Endpoint Management 连接器 for Exchange ActiveSync
XenMobile Mail Manager 现在是 Endpoint Management 连接器 for Exchange ActiveSync。有关 Citrix 统一产品组合的更多详细信息,请参阅 Citrix 产品指南。
此连接器通过以下方式扩展了 XenMobile® 的功能:
- 适用于 Exchange ActiveSync (EAS) 设备的动态访问控制。EAS 设备可以自动允许或阻止访问 Exchange 服务。
- XenMobile 能够访问由 Exchange 提供的 EAS 设备合作伙伴关系信息。
- XenMobile 能够根据 EAS 状态擦除移动设备。
- XenMobile 能够访问有关 Blackberry 设备的信息,并执行擦除和重置密码等控制操作。
要根据 EAS 状态擦除设备,请配置具有 ActiveSync 触发器的自动化操作。请参阅 自动化操作。
要下载 Endpoint Management 连接器 for Exchange ActiveSync:
- 转至 https://www.citrix.com/downloads。
- 导航到 Citrix Endpoint Management™ (和 Citrix XenMobile Server) > XenMobile Server(本地)> 产品软件 > XenMobile Server 10 > 服务器组件。
- 在 Citrix Endpoint Management 连接器 for Exchange ActiveSync 磁贴上,单击下载文件。
重要:
自 2022 年 10 月起,鉴于 Microsoft 此处 宣布的身份验证更改,Endpoint Management 和 Citrix Gateway 连接器 for Exchange ActiveSync 将不再支持 Exchange Online。Endpoint Management 连接器 for Exchange 将继续与 Microsoft Exchange Server(本地)配合使用。
新增功能
以下部分列出了 Endpoint Management 连接器 for Exchange ActiveSync(以前称为 XenMobile Mail Manager)中的新增功能。
10.1.10 版中的新增功能
10.1.10 版中修复了以下问题:
- 遇到频繁网络问题的客户可能无法在之前提供的三次尝试内完成快照。在此版本中,管理员可以配置最大尝试次数 (1-10)。此修复允许快照在通信中断多次的情况下,而不会完全放弃快照过程。 [CXM-70837]
- 在以前的版本中,“快照类型”未显示在 Exchange 配置列表中。现在,快照类型已显示。 [CXM-70846]
- PowerShell 报告的 PSRemotingTransport 异常表示与 Exchange 的会话不再可用。默认情况下,此状态将添加到配置文件中的“严重错误”列表。这样,当检测到 PSRemotingTransportException 时,连接将被标记为“错误”,以便稍后处理。下一次通信将使用有效连接或创建连接。 [XMHELP-2184, CXM-70836]
- 保存配置更改时,可能并非所有以前配置的内部组件都在加载新配置之前得到正确处置。此问题可能导致不可预测的行为。行为取决于具体更改以及更改是否与以前的配置冲突。在此版本中,所有内部组件都在加载新配置之前得到处置。 [XMHELP-2259, CXM-71388]
早期版本中的新增功能
以下部分列出了 Endpoint Management 连接器 for Exchange ActiveSync 早期版本中的功能和已修复问题。
10.1.9 版中的新增功能
10.1.9 版中修复了以下问题:
- 现在以更一致的方式处理配置更改。当服务检测到配置更改时,每个内部子系统都会停止,这意味着任何活动或计划的处理都会中断。接下来,加载新配置并重新启动子系统,这意味着所有计划和其他内部基础结构都将使用新设置重新建立。此问题纠正了 10.1.8 版中的已知问题。 [CXM-47709, CXM-61330]
- 在升级过程中,现有数据库配置未合并到新配置文件中。数据库配置现在已合并到升级后的配置文件中。 [CXM-49326]
- 在快照相关的诊断文件中,缺少列标题。标题已恢复。 [CXM-62680]
- 从以前的版本升级时,配置文件的默认部分被正在使用的配置文件的类似部分覆盖。此问题阻止了升级后服务加载默认部分的添加或改进。从本版本开始,默认部分始终反映最新配置。 [CXM-62681]
-
管理员在运行应用程序时无法再通过按 Shift 键访问某些选项。这些选项以前在 Citrix 权限下可用。某些选项现在已完全可用,例如“允许重定向”,而其他选项(例如“挂起检测”和“计数校正”)已弃用。 [CXM-62767]
10.1.8 版中的新增功能
10.1.8 版中修复了以下问题:
- Exchange 可能会限制 Citrix Endpoint Management 连接器 for Exchange ActiveSync 服务发出命令的频率。这在连接到 Office 365 时很常见。限制的影响要求服务在发送下一个命令之前暂停指定的时间。“配置”控制台现在显示暂停的剩余时间。 [CXM-48044]
- 当对配置文件 (config.xml) 的“Watchdog”或“SpecialistsDefaults”部分进行修改时,升级后,更改不会反映在配置文件中。在此版本中,修改已正确合并到新配置文件中。 [CXM-52523]
- 已向发送到 Google Analytics 的分析中添加了更多详细信息,特别是关于快照的详细信息。 [CXM-56691]
- Exchange 测试连接功能只会尝试初始化连接一次。由于 Office 365 连接可能会受到限制,因此在受到限制时,测试连接可能会显示失败。Citrix Endpoint Management 连接器 for Exchange ActiveSync 现在最多尝试发起三次连接。 [CXM-58180]
- 为了在 Exchange 上实施策略,Citrix Endpoint Management 连接器 for Exchange ActiveSync 必须编译一个 Set-CASMailbox 命令,该命令包含每个邮箱的所有相关设备,分为两个列表:允许和阻止。如果设备未包含在任一列表中,Exchange 将回退到其默认访问状态。如果该默认访问状态与设备的所需状态不同,则该设备将不合规。因此,如果 Exchange 默认访问状态被阻止而应允许,用户可能会失去对其电子邮件的访问权限。或者,应阻止其电子邮件访问的用户可能会被授予访问权限。Citrix Endpoint Management 连接器 for Exchange ActiveSync 现在确保每个 Set-CasMailbox 命令中都包含所有具有有效所需状态的设备。 [CXM-61251]
10.1.8 版中存在以下已知问题:
如果管理员在“配置”应用程序中进行更改以修改配置数据,而服务正在执行长时间操作(例如快照或策略评估),则服务可能会进入不确定状态。可能的症状可能是策略更改未处理,或者快照未启动。要使服务恢复到工作状态,必须重新启动服务。您可能需要使用 Windows 服务管理器在启动服务之前终止服务进程。 [CXM-61330]
10.1.7 版中的新增功能
- XenMobile Mail Manager 现在是 Endpoint Management 连接器 for Exchange ActiveSync。
- 我们已弃用 Exchange 配置对话框中的禁用管道选项。您可以通过在 config.xml 文件中为每个命令配置多个步骤来实现相同的功能。 [CXM-54593]
10.1.7 版中修复了以下问题:
- 在“快照历史记录”窗口中,错误消息可能显示上下文很少。现在,错误消息以其发生的上下文为前缀。 [CXM-49157]
- XmmGoogleAnalytics .dll 没有相应的发布文件版本。 [CXM-52518]
- 为了改进诊断,我们最近更改了用于设置邮箱“允许/阻止”状态的设备 ID 列表的字符串格式。但是,指定过多设备超出了最大字符串大小。现在,我们使用内部数组数据结构。此结构没有大小限制,并且还为诊断目的适当地格式化数据。 [CXM-52610]
