Secure Mail 测试和故障排除

如果 Secure Mail 不能正常运行,通常是连接问题所致。本文介绍了如何避免出现连接问题。如果确实出现问题,本文还介绍了如何对问题进行故障排除。

测试 ActiveSync 连接、用户身份验证和 APNs 配置

可以使用 Endpoint Management Analyzer 执行 Secure Mail 自动发现服务检查。它将引导您下载 Endpoint Management Exchange ActiveSync Test 应用程序。邮件测试选项将检查与邮件服务器的基本连接设置。此工具还可帮助您对 ActiveSync 服务器进行故障排除,以确认其是否已准备好在 Endpoint Management 环境中部署。有关详细信息,请参阅 Endpoint Management Analyzer 工具

Analyzer 中的“Mail test”(邮件测试)选项确认以下情况:

  • iOS 和 Android 设备与 Microsoft Exchange 或 IBM Traveler 服务器的连接情况。
  • 用户身份验证。
  • iOS 的推送通知配置,包括 Exchange Server、Exchange Web 服务 (EWS)、Citrix Gateway、APNs 证书及 Secure Mail。有关配置推送通知的信息,请参阅 Secure Mail for iOS 的推送通知

此工具提供用于更正问题的完整建议列表。

注意: 邮件测试应用程序 MailTest.ipa 已弃用。请改为访问 Endpoint Management Analyzer 中的相同功能。

执行测试的必备条件

  • 请确保未阻止“网络访问”策略。
  • 将“阻止电子邮件撰写”策略设置为

使用 Secure Mail 日志对连接问题进行故障排除

要获取 Secure Mail 日志,请执行以下操作。

  1. 转至 Secure Hub > 帮助 > 报告问题

  2. 从应用程序列表中选择 Secure Mail

    此时将打开一封发送给贵组织的技术支持人员的电子邮件。

  3. 填写主题行和正文,用几句话描述您的问题。

  4. 选择问题的发生时间。

  5. 只有在支持团队指示您这样做时才更改日志设置。

  6. 单击 Send(发送)。

    将打开完成消息,指出已附加压缩的日志文件。

  7. 再次单击 Send(发送)。

发送的 zip 文件包括以下日志:

  • CtxLog_AppInfo.txt (iOS)、Device_And_AppInfo.txt (Android)、logx.txt 和 WH_logx.txt (Windows Phone)

应用程序信息日志包括与设备和应用程序有关的信息。请验证使用的硬件型号和平台版本是否受支持。验证所使用的 Secure Mail 和 MDX Toolkit 版本是否最新且兼容。有关详细信息,请参阅 Secure Mail 的系统要求Endpoint Management 兼容性

  • CtxLog_VPNConfig.xml (iOS) 和 VpnConfig.xml (Android)

仅会为 Secure Hub 提供 VPN 配置日志。检查 Citrix ADC 版本 ServerBuildVersion 以确保所使用的是最新的 Citrix ADC 版本。检查 SplitDNSSplitTunnel 设置,如下所示:

  • 如果“Split DNS”(拆分 DNS)设置为 Remote(远程)、Local(本地)或 Both(二者),确认通过 DNS 正确解析邮件服务器 FQDN。(拆分 DNS 适用于 Android 上的 Secure Hub。)
  • 如果“拆分通道”设置为,请确保邮件服务器作为其中一个可以在后端访问的 Internet 应用程序列出。

  • CtxLog_AppPolicies.xml (iOS)、Policy.xml(Android 和 Windows Phone)

策略日志提供截止到获取日志的时间为止,应用于 Secure Mail 的所有 MDX 策略的值。对于连接问题,请确认 <BackgroundServices><BackgroundServicesGateway> 策略的值。

  • 诊断日志(位于“diagnostics”(诊断)文件夹中)

对于 Secure Mail 的初始配置,最常见的问题是“当前无法访问公司网络”。要使用诊断日志对连接问题进行故障排除,请执行以下操作。

诊断日志中的键列包括“Timestamp”(时间戳)、“Message Class”(消息类)和“Message”(消息)。当 Secure Mail 中出现错误消息时,请记下时间,以便快速地在 Timestamp(时间戳)列查找相关日志条目。

要确定从设备到 Citrix Gateway 的连接是否成功:请查看 AG Tunneler 条目。以下消息表示连接成功:

  • AG policy Intercepting FQDN:443 for STA tunneling(AG 策略正在为 STA 通道拦截 FQDN:443)
  • New TCP proxy connection to (null):443 established(与 (null):443 的新 TCP 代理连接已建立)

