XenMobile Mail Manager 10.x

2018 年 6 月 20 日

有关 XenMobile Mail Manager 的最新信息,请参阅 XenMobile Service 文档 XenMobile Mail Manager

XenMobile Mail Manager 可以采用以下方式扩展 XenMobile 的功能:

  • 用于 Exchange ActiveSync (EAS) 设备的动态访问控制。可以自动允许或阻止 EAS 设备访问 Exchange 访问。
  • 使 XenMobile 能够访问 Exchange 提供的 EAS 设备合作信息的功能。
  • 使 XenMobile 能够在移动设备上执行 EAS 擦除的功能。
  • 使 XenMobile 能够访问关于黑莓设备的信息以及执行擦除和重置密码等控制操作的功能。

要下载 XenMobile Mail Manager,请转到 Citrix.com 上 XenMobile 10 Server 下的“服务器组件”部分。

版本 10.1.4.11 中的新增功能

XenMobile Mail Manager 版本 10.1.4.11 包含以下已修复的问题:

  • 由于其日渐削弱的安全性,PCI 委员会正在弃用 TLS 1.0。对 TLS 1.1 和 1.2 的支持已添加到 XenMobile Mail Manager 中。[CXM-38573、CXM-32560]
  • XenMobile Mail Manager 包括一个新的诊断文件。在 Exchange 指定内容中选择了 Enable Diagnostics(启用诊断)时,将生成新的快照历史记录文件。在每次尝试创建快照时,都会向该文件中添加一行以记录快照结果。[CXM-49631]
  • 在命令诊断文件中,Set-CASMailbox 命令不显示允许或阻止的设备列表。而是在该文件中的相关参数中显示内部类名称。现在,XenMobile Mail Manager 以逗号分隔的列表显示设备 ID 的列表。[CXM-50693]
  • 由于指定内容错误导致尝试获取与 Exchange 的连接失败时:错误消息被不正确的消息覆盖:“All connections in use”(正在使用所有连接)。现在显示更具描述性的消息,例如,“All connections are inoperable”(所有连接均无法使用)、“Connection pool is empty”(连接池为空)、“All connections are throttled”(所有连接都受限制),以及“No available connections”(没有可用的连接)。[CXM-50783]
  • 在某些情况下,允许/阻止/擦除命令会在 XenMobile Mail Manager 内部缓存中排队多次。此问题导致发送到 Exchange 的命令出现延迟。XenMobile Mail Manager 现在仅排队每个命令的一个实例。[CXM-51524]

版本 10.1.3 中的新增功能

  • Google Analytics 支持: 我们希望了解您使用 XenMobile Mail Manager 的方式,以便我们可以专注于可以改进产品的方面。
  • 用于启用诊断的设置: “Configure”(配置)控制台中的 Configure(配置)对话框中显示 Enable Diagnostics(启用诊断)复选框。

Mail Manager 控制台图

版本 10.1.3 中已修复的问题

  • Snapshot History(快照历史记录)窗口中,显示快照当前状态的工具提示不反映实际状态。[CXM-5570] 偶尔,XenMobile Mail Manager 无法向命令诊断文件中写入。发生此问题时,完全不记录命令历史记录。[CXM-49217]
  • 某个连接出错时,该连接可能无法标记为“出错”。因此,后续命令可能会尝试使用该连接,并导致出现另一个错误。[CXM-49495]
  • 在 Exchange Server 中启用了限制时,可能会在检查运行状况例程中引发异常。因此,可能无法清除出错或已过期的连接。此外,在限制时间到期之前,XenMobile Mail Manager 可能无法创建连接。[CXM-49794]。
  • 超过 Exchange 的最大会话计数后,XenMobile Mail Manager 报告“Device Capture Failed”(设备捕获失败)错误,此消息并不准确。相反,该消息应指明正在使用 XenMobile Mail Manager 通常用于 Exchange 通信的两个会话。[CXM-49994]