- 当检测到与 Exchange 不同步的设备策略时,其命令可能包含不属于相关邮箱的设备。Endpoint Management 连接器 for Exchange ActiveSync 现在确保发送到 Exchange 的命令仅代表属于其各自邮箱的设备。 [CXM-54842]
- 在某些环境中,Microsoft 程序集不可用。所需的程序集现在随应用程序显式安装。 [CXM-55439]
- 如果设备或邮箱的专有名称在属性名称和等号之间以及/或在等号之后和值之前有空格,Endpoint Management 连接器 for Exchange ActiveSync 可能无法正确地将设备与其邮箱匹配,反之亦然。结果可能是某些设备和/或邮箱在快照协调期间被拒绝。 [CXM-56088]
注意:
以下部分将 Endpoint Management 连接器 for Exchange ActiveSync 称为其旧名称 XenMobile Mail Manager。名称自 10.1.7 版起更改。
10.1.6.20 版中的更新
10.1.6 的更新包含 10.1.6.20 版中的以下修复:
- 当检测到与 Exchange 不同步的设备策略时,其命令可能包含不属于相关邮箱的设备。XenMobile Mail Manager 现在确保发送到 Exchange 的命令仅代表属于其各自邮箱的设备。 [CXM-54842]
10.1.6 版中的新增功能
XenMobile Mail Manager 10.1.6 版包含以下已修复问题和增强功能:
- 快照历史记录窗口有时会进入不再更新的状态。窗口刷新机制已改进,可更可靠地更新。 [CXM-47983]
- 分区快照和非分区快照使用了两种单独的模式和代码路径。由于非分区快照等同于使用单个“*”分区的配置的分区快照,因此已取消非分区快照模式。默认快照模式现在是具有 36 个分区(0–9、A–Z)的分区快照。 [CXM-49093]
- 在“快照历史记录”窗口中,错误消息被状态消息覆盖。现在,XenMobile Mail Manager 提供了两个单独的字段,以便用户可以同时查看状态和错误。 [CXM-51942]
- 连接到 Exchange Online (Office 365) 时,快照相关查询可能会导致数据集被截断。当 XenMobile Mail Manager 运行多命令管道脚本时,可能会出现此问题。上游命令无法足够快地将数据传递给下游命令,下游命令会过早地完成工作。结果导致数据不完整。XenMobile Mail Manager 现在可以模拟管道本身,并等待上游命令完成后再调用下游命令。此更改应导致所有数据都得到处理和捕获。 [CXM-52280]
- 如果向 Exchange 发送的策略更新命令中发生不可解决的错误,相同的命令会长时间重复返回到工作队列。这种情况导致命令多次发送到 Exchange。在此版本的 XenMobile Mail Manager 中,导致错误的命令仅在工作队列中返回有限次数。 [CXM-52633]
- 如果特定邮箱的策略更新涉及允许或阻止所有设备:发出的 Set-CASMailbox 命令将失败,因为空列表被转换为一个空字符串而不是 NULL。现在发送正确的数据。 [CXM-53759]
- 处理新设备时,Exchange 可能会在一段时间内(通常为 15 分钟)将状态返回为“DeviceDiscovery”。XenMobile Mail Manager 未专门处理此状态。XenMobile Mail Manager 现在处理此状态。在 UI 的“监视”选项卡中,用户可以筛选处于此状态的设备。 [CXM-53840]
- XenMobile Mail Manager 未检查写入 XenMobile Mail Manager 数据库的能力。因此,如果权限受到限制,则无法预测行为。XenMobile Mail Manager 现在从数据库捕获并验证所需的权限。XenMobile Mail Manager 在测试连接(显示消息)或在主“配置”窗口底部的“数据库”指示器(悬停以显示消息)中指示权限降低。 [CXM-54219]
- 根据当前工作负载,当指示停止时,XenMobile Mail Manager 服务可能无法及时停止。因此,服务似乎处于无响应状态。改进允许中断正在进行的任务,从而实现更优雅的关机。 [CXM-54282]
10.1.5 版中的新增功能
XenMobile Mail Manager 10.1.5 版包含以下已修复问题:
- 当 Exchange 对 XenMobile Mail Manager 活动应用限制时,没有迹象(日志之外)表明正在进行限制。在此版本中,用户可以将鼠标悬停在活动快照上,并显示“限制”状态。此外,当 XenMobile Mail Manager 受到限制时,在 Exchange 解除限制禁令之前,禁止启动主要快照。 [CXM-49617]
- 如果在主要快照期间 XenMobile Mail Manager 受到 Exchange 的限制:在运行下一次快照尝试之前,可能没有足够的时间流逝。此问题导致进一步限制和快照失败。XenMobile Mail Manager 现在至少等待 Exchange 指定的快照尝试之间等待的时间。 [CXM-49618]
- 启用诊断时,命令文件显示 Set-CasMailbox 命令,这些命令在每个属性名称之前缺少连字符。此问题仅发生在诊断文件的格式中,而不是发送到 Exchange 的实际命令中。缺少的连字符会阻止用户剪切命令并直接将其粘贴到 PowerShell 提示符进行测试或验证。已添加连字符。 [CXM-52520]
- 如果邮箱标识采用“姓氏,名字”的形式,Exchange 在从查询返回数据时会在逗号前添加反斜杠。当 XenMobile Mail Manager 使用该标识查询更多数据时,必须去除此反斜杠。 [CXM-52635]
已知限制
注意:
版本 10.1.6 中已解决以下限制。
XenMobile Mail Manager 存在一个已知限制,可能导致发送到 Exchange 的命令失败。要将策略更改应用于 Exchange,XenMobile Mail Manager 会发出 Set_CASMailbox 命令。此命令可以接受两个设备列表:一个用于允许,一个用于阻止。该命令应用于与邮箱关联的设备。
这些列表的长度均受 Microsoft API 限制为 256 个字符。如果其中一个列表超出此限制,则整个命令将失败,从而阻止为该邮箱的这些设备设置所有策略。报告的错误将显示在 XenMobile Mail Manager 日志中,如下所示。此示例适用于阻止列表。
“Message:’Cannot bind parameter ‘ActiveSyncBlockedDeviceIDs’ to the target. Exception setting “ActiveSyncBlockedDeviceIDs”: “The length of the property is too long. The maximum length is 256 and the length of the value provided is …”
设备 ID 长度可能有所不同,但一个好的指导原则是,同时允许或阻止大约 10 个或更多设备可能会超出限制。尽管与特定邮箱关联的设备数量如此之多的情况很少见,但仍有可能发生。在 XenMobile Mail Manager 改进以处理此类情况之前,我们建议您将与用户和邮箱关联的设备数量限制为 10 个或更少。[CXM-52633]
版本 10.1.4 中的新增功能
XenMobile Mail Manager 版本 10.1.4 包含以下已修复的问题:
- 由于其安全性减弱,PCI Council 正在弃用 TLS 1.0。XenMobile Mail Manager 中增加了对 TLS 1.1 和 1.2 的支持。[CXM-38573, CXM-32560]
- XenMobile Mail Manager 包含一个新的诊断文件。在 Exchange 规范中选择启用诊断时,将生成一个新的“快照历史记录”文件。每次快照尝试时,都会向文件中添加一行,其中包含快照的结果。[CXM-49631]