要确定从 Citrix Gateway 到 Endpoint Management 的连接是否成功(并因此可以验证 STA 票据),请执行以下操作:访问 Secure Hub 诊断日志,并检查设备注册时间“Message Class”(消息类)下面的 INFO (4) 条目。以下消息表示 Secure Hub 从 Endpoint Management 获取了 STA 票据:

  • Getting STA Ticket(正在获取 STA 票据)。
  • Got STA Ticket response(已获取 STA 票据响应)。
  • STA Ticket - Success obtaining STA ticket for App – Secure Mail(STA 票据 - 成功获取应用程序的 STA 票据 – Secure Mail)。

注意:

注册期间,Secure Hub 向 Endpoint Management 发送获取 STA 票据的请求。Endpoint Management 将 STA 票据发送到设备,然后该 STA 票据存储在该设备上并添加到 Endpoint Management STA 票据列表中。

要确定 Endpoint Management 是否向用户签发了 STA 票据,请检查包含在支持包中的 UserAuditLogFile.log。此文件中列出每个票据的发放时间、用户名、用户设备和结果。例如:

Time: 2015-06-30T 12:26:34.771-0700(时间: 2015-06-30T 12:26:34.771-0700)

User: user2(用户:user2)

Device: Mozilla/5.0 (iPad; CPU OS 8_1_2 like macOS)(设备: Mozilla/5.0 (iPad;CPU OS 8_1_2,如 macOS))

Result: Successfully generated STA ticket for user ‘user2’ for app ‘Secure Mail’(结果: 已成功为应用程序 Secure Mail 的用户 user2 生成 STA 票据)

要检查从 Citrix Gateway 到邮件服务器的通信:请检查是否正确配置了 DNS 和网络连接。为此,请使用 Secure Web 访问 Outlook Web Access (OWA)。与 Secure Mail 类似,Secure Web 也可以使用 Micro VPN 通道与 Citrix Gateway 建立连接。Secure Web 充当所要访问的内部或外部资源的代理。通常情况下,尤其是在 Exchange 环境中,OWA 托管在邮件服务器上。

要测试配置,请打开 Secure Web 并输入 OWA 页面的 FQDN。此请求所采用的路由和 DNS 解析与 Citrix Gateway 和邮件服务器之间的通信相同。如果 OWA 页面打开,则可以确定 Citrix Gateway 正在与邮件服务器通信。

如果上述所有检查都指示通信成功,则可以确定问题与您的 Citrix 设置无关。相反,该问题与 Exchange 或 Traveler 服务器有关。

您可以收集信息并将其提供给 Exchange 或 Traveler 服务器管理员。首先,通过在 Secure Mail 诊断日志中搜索“Error”一词,检查 Exchange 或 Traveler 服务器是否存在 HTTP 问题。如果错误包含 HTTP 代码并且您拥有多个 Exchange 或 Traveler 服务器,请诊断各个服务器。Exchange 和 Traveler 具有 HTTP 日志,其中显示来自客户端设备的 HTTP 请求和响应。Exchange 的日志为 C:\inetpub\LogFiles\W3SVC1\U_EX.log。Traveler 的日志为 IBM_TECHNICAL_SUPPORT>HTTHR.log。

对电子邮件、联系人或日历问题进行故障排除

可以对 Secure Mail 问题进行故障排除,例如一封或多封电子邮件卡在“草稿”中、丢失联系人或日历项目未同步。要解决这些问题,请使用 Exchange ActiveSync 邮箱日志。这些日志显示设备发送的传入请求和邮件服务器的传出响应。

有关更多详细信息,请参阅以下 TechNet 博客:

Exchange ActiveSync Mailbox Logging(Exchange ActiveSync 邮箱日志)

Under The Hood: Exchange ActiveSync Mailbox Log Analysis(内部结构:Exchange ActiveSync 邮箱日志分析)

无限制同步最佳实践

当用户将其同步邮件期限设置为全部时,他们具有无限制同步。使用无限制同步时,意味着用户管理其邮箱大小,即收件箱及所有同步的子文件夹。为了获得最佳性能,请注意以下几点:

  1. 如果邮箱大小超过 18,000 封邮件或 600 MB 总的大小,电子邮件同步会变慢。

  2. 建议您不要启用在 Wi-Fi 中加载附件以进行无限制同步。此选项会导致设备上的邮件大小快速膨胀。

  3. 为防止您的用户使用无限制同步选项,请将最大同步间隔应用程序策略设置为全部之外的值。

  4. 建议您的用户不要将全部设置为默认同步时间间隔