neu starten.

Häufige Fehler

Die folgende Liste enthält häufige Fehler:

• Der Dienst des Endpoint Management-Connectors für Exchange ActiveSync startet nicht

  Überprüfen Sie die Protokolldatei und das Windows-Ereignisprotokoll auf Fehler. Typische Ursachen sind:

  • Der Endpoint Management-Connector für den Exchange ActiveSync-Dienst kann nicht auf den SQL Server zugreifen. Dies kann durch folgende Probleme verursacht werden:

    • Der SQL Server-Dienst wird nicht ausgeführt.
    • Authentifizierungsfehler.

    Wenn die Windows-integrierte Authentifizierung konfiguriert ist, muss das Benutzerkonto des Endpoint Management-Connectors für den Exchange ActiveSync-Dienst ein zulässiger SQL-Anmeldebenutzer sein. Das Konto des Endpoint Management-Connectors für den Exchange ActiveSync-Dienst ist standardmäßig „Lokales System“, kann aber in jedes Konto geändert werden, das über lokale Administratorrechte verfügt. Wenn die SQL-Authentifizierung konfiguriert ist, muss die SQL-Anmeldung in SQL ordnungsgemäß konfiguriert werden.

  • Der für den Mobile Service Provider (MSP) konfigurierte Port ist nicht verfügbar. Es muss ein Überwachungsport ausgewählt werden, der nicht von einem anderen Prozess auf dem System verwendet wird.

• XenMobile kann keine Verbindung zum MSP herstellen

  Stellen Sie sicher, dass der MSP-Dienstport und der Transport auf der Registerkarte Konfigurieren > MSP der Konsole des Endpoint Management-Connectors für Exchange ActiveSync ordnungsgemäß konfiguriert sind. Überprüfen Sie, ob die Autorisierungsgruppe oder der Benutzer richtig eingestellt ist.

  Wenn HTTPS konfiguriert ist, muss ein gültiges SSL-Serverzertifikat installiert sein. Wenn IIS installiert ist, kann der IIS-Manager zum Installieren des Zertifikats verwendet werden. Wenn IIS nicht installiert ist, finden Sie weitere Informationen zur Installation von Zertifikaten unter Konfigurieren eines Ports mit einem SSL-Zertifikat.

  Der Endpoint Management-Connector für Exchange ActiveSync enthält ein Dienstprogramm zum Testen der Konnektivität zum MSP-Dienst. Führen Sie das Programm Installationsordner\MspTestServiceClient.exe aus und legen Sie die URL und die Anmeldeinformationen auf eine URL und Anmeldeinformationen fest, die in XenMobile konfiguriert sind, und klicken Sie dann auf Konnektivität testen. Dies simuliert die Webdienstanforderungen, die der XenMobile Server ausgibt. Wenn HTTPS konfiguriert ist, müssen Sie den tatsächlichen Hostnamen des Servers (den im SSL-Zertifikat angegebenen Namen) angeben.

  Stellen Sie bei Verwendung von Konnektivität testen sicher, dass mindestens ein ActiveSyncDevice-Datensatz vorhanden ist, da der Test sonst fehlschlagen könnte.

  

Tools zur Fehlerbehebung

Eine Reihe von PowerShell-Dienstprogrammen zur Fehlerbehebung ist im Ordner Support\PowerShell verfügbar.

Ein Fehlerbehebungstool führt eine detaillierte Analyse von Benutzerpostfächern und Geräten durch, erkennt Fehlerbedingungen und potenzielle Fehlerbereiche sowie eine detaillierte RBAC-Analyse von Benutzern. Es kann die Rohausgabe aller Cmdlets in einer Textdatei speichern.