- 在“命令诊断”文件中,Set-CASMailbox 命令的允许或阻止设备列表未显示。相反,文件中显示了相关参数的内部类名称。XenMobile Mail Manager 现在将设备 ID 列表显示为逗号分隔列表。[CXM-50693]
- 当由于规范错误而尝试获取与 Exchange 的连接失败时:错误消息被不正确的“所有连接都在使用中”消息覆盖。现在显示更具描述性的消息,例如“所有连接都无法操作”、“连接池为空”、“所有连接都受到限制”和“没有可用连接”。[CXM-50783]
- 有时,“允许/阻止/擦除”命令会在 XenMobile Mail Manager 内部缓存中多次排队。此问题会导致命令发送到 Exchange 的延迟。XenMobile Mail Manager 现在只对每个命令排队一个实例。[CXM-51524]
版本 10.1.3 中的新增功能
- Google Analytics 支持: 我们希望了解您如何使用 XenMobile Mail Manager,以便我们能够专注于改进产品的方向。
- 启用诊断的设置: “配置”控制台的配置对话框中显示一个启用诊断复选框。
版本 10.1.3 中已修复的问题
- 在快照历史记录窗口中,显示快照当前状态的工具提示未反映实际状态。[CXM-5570] 有时,XenMobile Mail Manager 无法写入“命令诊断”文件。发生这种情况时,命令历史记录不会完全记录。[CXM-49217]
- 当连接发生错误时,连接可能不会被标记为“出错”。因此,后续命令可能会尝试使用该连接并导致另一个错误。[CXM-49495]
- 当 Exchange Server 发生限制时,Check Health 例程中可能会抛出异常。因此,已发生错误或已过期的连接可能不会被清除。此外,XenMobile Mail Manager 可能不会创建连接,直到限制时间到期。[CXM-49794]
- 当超出 Exchange 的最大会话计数时,XenMobile Mail Manager 会报告错误“设备捕获失败”,这不是准确的消息。相反,消息应指示 XenMobile Mail Manager 通常用于 Exchange 通信的两个会话正在使用中。[CXM-49994]
版本 10.1.2 中的新增功能
- 改进了与 Exchange 的连接:XenMobile Mail Manager 使用 PowerShell 会话与 Exchange 进行通信。PowerShell 会话,尤其是在处理 Office 365 时,一段时间后可能会变得不稳定,从而阻止后续命令成功。XenMobile Mail Manager 现在可以为连接设置过期时间。当连接达到其过期时间时,XenMobile Mail Manager 会正常关闭 PowerShell 会话并创建一个新会话。通过这样做,PowerShell 会话变得不稳定的可能性较小,从而显著降低了快照失败的可能性。
- 改进了快照工作流:主要快照是一项耗时且占用大量资源的操作。如果在快照期间发生错误,XenMobile Mail Manager 现在会尝试多次(最多三次)完成快照。后续尝试不会从头开始。XenMobile Mail Manager 会从上次中断的地方继续。此增强功能通过允许瞬时错误在快照仍在进行时通过,从而提高了快照的整体成功率。
- 改进了诊断:现在,通过在快照期间可选生成三个新的诊断文件,故障排除快照操作变得更加容易。这些文件有助于识别 PowerShell 命令问题、缺少信息的邮箱以及无法与邮箱关联的设备。管理员可以使用这些文件来识别 Exchange 中可能不正确的数据。
- 改进了内存使用:XenMobile Mail Manager 现在更有效地利用内存。管理员可以安排 XenMobile Mail Manager 自动重启,为系统提供一个干净的起点。
- Microsoft .NET Framework 4.6 先决条件:Microsoft .NET Framework 的先决条件现在是版本 4.6。
已修复的问题
- 凭据错误提示:Office 365 会话不稳定通常会导致此错误。“改进了与 Exchange 的连接”增强功能解决了此问题。(XMHELP-293, XMHELP-311, XMHELP-801)
- 邮箱和设备计数不准确:XenMobile Mail Manager 具有改进的邮箱到设备关联算法。“改进的诊断”功能有助于识别 XenMobile Mail Manager 认为不在其职责范围内的邮箱和设备。(XMHELP-623)
- “允许/阻止/擦除”命令未被识别:修复了一个错误,即有时 XenMobile Mail Manager 的“允许/阻止/擦除”命令未被识别。(XMHELP-489)
- 内存管理:更好的内存管理和缓解。(XMHELP-419)
体系结构
下图显示了 Endpoint Management connector for Exchange ActiveSync 的主要组件。有关详细的参考体系结构图,请参阅体系结构。
三个主要组件是:
- Exchange ActiveSync 访问控制管理: 与 XenMobile 通信以从 XenMobile 检索 Exchange ActiveSync 策略,并将此策略与任何本地定义的策略合并,以确定应允许或拒绝访问 Exchange 的 Exchange ActiveSync 设备。本地策略允许扩展策略规则,以通过 Active Directory 组、用户、设备类型或设备用户代理(通常是移动平台版本)进行访问控制。
- 远程 PowerShell 管理: 负责调度和调用远程 PowerShell 命令,以执行由 Exchange ActiveSync 访问控制管理编译的策略。定期对 Exchange ActiveSync 数据库进行快照,以检测新的或更改的 Exchange ActiveSync 设备。
- 移动服务提供商: 提供 Web 服务接口,以便 XenMobile 可以查询 Exchange ActiveSync、查询 Blackberry 设备,并对 ActiveSync 和 Blackberry 设备发出擦除等控制操作。
系统要求和先决条件
使用 Endpoint Management connector for Exchange ActiveSync 需要满足以下最低系统要求:
- Windows Server 2016、Windows Server 2012 R2 或 Windows Server 2008 R2 Service Pack 1。必须是基于英语的服务器。对 Windows Server 2008 R2 Service Pack 1 的支持将于 2020 年 1 月 14 日结束,对 Windows Server 2012 R2 的支持将于 2023 年 10 月 10 日结束。
- Microsoft SQL Server 2016 Service Pack 2 或 SQL Server 2014 Service Pack 3。
- Microsoft .NET Framework 4.6。
- Blackberry Enterprise Service,版本 5(可选)。
支持的 Microsoft Exchange Server 最低版本:
- Microsoft Office 365
- Exchange Server 2016
- Exchange Server 2013(支持将于 2023 年 4 月 11 日结束)
- Exchange Server 2010 Service Pack 3(支持将于 2020 年 1 月 14 日结束)
先决条件
- 必须安装 Windows Management Framework。
- PowerShell V5、V4 和 V3
- 必须通过 Set-ExecutionPolicy RemoteSigned 将 PowerShell 执行策略设置为 RemoteSigned。
-
运行 Endpoint Management connector for Exchange ActiveSync 的计算机与远程 Exchange Server 之间必须打开 TCP 端口 80。
-
设备电子邮件客户端:并非所有电子邮件客户端都始终为设备返回相同的 ActiveSync ID。由于 Endpoint Management connector for Exchange ActiveSync 需要每个设备的唯一 ActiveSync ID,因此仅支持始终为每个设备生成相同唯一 ActiveSync ID 的电子邮件客户端。Citrix 已测试这些电子邮件客户端,且未发现错误:
- Samsung 原生电子邮件客户端
- iOS 原生电子邮件客户端
-
Exchange:运行 Exchange 的本地计算机的要求如下:
Exchange 配置 UI 中指定的凭据必须能够连接到 Exchange Server,并被授予完全访问权限以运行以下 Exchange 特定 PowerShell cmdlet。
-
对于 Exchange Server 2010 SP2:
- Get-CASMailbox
- Set-CASMailbox
- Get-Mailbox
- Get-ActiveSyncDevice
- Get-ActiveSyncDeviceStatistics
- Clear-ActiveSyncDevice
- Get-ExchangeServer
- Get-ManagementRole
- Get-ManagementRoleAssignment
-
对于 Exchange Server 2013 和 Exchange Server 2016:
- Get-CASMailbox
- Set-CASMailbox
- Get-Mailbox
- Get-MobileDevice
- Get-MobileDeviceStatistics
- Clear-MobileDevice
- Get-ExchangeServer
- Get-ManagementRole
- Get-ManagementRoleAssignment
- 如果 Endpoint Management connector for Exchange ActiveSync 配置为查看整个林,则必须已授予运行以下命令的权限:Set-AdServerSettings -ViewEntireForest $true
- 提供的凭据必须已获得通过远程 Shell 连接到 Exchange Server 的权限。默认情况下,安装 Exchange 的用户拥有此权限。
- 要建立远程连接并运行远程命令,凭据必须对应于远程计算机上的管理员用户。您可以使用 Set-PSSessionConfiguration 消除管理要求,但该命令的讨论超出了本文档的范围。有关详细信息,请参阅 Microsoft 文章关于会话配置。
- Exchange Server 必须配置为通过 HTTP 支持远程 PowerShell 请求。通常,在 Exchange Server 上运行以下 PowerShell 命令即可:WinRM QuickConfig。
- Exchange 有许多限制策略。其中一个策略控制每个用户允许的并发 PowerShell 连接数。Exchange 2010 上每个用户允许的默认并发连接数为 18。当达到连接限制时,Endpoint Management connector for Exchange ActiveSync 无法连接到 Exchange Server。有多种方法可以通过 PowerShell 更改最大允许并发连接数,这超出了本文档的范围。如果感兴趣,请调查与 PowerShell 远程管理相关的 Exchange 限制策略。
-
对于 Exchange Server 2010 SP2:
Office 365 Exchange 的要求
-
权限: Exchange 配置 UI 中指定的凭据必须能够连接到 Office 365,并被授予完全访问权限以运行以下 Exchange 特定 PowerShell cmdlet:
- Get-CASMailbox
- Set-CASMailbox
- Get-Mailbox
- Get-MobileDevice
- Get-MobileDeviceStatistics
- Clear-MobileDevice
- Get-ExchangeServer
- Get-ManagementRole
- Get-ManagementRoleAssignment
- 特权: 提供的凭据必须已获得通过远程 Shell 连接到 Office 365 服务器的权限。默认情况下,Office 365 在线管理员拥有所需的特权。
- 限制策略: Exchange 有许多限制策略。其中一个策略控制每个用户允许的并发 PowerShell 连接数。Office 365 上每个用户允许的默认并发连接数为 3。当达到连接限制时,Endpoint Management connector for Exchange ActiveSync 无法连接到 Exchange Server。有多种方法可以通过 PowerShell 更改最大允许并发连接数,这超出了本文档的范围。如果感兴趣,请调查与 PowerShell 远程管理相关的 Exchange 限制策略。
安装和配置
-
单击 XmmSetup.msi 文件,然后按照安装程序中的提示安装 Endpoint Management connector for Exchange ActiveSync。
-
在安装向导的最后一个屏幕中,保持选中启动配置实用程序。或者,从开始菜单中,打开 Endpoint Management connector for Exchange ActiveSync。
-
配置以下数据库属性:
- 选择配置 > 数据库选项卡。
- 输入 SQL Server 的名称(默认为 localhost)。
- 将数据库保留为默认值 CitrixXmm。
-
选择以下用于 SQL 的身份验证模式之一:
- SQL: 输入有效 SQL 用户的用户名和密码。
- Windows 集成: 如果选择此选项,则必须将 Endpoint Management connector for Exchange ActiveSync 服务的登录凭据更改为具有访问 SQL Server 权限的 Windows 帐户。为此,请打开控制面板 > 管理工具 > 服务,右键单击 Endpoint Management connector for Exchange ActiveSync 服务条目,然后单击登录选项卡。
如果 BlackBerry 数据库连接也选择了 Windows 集成,则此处指定的 Windows 帐户也必须被授予访问 BlackBerry 数据库的权限。
-
单击测试连接以检查是否可以连接到 SQL Server,然后单击保存。
-
一条消息提示您重新启动服务。单击是。
-
配置一个或多个 Exchange Server:
- 如果管理单个 Exchange 环境,则仅指定单个服务器。如果管理多个 Exchange 环境,则为每个 Exchange 环境指定一个 Exchange Server。
- 单击配置 > Exchange选项卡,然后单击添加。
-
选择 Exchange Server 环境的类型:本地部署或 Office 365。
- 如果选择本地部署,请输入用于远程 PowerShell 命令的 Exchange Server 名称。
- 输入在“要求”部分中指定的在 Exchange Server 上具有相应权限的 Windows 身份的用户名,然后输入该用户的密码。
- 选择运行主要快照的计划。主要快照会检测每个 Exchange ActiveSync 伙伴关系。
- 选择运行次要快照的计划。次要快照会检测新创建的 Exchange ActiveSync 伙伴关系。
- 选择快照类型:深度或浅度。浅度快照通常快得多,足以执行 Endpoint Management connector for Exchange ActiveSync 的所有 Exchange ActiveSync 访问控制功能。深度快照可能需要更长时间,并且仅在为 ActiveSync 启用了移动服务提供商时才需要。此选项允许 XenMobile 查询未受管设备。
- 选择默认访问:允许、阻止或未更改。此设置控制除由显式 XenMobile 或本地规则标识的设备之外的所有设备的处理方式。如果选择允许,则允许所有此类设备访问 ActiveSync。如果选择阻止,则拒绝访问。如果选择未更改,则不进行任何更改。
- 选择 ActiveSync 命令模式:PowerShell或模拟。
- 在 PowerShell 模式下,Endpoint Management connector for Exchange ActiveSync 会发出 PowerShell 命令以执行所需的访问控制。在模拟模式下,Endpoint Management connector for Exchange ActiveSync 不会发出 PowerShell 命令,但会将预期的命令和预期结果记录到数据库中。在模拟模式下,用户可以使用监视选项卡查看如果启用了 PowerShell 模式会发生什么。
- 在连接过期中,设置连接的生存期(小时和分钟)。当连接达到指定时间时,该连接将被标记为已过期,以便该连接永远不会再次使用。当不再使用过期连接时,Endpoint Management connector for Exchange ActiveSync 会正常关闭连接。当再次需要连接时,如果没有可用连接,则会初始化新连接。如果未指定,则使用默认值 30 分钟。
- 选择查看整个林以配置 Endpoint Management connector for Exchange ActiveSync 以查看 Exchange 环境中的整个 Active Directory 林。
- 选择身份验证协议:Kerberos或基本。Endpoint Management connector for Exchange ActiveSync 支持本地部署的基本身份验证。这使得当 Endpoint Management connector for Exchange ActiveSync 服务器不是 Exchange 服务器所在域的成员时,可以使用 Endpoint Management connector for Exchange ActiveSync。
- 单击测试连接以检查是否可以连接到 Exchange Server,然后单击保存。
- 一条消息提示您重新启动服务。单击是。
-
配置访问规则:选择配置 > 访问规则选项卡,单击XMS 规则选项卡,然后单击添加。
-
在 XenMobile Server 服务属性页面上,修改 URL 字符串以指向 XenMobile Server。例如,如果实例名称为 zdm,请输入
https://<XdmHostName>/zdm/services/MagConfigService。在此示例中,将 XdmHostName 替换为 XenMobile Server 的 IP 或 DNS 地址。
- 输入服务器的授权用户。
- 输入用户的密码。
- 保持基线间隔、增量间隔和超时值的默认值。
- 单击测试连接以检查与服务器的连接,然后单击确定。
如果选中了已禁用复选框,则 XenMobile Mail Service 不会从 XenMobile 收集策略。
-
单击本地规则选项卡。
- 您可以根据 ActiveSync 设备 ID、设备类型、AD 组、用户或设备 UserAgent 添加本地规则。在列表中,选择相应的类型。
- 在文本框中输入文本或文本片段。或者,单击查询按钮以查看与该片段匹配的实体。
对于除组之外的所有类型,系统都依赖于在快照中找到的设备。因此,如果您刚开始并且尚未完成快照,则没有可用的实体。
- 选择一个文本值,然后单击允许或拒绝以将其添加到右侧的规则列表窗格中。您可以使用规则列表窗格右侧的按钮更改规则的顺序或将其删除。顺序很重要,因为对于给定用户和设备,规则会按所示顺序进行评估,并且对较高规则(靠近顶部)的匹配会导致后续规则无效。例如,如果您有一条允许所有 iPad 设备的规则和一条后续阻止用户 Matt 的规则,则 Matt 的 iPad 仍将被允许,因为 iPad 规则具有比 Matt 规则更高的有效优先级。
- 要对规则列表中的规则执行分析以查找任何潜在的覆盖、冲突或补充构造,请单击分析,然后单击保存。
-
如果要构建对 Active Directory 组进行操作的本地规则,请单击配置 LDAP,然后配置 LDAP 连接属性。
-
配置移动服务提供商。
移动服务提供商是可选的。仅当 XenMobile 也配置为使用移动服务提供商接口查询未受管设备时,此设置才必要。
- 单击配置 > MSP选项卡。
- 将移动服务提供商服务的服务传输类型设置为 HTTP 或 HTTPS。
- 设置移动服务提供商服务的服务端口(通常为 80 或 443)。如果使用端口 443,则该端口需要绑定到 IIS 中的 SSL 证书。
- 设置授权组或用户。这会设置能够从 XenMobile 连接到移动服务提供商服务的用户或用户集。
- 设置是否启用 ActiveSync 查询。如果为 XenMobile Server 启用了 ActiveSync 查询,则一个或多个 Exchange Server 的快照类型必须设置为深度。此设置可能会导致拍摄快照的性能成本显著增加。
- 默认情况下,与正则表达式 WorxMail.* 匹配的 ActiveSync 设备不会发送到 XenMobile。要更改此行为,请根据需要修改筛选 ActiveSync 字段。 空白表示所有设备都转发到 XenMobile。
- 单击保存。
-
(可选)配置一个或多个 BlackBerry Enterprise Server (BES) 实例:单击添加,然后输入 BES SQL Server 的服务器名称
- 输入 BES 管理数据库的数据库名称。
- 选择身份验证模式。如果选择 Windows 集成身份验证,则 Endpoint Management connector for Exchange ActiveSync 服务的用户帐户是用于连接到 BES SQL Server 的帐户。如果 Endpoint Management connector for Exchange ActiveSync 数据库连接也选择了 Windows 集成,则此处指定的 Windows 帐户也必须被授予访问 Endpoint Management connector for Exchange ActiveSync 数据库的权限。
- 如果选择 SQL 身份验证,请输入用户名和密码。
- 设置同步计划。这是用于连接到 BES SQL Server 并检查任何设备更新的计划。
- 单击测试连接以检查与 SQL Server 的连接。如果选择 Windows 集成,此测试将使用当前登录用户而不是 Endpoint Management connector for Exchange ActiveSync 服务用户,因此无法准确测试 SQL 身份验证。
- 要支持从 XenMobile 远程擦除和重置 BlackBerry 设备的密码,请选中已启用复选框。
- 输入 BES 完全限定域名 (FQDN)。
- 输入用于管理 Web 服务的 BES 端口。
- 输入 BES 服务所需的完全限定用户和密码。
- 单击测试连接以测试与 BES 的连接。
- 单击保存。
使用 ActiveSync ID 强制执行电子邮件策略
您的企业电子邮件策略可能规定某些设备未获批准用于企业电子邮件。为了遵循此策略,您需要确保员工无法从此类设备访问企业电子邮件。Endpoint Management connector for Exchange ActiveSync 和 XenMobile 协同工作以强制执行此类电子邮件策略。XenMobile 设置企业电子邮件访问策略,当未批准的设备注册到 XenMobile 时,Endpoint Management connector for Exchange ActiveSync 会强制执行该策略。
设备上的电子邮件客户端使用设备 ID(也称为 ActiveSync ID)向 Exchange Server(或 Office 365)通告自身,该 ID 用于标识设备。Secure Hub 获取类似的标识符,并在设备注册时将该标识符发送到 XenMobile。通过比较这两个设备 ID,Endpoint Management connector for Exchange ActiveSync 可以确定特定设备是否应具有企业电子邮件访问权限。下图说明了此概念:
如果 XenMobile 向 Endpoint Management connector for Exchange ActiveSync 发送的 ActiveSync ID 与设备发布到 Exchange 的 ID 不同,则 Endpoint Management connector for Exchange ActiveSync 无法向 Exchange 指示如何处理该设备。
在大多数平台上,匹配 ActiveSync ID 的工作都非常可靠。但是,Citrix 发现,在某些 Android 实现中,来自设备的 ActiveSync ID 与邮件客户端向 Exchange 发布的 ID 不同。为缓解此问题,您可以执行以下操作:
- 在 Samsung SAFE 平台上,从 XenMobile 推送设备 ActiveSync 配置。
为确保正确实施您的企业电子邮件访问策略,您可以采取防御性安全态势,并将 Endpoint Management connector for Exchange ActiveSync 配置为通过将静态策略默认设置为“拒绝”来阻止电子邮件。这意味着,如果员工在 Android 设备上配置了电子邮件客户端,并且 ActiveSync ID 检测无法正常工作,则该员工将被拒绝企业电子邮件访问。
访问控制规则
Endpoint Management connector for Exchange ActiveSync 提供了一种基于规则的方法,用于动态配置 Exchange ActiveSync 设备的访问控制。Endpoint Management connector for Exchange ActiveSync 访问控制规则由两部分组成:匹配表达式和所需的访问状态(允许或阻止)。可以根据给定的 Exchange ActiveSync 设备评估规则,以确定该规则是否适用于或匹配该设备。匹配表达式有多种类型;例如,规则可以匹配给定设备类型的所有设备、特定的 Exchange ActiveSync 设备 ID 或特定用户的所有设备等。
在规则列表中添加、删除和重新排列规则的任何时候,单击“取消”按钮都会将规则列表恢复到首次打开时的状态。除非单击“保存”,否则如果关闭“配置”工具,对此窗口所做的任何更改都将丢失。
Endpoint Management connector for Exchange ActiveSync 具有三种类型的规则:本地规则、XenMobile Server 规则(也称为 XDM 规则)和默认访问规则。
本地规则: 本地规则具有最高优先级:如果设备与本地规则匹配,则规则评估将停止。XenMobile Server 规则和默认访问规则都不会被查询。本地规则通过“配置 > 访问规则 > 本地规则”选项卡在 Endpoint Management connector for Exchange ActiveSync 本地进行配置。支持匹配基于用户在给定 Active Directory 组中的成员身份。支持匹配基于以下字段的正则表达式:
- Active Sync 设备 ID
- ActiveSync 设备类型
- 用户主体名称 (UPN)
- ActiveSync 用户代理(通常是设备平台或电子邮件客户端)
只要主要快照已完成并找到设备,您就应该能够添加普通规则或正则表达式规则。如果主要快照尚未完成,则只能添加正则表达式规则。
XenMobile 服务器规则: XenMobile 服务器规则是对外部 XenMobile Server 的引用,该服务器提供有关托管设备的规则。XenMobile Server 可以配置其自身的高级规则,这些规则根据 XenMobile 已知的属性(例如设备是否已越狱或设备是否包含禁用应用程序)来识别要允许或阻止的设备。XenMobile 评估高级规则并生成一组允许或阻止的 ActiveSync 设备 ID,然后将其传递给 Endpoint Management connector for Exchange ActiveSync。
默认访问规则: 默认访问规则的独特之处在于它可能匹配所有设备,并且始终最后进行评估。此规则是包罗万象的规则,这意味着如果给定设备不匹配本地规则或 XenMobile Server 规则,则设备的所需访问状态由默认访问规则的所需访问状态确定。
- 默认访问 - 允许: 任何不匹配本地规则或 XenMobile Server 规则的设备都将被允许。
- 默认访问 - 阻止: 任何不匹配本地规则或 XenMobile Server 规则的设备都将被阻止。
- 默认访问 - 未更改: 任何不匹配本地规则或 XenMobile Server 规则的设备都不会通过 Endpoint Management connector for Exchange ActiveSync 以任何方式修改其访问状态。如果设备已被 Exchange 置于隔离模式,则不采取任何操作。例如,将设备从隔离模式中删除的唯一方法是使用显式本地规则或 XDM 规则覆盖隔离。
关于规则评估
对于 Exchange 向 Endpoint Management connector for Exchange ActiveSync 报告的每个设备,规则将按从高到低的优先级顺序进行评估,如下所示:
- 本地规则
- XenMobile Server 规则
- 默认访问规则
找到匹配项后,评估将停止。例如,如果本地规则匹配给定设备,则不会根据任何 XenMobile Server 规则或默认访问规则评估该设备。这在给定规则类型中也适用。例如,如果本地规则列表中给定设备存在多个匹配项,则在遇到第一个匹配项时,评估将停止。
当设备属性更改、设备添加或删除或规则本身更改时,Endpoint Management connector for Exchange ActiveSync 会重新评估当前定义的规则集。主要快照以可配置的间隔获取设备属性更改和删除。次要快照以可配置的间隔获取新设备。
Exchange ActiveSync 也有管理访问的规则。了解这些规则在 Endpoint Management connector for Exchange ActiveSync 环境中如何工作非常重要。Exchange 可以配置三级规则:个人豁免、设备规则和组织设置。Endpoint Management connector for Exchange ActiveSync 通过以编程方式发出 Remote PowerShell 请求来影响个人豁免列表,从而实现访问控制自动化。这些列表是与给定邮箱关联的允许或阻止的 Exchange ActiveSync 设备 ID 列表。部署后,Endpoint Management connector for Exchange ActiveSync 有效地接管了 Exchange 中豁免列表功能的管理。有关详细信息,请参阅 Microsoft 文章:控制设备访问。
在为同一字段定义了多个规则的情况下,分析非常有用。可以排查规则之间的关系。执行分析时,从规则字段的角度进行。例如,规则根据正在匹配的字段进行分组分析,例如 ActiveSync 设备 ID、ActiveSync 设备类型、用户、用户代理。
规则术语
- 覆盖规则: 当多个规则可以应用于同一设备时,会发生覆盖。由于规则是按列表中的优先级进行评估的,因此可能适用的后续规则实例可能永远不会被评估。
- 冲突规则: 当多个规则可能应用于同一设备但访问(允许/阻止)不匹配时,会发生冲突。如果冲突规则不是正则表达式规则,则冲突总是隐式地表示覆盖。
- 补充规则: 当多个规则是正则表达式规则时,会发生补充,因此可能需要确保两个(或更多)正则表达式可以合并为一个正则表达式规则,或者没有重复功能。补充规则也可能在其访问(允许/阻止)方面发生冲突。
- 主规则: 主规则是对话框中已单击的规则。该规则通过围绕它的实心边框线进行视觉指示。该规则还将有一个或两个向上或向下的绿色箭头。如果箭头向上,则表示主规则之前存在辅助规则。如果箭头向下,则表示主规则之后存在辅助规则。任何时候只能有一个主规则处于活动状态。
- 辅助规则: 辅助规则通过覆盖、冲突或补充关系以某种方式与主规则相关。这些规则通过围绕它们的虚线边框进行视觉指示。对于每个主规则,可以有一个到多个辅助规则。单击任何带下划线的条目时,突出显示的辅助规则始终是从主规则的角度来看的。例如,辅助规则被主规则覆盖,和/或辅助规则的访问将与主规则冲突,和/或辅助规则将补充主规则。
规则类型在“规则分析”对话框中的显示方式
当没有冲突、覆盖或补充时,“规则分析”对话框中没有带下划线的条目。单击任何项目都没有影响;例如,会显示正常的选定项目视觉效果。
“规则分析”窗口有一个复选框,选中该复选框后,仅显示冲突、覆盖、冗余或补充的规则。
发生覆盖时,至少有两个规则将带下划线:主规则和辅助规则。至少一个辅助规则以较浅的字体显示,以指示该规则已被更高优先级的规则覆盖。可以单击被覆盖的规则,以找出哪些规则覆盖了该规则。每当被覆盖的规则被突出显示(无论是作为主规则还是辅助规则)时,其旁边都会出现一个黑圈,作为进一步的视觉指示,表明该规则处于非活动状态。例如,在单击规则之前,对话框显示如下:
单击最高优先级规则时,对话框显示如下:
在此示例中,正则表达式规则 WorkMail.* 是主规则(由实心边框指示),普通规则 workmailc633313818 是辅助规则(由虚线边框指示)。辅助规则旁边的黑点是一个视觉提示,进一步指示该规则由于其前面的更高优先级正则表达式规则而处于非活动状态(永远不会被评估)。单击被覆盖的规则后,对话框显示如下:
在前面的示例中,正则表达式规则 WorkMail.* 是辅助规则(由虚线边框指示),普通规则 workmailc633313818 是主规则(由实心边框指示)。对于这个简单的示例,差异不大。有关更复杂的示例,请参阅本主题后面部分的复杂表达式示例。在定义了许多规则的场景中,单击被覆盖的规则将快速识别哪些规则覆盖了它。
发生冲突时,至少有两个规则将带下划线:主规则和辅助规则。冲突的规则由红点指示。仅相互冲突的规则只有在定义了两个或更多正则表达式规则时才可能出现。在所有其他冲突场景中,不仅会发生冲突,还会发生覆盖。在简单示例中单击任一规则之前,对话框显示如下:
通过检查这两个正则表达式规则,很明显第一个规则允许所有设备 ID 包含“App”的设备,第二个规则拒绝所有设备 ID 包含“Appl”的设备。此外,尽管第二个规则拒绝所有设备 ID 包含“Appl”的设备,但由于允许规则的更高优先级,任何符合该条件的设备都不会被拒绝。单击第一个规则后,对话框显示如下:
在前面的场景中,主规则(正则表达式规则 App.*)和辅助规则(正则表达式规则 Appl.*)都以黄色突出显示。这只是一个视觉警告,提醒您已将多个正则表达式规则应用于单个可匹配字段,这可能意味着冗余问题或更严重的问题。
在同时存在冲突和覆盖的场景中,主要规则(正则表达式规则 App.*)和辅助规则(正则表达式规则 Appl.*)都以黄色突出显示。这仅仅是一个视觉警告,旨在提醒您已将多个正则表达式规则应用于单个可匹配字段,这可能意味着存在冗余问题或更严重的问题。
从上述示例中很容易看出,第一个规则(正则表达式规则 SAMSUNG.*)不仅覆盖了下一个规则(普通规则 SAMSUNG-SM-G900A/101.40402),而且这两个规则的访问权限也不同(主要规则指定“允许”,辅助规则指定“阻止”)。第二个规则(普通规则 SAMSUNG-SM-G900A/101.40402)以较浅的文本显示,表示它已被覆盖,因此处于非活动状态。
单击正则表达式规则后,对话框显示如下:
主要规则(正则表达式规则 SAMSUNG.*)后跟一个红点,表示其访问状态与一个或多个辅助规则冲突。辅助规则(普通规则 SAMSUNG-SM-G900A/101.40402)后跟一个红点,表示其访问状态与主要规则冲突。该规则后还跟一个黑点,表示它已被覆盖,因此处于非活动状态。
至少有两个规则将带下划线,即主要规则和辅助规则。仅相互补充的规则将只涉及正则表达式规则。当规则相互补充时,它们会以黄色叠加层指示。在单击任一规则之前,在一个简单示例中,对话框显示如下:
目视检查很容易发现,这两个规则都是正则表达式规则,并且都已应用于 Endpoint Management 连接器 for Exchange ActiveSync 中的 ActiveSync 设备 ID 字段。单击第一个规则后,对话框显示如下:
主要规则(正则表达式规则 WorkMail.*)以黄色叠加层突出显示,表示存在至少一个也是正则表达式的辅助规则。辅助规则(正则表达式规则 SAMSUNG.*)以黄色叠加层突出显示,表示它和主要规则都是应用于 Endpoint Management 连接器 for Exchange ActiveSync 中同一字段的正则表达式规则。在本例中,该字段是 ActiveSync 设备 ID。这些正则表达式可能重叠,也可能不重叠。您需要自行决定您的正则表达式是否已正确编写。
复杂表达式示例
可能会出现许多潜在的覆盖、冲突或补充,使得无法给出所有可能场景的示例。以下示例讨论了不应执行的操作,同时还说明了规则分析视觉构造的全部功能。以下图中的大多数项目都带下划线。许多项目以较浅的字体呈现,这表示相关规则已以某种方式被更高优先级的规则覆盖。列表中还包含各种正则表达式规则,如 
图标所示。
如何分析覆盖
要查看哪些规则覆盖了特定规则,您可以单击该规则。
示例 1: 本示例探讨了 zentrain01@zenprise.com 被覆盖的原因。
主要规则(AD 组规则 zenprise/TRAINING/ZenTraining B,zentrain01@zenprise.com 是其成员)具有以下特征:
- 以蓝色突出显示并具有实心边框。
- 具有一个向上指向的绿色箭头(表示辅助规则都位于其上方)。
- 后跟一个红圈和一个黑圈,分别表示一个或多个辅助规则与其访问权限冲突,并且主要规则已被覆盖,因此处于非活动状态。
当您向上滚动时,您会看到以下内容:
在本例中,有两个辅助规则覆盖了主要规则:正则表达式规则 zen.* 和普通规则 zentrain01@zenprise.com(属于 zenprise/TRAINING/ZenTraining A)。对于后一个辅助规则,发生的情况是 Active Directory 组规则 ZenTraining A 包含用户 zentrain01@zenprise.com,并且 Active Directory 组规则 ZenTraining B 也包含用户 zentrain01@zenprise.com。然而,由于辅助规则的优先级高于主要规则,因此主要规则已被覆盖。主要规则的访问权限是“允许”,并且由于两个辅助规则的访问权限都是“阻止”,所有规则都后跟一个红圈,以进一步指示访问冲突。
示例 2: 本示例说明了 ActiveSync 设备 ID 为 069026593E0C4AEAB8DE7DD589ACED33 的设备被覆盖的原因:
主要规则(普通设备 ID 规则 069026593E0C4AEAB8DE7DD589ACED33)具有以下特征:
- 以蓝色突出显示并具有实心边框。
- 具有一个向上指向的绿色箭头(表示辅助规则位于其上方)。
- 后跟一个黑圈,表示辅助规则已覆盖主要规则,因此处于非活动状态。
在本例中,单个辅助规则覆盖了主要规则:正则表达式 ActiveSync 设备 ID 规则是 3E.*。由于正则表达式 3E.* 将匹配 069026593E0C4AEAB8DE7DD589ACED33,因此主要规则将永远不会被评估。
如何分析补充和冲突
在本例中,主要规则是正则表达式 ActiveSync 设备类型规则 touch.*。其特征如下:
- 以带有黄色叠加层的实心边框指示,作为警告,表示有多个正则表达式规则作用于特定规则字段,在本例中为 ActiveSync 设备类型。
- 两个箭头分别向上和向下指向,表示至少有一个优先级较高的辅助规则和至少一个优先级较低的辅助规则。
- 其旁边的红圈表示至少有一个辅助规则的访问权限设置为“允许”,这与主要规则的“阻止”访问权限冲突。
- 有两个辅助规则:正则表达式 ActiveSync 设备类型规则
SAM.*和正则表达式 ActiveSync 设备类型规则Andro.*。 - 两个辅助规则都以虚线边框,表示它们是辅助规则。
- 两个辅助规则都以黄色叠加层,表示它们也应用于 ActiveSync 设备类型的规则字段。
-
在此类场景中,您应确保其正则表达式规则不冗余。
如何进一步分析规则
本示例探讨了规则关系始终从主要规则的角度出发。上述示例展示了单击应用于设备类型规则字段(值为 touch.*)的正则表达式规则。单击辅助规则 Andro.* 会显示突出显示了不同的辅助规则集。
该示例显示了一个包含在规则关系中的被覆盖规则。此规则是普通 ActiveSync 设备类型规则 Android,该规则已被覆盖(由较浅的字体和其旁边的黑圈指示),并且其访问权限与主要规则正则表达式 ActiveSync 设备类型规则 Andro.* 冲突。该规则在被单击之前曾是辅助规则。在上述示例中,普通 ActiveSync 设备类型规则 Android 未显示为辅助规则,因为从当时的主要规则(正则表达式 ActiveSync 设备类型规则 touch.*)的角度来看,它与该规则无关。
配置普通表达式本地规则
- 单击“访问规则”选项卡。
-
在 Device ID 列表中,选择要为其创建本地规则的字段。
-
单击放大镜图标以显示所选字段的所有唯一匹配项。在此示例中,已选择 Device Type 字段,其选项显示在下面的列表框中。
-
单击结果列表框中的某个项目,然后单击以下选项之一:
- Allow 表示 Exchange 将配置为允许所有匹配设备的 ActiveSync 流量。
- Deny 表示 Exchange 将配置为拒绝所有匹配设备的 ActiveSync 流量。
在此示例中,设备类型为 SamsungSPhl720 的所有设备都将被拒绝访问。
添加正则表达式
正则表达式本地规则可通过其旁边显示的图标进行区分 - 。
要添加正则表达式规则,您可以从给定字段的结果列表中的现有值构建正则表达式规则(只要主要快照已完成),或者您可以直接键入所需的正则表达式。
从现有字段值构建正则表达式
-
单击 Access Rules 选项卡。
-
在 Device ID 列表中,选择要为其创建正则表达式本地规则的字段。
-
单击放大镜图标以显示所选字段的所有唯一匹配项。在此示例中,已选择 Device Type 字段,其选项显示在下面的列表框中。
-
单击结果列表中的某个项目。在此示例中,已选择 SAMSUNGSPHL720,并显示在 Device Type 旁边的文本框中。
-
要允许设备类型值中包含“Samsung”的所有设备类型,请按照以下步骤添加正则表达式规则:
-
单击所选项目文本框内。
-
将文本从 SAMSUNGSPHL720 更改为 SAMSUNG.*。
-
确保选中正则表达式复选框。
-
单击 Allow。
-
构建访问规则
- 单击 Local Rules 选项卡。
-
要输入正则表达式,您必须同时使用 Device ID 列表和所选项目文本框。
- 选择要匹配的字段。此示例使用 Device Type。
- 键入正则表达式。此示例使用
samsung.* -
确保选中正则表达式复选框,然后单击 Allow 或 Deny。在此示例中,选择是 Allow。最终结果如下:
查找设备
通过选中正则表达式复选框,您可以运行搜索以查找与给定表达式匹配的特定设备。仅当主要快照已成功完成时,此功能才可用。即使不打算使用正则表达式规则,您也可以使用此功能。例如,假设您要查找 ActiveSync 设备 ID 中包含文本“workmail”的所有设备。为此,请按照以下过程操作。
- 单击 Access Rules 选项卡。
-
确保设备匹配字段选择器设置为 Device ID(默认值)。
- 单击所选项目文本框内(如上图蓝色所示),然后键入
workmail.*。 -
确保选中正则表达式复选框,然后单击放大镜图标以显示匹配项,如下图所示。
将单个用户、设备或设备类型添加到静态规则
您可以在 ActiveSync Devices 选项卡上根据用户、设备 ID 或设备类型添加静态规则。
-
单击 ActiveSync Devices 选项卡。
-
在列表中,右键单击用户、设备或设备类型,然后选择是允许还是拒绝您的选择。
下图显示了选择 user1 时的“允许/拒绝”选项。
设备监控
Endpoint Management connector for Exchange ActiveSync 中的“监控”选项卡可让您浏览已检测到的 Exchange ActiveSync 和 BlackBerry 设备以及已发出的自动 PowerShell 命令的历史记录。“监控”选项卡包含以下三个选项卡:
-
ActiveSync 设备:
- 您可以通过单击“导出”按钮导出显示的 ActiveSync 设备合作关系。
- 您可以通过右键单击“用户”、“设备 ID”或“类型”列并选择相应的允许或阻止规则类型来添加本地(静态)规则。
- 要折叠展开的行,请按住 Ctrl 键单击展开的行。
- BlackBerry 设备
- 自动化历史记录
“配置”选项卡显示所有快照的历史记录。快照历史记录显示快照发生时间、持续时间、检测到的设备数量以及发生的任何错误:
- 在“Exchange”选项卡上,单击目标 Exchange Server 的信息图标。
- 在“MSP”选项卡下,单击目标 BlackBerry Server 的信息图标。
故障排除和诊断
Endpoint Management connector for Exchange ActiveSync 会将其错误和其他操作信息记录到其日志文件:Install Folder\log\XmmWindowsService.log。Endpoint Management connector for Exchange ActiveSync 还会将重要事件记录到 Windows 事件日志中。
更改日志记录级别
Endpoint Management connector for Exchange ActiveSync 包含以下日志记录级别:Error、Info、Warn、Debug 和 Trace。
注意:
每个连续级别都会生成更多详细信息(更多数据)。例如,Error 级别提供的详细信息最少,而 Trace 级别提供的详细信息最多。
要更改日志记录级别,请执行以下操作:
- 在 C:\Program Files\Citrix\Citrix Endpoint Management connector 中,打开 nlog.config 文件。
-
在
<rules>部分中,将 minilevel 参数更改为首选日志记录级别。例如:<rules> <logger name="*" writeTo="file" minlevel="Debug" /> </rules> <!--NeedCopy--> -
保存文件。
更改会立即生效。您无需重新启动 Endpoint Management connector for Exchange ActiveSync。
常见错误
以下列表包含常见错误:
-
Endpoint Management connector for Exchange ActiveSync 服务未启动
检查日志文件和 Windows 事件日志中的错误。典型原因如下:
-
Endpoint Management connector for Exchange ActiveSync 服务无法访问 SQL Server。这可能是由以下问题引起的:
- SQL Server 服务未运行。
- 身份验证失败。
如果配置了 Windows 集成身份验证,则 Endpoint Management connector for Exchange ActiveSync 服务的用户帐户必须是允许的 SQL 登录名。Endpoint Management connector for Exchange ActiveSync 服务的帐户默认为 Local System,但可以更改为具有本地管理员权限的任何帐户。如果配置了 SQL 身份验证,则必须在 SQL 中正确配置 SQL 登录名。
-
为移动服务提供商 (MSP) 配置的端口不可用。必须选择一个未被系统上的其他进程使用的侦听端口。
-
-
XenMobile 无法连接到 MSP
检查 Endpoint Management connector for Exchange ActiveSync 控制台的“配置”>“MSP”选项卡中是否正确配置了 MSP 服务端口和传输。检查授权组或用户是否已正确设置。
如果配置了 HTTPS,则必须安装有效的 SSL 服务器证书。如果安装了 IIS,则可以使用 IIS 管理器安装证书。如果未安装 IIS,请参阅如何使用 SSL 证书配置端口以了解有关安装证书的详细信息。
Endpoint Management connector for Exchange ActiveSync 包含一个用于测试与 MSP 服务连接的实用程序。运行 InstallFolder\MspTestServiceClient.exe 程序,并将 URL 和凭据设置为在 XenMobile 中配置的 URL 和凭据,然后单击“测试连接”。这会模拟 XenMobile Server 发出的 Web 服务请求。如果配置了 HTTPS,则必须指定服务器的实际主机名(SSL 证书中指定的名称)。
使用“测试连接”时,请确保至少有一个 ActiveSyncDevice 记录,否则测试可能会失败。
故障排除工具
Support\PowerShell 文件夹中提供了一组用于故障排除的 PowerShell 实用程序。
故障排除工具可对用户邮箱和设备执行深入分析,检测错误情况和潜在故障区域,并对用户进行深入的 RBAC 分析。它可以将所有 cmdlet 的原始输出保存到文本文件。