版本 10.1.2 中的新增功能

  • 改进了与 Exchange 的连接: XenMobile Mail Manager 使用 PowerShell 会话与 Exchange 通信。尤其是在用于 Office 365 时,PowerShell 会话在一段时间之后可能会变得不稳定,从而阻止后续命令成功运行。现在可以在 XenMobile Mail Manager 中设置连接的过期期限。当连接达到其到期时间时,XenMobile Mail Manager 将正常关闭 PowerShell 会话,并创建一个会话。这样,PowerShell 会话不太可能变得不稳定,从而大大降低快照失败的可能性。
  • 改进了快照工作流: 主要快照是耗时的进程密集型操作。如果在创建快照期间发生错误,XenMobile Mail Manager 现在会多次(最多三次)尝试完成快照。后续尝试并不是从头开始。XenMobile Mail Manager 会从其中断的地方继续。此增强功能允许在创建快照期间出现短暂的错误,通常可提高快照的成功率。
  • 改进了诊断: 现在可以通过(可选)在创建快照期间生成的三个新诊断文件更加方便地进行快照故障排除操作。这些文件有助于确定 PowerShell 命令问题、缺少信息的邮箱以及无法与邮箱相关的设备。管理员可以使用这些文件确定 Exchange 中可能不正确的数据。
  • 改进了内存使用率: XenMobile Mail Manager 使用内存的效率现已提高。管理员可以计划 XenMobile Mail Manager 自动重新启动以向系统提供初始状态。
  • Microsoft.NET Framework 4.6 必备条件: 现在,必须使用 Microsoft.NET Framework 版本 4.6。

已修复的问题

  • 提示输入凭据错误:Office 365 会话不稳定通常会导致此错误。改进了与 Exchange 的连接增强功能解决了该问题。(XMHELP 293、XMHELP 311、XMHELP 801)
  • 邮箱和设备计数不准确:XenMobile Mail Manager 改进了邮箱到设备关联算法。改进的诊断功能有助于确定 XenMobile Mail Manager 认为不在其职责领域的邮箱和设备。(XMHELP-623)
  • 无法识别允许/阻止/擦除命令:修复了有时无法识别 XenMobile Mail Manager 允许/阻止/擦除命令的缺陷。(XMHELP-489)
  • 内存管理:改进了内存管理和缓解。(XMHELP-419)

体系结构

下图显示了 XenMobile Mail Manager 的主要组件。有关详细的参考体系结构图,请参阅《XenMobile 部署手册》文章面向本地部署的参考体系结构

XenMobile Mail Manager 体系结构图

这三个主要组件如下:

  • Exchange ActiveSync 访问控制管理: 与 XenMobile 进行通信以从 XenMobile 中检索 Exchange ActiveSync 策略,并将此策略与所有本地定义的策略合并以确定应被允许或拒绝访问 Exchange 的 Exchange ActiveSync 设备。本地策略允许扩展策略规则,以允许 Active Directory 组、用户、设备类型或设备用户代理(通常为移动平台版本)执行访问控制。
  • 远程 PowerShell 管理: 负责计划和调用远程 PowerShell 命令,以执行 Exchange ActiveSync 访问控制管理编译的策略。此组件定期创建 Exchange ActiveSync 数据库的快照,以检测新的或已更改的 Exchange ActiveSync 设备。
  • 移动服务提供商: 提供 Web 服务界面,以便 XenMobile 可以查询 Exchange ActiveSync、查询黑莓设备以及对 ActiveSync 和黑莓设备设备发出“擦除”等控制操作。

系统要求和必备条件

要使用 XenMobile Mail Manager,需要满足以下最低系统要求:

  • Windows Server 2012 R2、Windows Server 2008 R2(必须是基于英语的服务器)
  • Microsoft SQL Server 2016、SQL Server 2014、SQL Server 2012、SQL Server 2012 Express LocalDB 或 SQL Server Express 2008
  • Microsoft .NET Framework 4.6
  • 黑莓 Enterprise Service 版本 5(可选)

Microsoft Exchange Server 的最低支持版本:

  • Microsoft Office 365
  • Exchange Server 2016
  • Exchange Server 2013
  • Exchange Server 2010 SP2

必备条件

  • 必须安装 Windows Management Framework。
    • PowerShell V5、V4 和 V3
  • 必须通过 Set-ExecutionPolicy RemoteSigned 将 PowerShell 执行策略设置为 RemoteSigned。
  • 必须在运行 XenMobile Mail Manager 的计算机和远程 Exchange Server 之间打开 TCP 端口 80。

设备电子邮件客户端: 并非所有电子邮件客户端都一致地为设备返回相同的 ActiveSync ID。由于 XenMobile Mail Manager 要求每个设备具有唯一的 ActiveSync ID,因此,仅支持为每个设备一致地生成相同的唯一 ActiveSync ID 的电子邮件客户端。这些电子邮件客户端已通过 Citrix 测试,执行时没有错误:

  • HTC 本机电子邮件客户端
  • Samsung 本机电子邮件客户端
  • iOS 本机电子邮件客户端
  • 适用于智能手机的 TouchDown

Exchange: 运行 Exchange 的本地计算机的要求如下所示:

在 Exchange 配置用户界面中指定的凭据必须能够连接到 Exchange Server,并且具有执行以下 Exchange 特定的 PowerShell cmdlet 的完全权限:

  • 针对 Exchange Server 2010 SP2:
    • Get-CASMailbox
    • Set-CASMailbox
    • Get-Mailbox
    • Get-ActiveSyncDevice
    • Get-ActiveSyncDeviceStatistics
    • Clear-ActiveSyncDevice
    • Get-ExchangeServer
    • Get-ManagementRole
    • Get-ManagementRoleAssignment
  • 对于 Exchange Server 2013 和 Exchange Server 2016:
    • Get-CASMailbox
    • Set-CASMailbox
    • Get-Mailbox
    • Get-MobileDevice
    • Get-MobileDeviceStatistics
    • Clear-MobileDevice
    • Get-ExchangeServer
    • Get-ManagementRole
    • Get-ManagementRoleAssignment
  • 如果将 XenMobile Mail Manager 配置为查看整个林,则必须授权运行 Set-AdServerSettings -ViewEntireForest $true
  • 提供的凭据必须具有通过远程 Shell 连接到 Exchange Server 的权限。默认情况下,安装 Exchange 的用户具有此权限。
  • 根据 Microsoft TechNet 文章 about_Remote_Requirements,要建立远程连接并运行远程命令,凭据必须与远程计算机上的管理员用户相对应。可以使用 Set-PSSessionConfiguration 消除管理要求,但是对该命令的讨论不在本文档的范围内。有关详细信息,请参阅 You Don’t Have to Be An Administrator to Run Remote PowerShell Commands(您不需要成为管理员即可运行远程 PowerShell 命令)这篇博客文章。
  • 此外,Exchange Server 还必须配置为支持通过 HTTP 进行的远程 PowerShell 请求。通常,只需要在 Exchange Server 上运行下列 PowerShell 命令的管理员:WinRM QuickConfig。
  • Exchange 有许多限制策略。其中一个策略控制每个用户允许的并发 PowerShell 连接的数目。在 Exchange 2010 中,一个用户允许的同时连接数默认为 18。达到连接限制时,XenMobile Mail Manager 无法连接到 Exchange Server。存在通过不在本文档范围内的 PowerShell 更改允许的同时连接数上限的方法。如果有兴趣,可以通过 PowerShell 调查与远程管理相关的 Exchange 限制策略。

Office 365 Exchange 的要求

  • 权限: 在 Exchange 配置用户界面中指定的凭据必须能够连接到 Office 365,并且具有执行以下 Exchange 特定的 PowerShell cmdlet 的完全权限:
    • Get-CASMailbox
    • Set-CASMailbox
    • Get-Mailbox
    • Get-MobileDevice
    • Get-MobileDeviceStatistics
    • Clear-MobileDevice
    • Get-ExchangeServer
    • Get-ManagementRole
    • Get-ManagementRoleAssignment
  • 特权: 提供的凭据必须已获得授权,可以通过远程 Shell 连接到 Office 365 服务器。默认情况下,Office 365 联机管理员具有必备特权。
  • 限制策略: Exchange 有许多限制策略。其中一个策略控制每个用户允许的并发 PowerShell 连接的数目。在 Office 365 中,一个用户允许的同时连接数默认为三个。达到连接限制时,XenMobile Mail Manager 无法连接到 Exchange Server。存在通过不在本文档范围内的 PowerShell 更改允许的同时连接数上限的方法。如果有兴趣,可以通过 PowerShell 调查与远程管理相关的 Exchange 限制策略。

安装和配置

  1. 单击 XmmSetup.msi 文件,然后按照安装程序中的提示安装 XenMobile Mail Manager。

    Mail Manager 设置屏幕图

  2. 在设置向导的最后一个屏幕中让 Launch the Configure utility(启动配置实用程序)保留选中。或者,从开始菜单中打开 XenMobile Mail Manager。

    Mail Manager 设置屏幕图

  3. 配置以下数据库属性:

    • 选择 Configure(配置)> Database(数据库)选项卡。
    • 输入 SQL Server 的名称(默认值为 localhost)。
    • 将数据库保留为默认 CitrixXmm
  4. 选择以下用于 SQL 的身份验证模式之一:

    • SQL: 输入有效 SQL 用户的用户名和密码。
    • Windows Integrated(Windows 集成): 如果选择此选项,XenMobile Mail Manager Service 的登录凭据必须更改为具有访问 SQL Server 权限的 Windows 帐户。为此,请打开控制面板 > 管理工具 > 服务,在 XenMobile Mail Manager Service 条目上单击鼠标右键,然后单击登录选项卡。

    如果还为黑莓数据库连接选择了“Windows Integrated”(Windows 集成),必须同时为此处指定的 Windows 帐户提供黑莓数据库访问权限。

  5. 单击 Test Connectivity(测试连接)检查是否可以连接到 SQL Server,然后单击 Save(保存)。

  6. 此时将显示一条消息,提示您重新启动服务。单击 Yes(是)。

    Mail Manager 设置屏幕图

  7. 配置一个或多个 Exchange Server:

    • 如果管理单个 Exchange 环境,则仅指定一台服务器。如果管理多个 Exchange 环境,则为每个 Exchange 环境指定一个 Exchange Server。
    • 单击 Configure(配置)> Exchange 选项卡,然后单击 Add(添加)。

    Mail Manager 设置屏幕图

  8. 选择 Exchange Server 环境的类型:On Premise(本地)或 Office 365

    Mail Manager 设置屏幕图

    • 如果选择 On Premise(本地),请输入要用于远程 PowerShell 命令的 Exchange Server 名称。
    • 输入在“要求”部分中指定的 Exchange Server 上具有适当权限的 Windows 身份的用户名,然后输入该用户的密码
    • 选择运行主要快照的计划。主要快照检测每个 Exchange ActiveSync 合作关系。
    • 选择运行次要快照的计划。次要快照检测新创建的 Exchange ActiveSync 合作关系。
    • 选择“Snapshot Type”(快照类型):Deep(深层)或 Shallow(浅层)。浅表快照通常更快并且足以执行 XenMobile Mail Manager 的所有 Exchange ActiveSync 访问控制功能。深层快照可能需要花费更长时间,并且仅在为 ActiveSync 启用移动服务提供商后才需要。此选项允许 XenMobile 查询非托管设备。
    • 选择默认访问:Allow(允许)、Block(阻止)或 Unchanged(保持不变)。此设置控制如何处理显式 XenMobile 或本地规则确定的设备以外的所有设备。如果选择 Allow(允许),则允许 ActiveSync 访问所有此类设备。如果选择 Block(阻止),则拒绝访问。如果选择 Unchanged(保持不变),则不进行任何更改。
    • 选择 ActiveSync 命令模式:PowerShellSimulation(模拟)。
    • PowerShell 模式下,XenMobile Mail Manager 会发出 PowerShell 命令以执行所需的访问控制。在“Simulation”(模拟)模式下,XenMobile Mail Manager 不发出 PowerShell 命令,但是会将预期命令和预期结果记录到数据库中。在“Simulation”(模拟)模式下,用户随后可使用 Monitor(监视)选项卡查看启用 PowerShell 模式时会发生的情况。
    • Connection Expiration(连接过期)中,设置连接存在的小时数和分钟数。当连接达到指定的期限时,该连接将被标记为已过期,以便绝不会再次使用该连接。当不再使用已过期的连接时,XenMobile Mail Manager 将正常关闭该连接。当再次需要连接时,如果无可用的连接,将初始化新的连接。如果未指定,则将使用默认值 30 分钟。
    • 选择 View Entire Forest(查看整个林)将 XenMobile Mail Manager 配置为查看 Exchange 环境中的整个 Active Directory 林。
    • 选择身份验证协议:KerberosBasic(基本)。XenMobile Mail Manager 支持对本地部署进行“Basic”(基本)身份验证。这将允许在 XenMobile Mail Manager 服务器不属于 Exchange Server 所在域的成员的情况下使用 XenMobile Mail Manager。
    • 单击 Test Connectivity(测试连接)检查是否可以连接到 Exchange Server,然后单击 Save(保存)。
    • 此时将显示一条消息,提示您重新启动服务。单击 Yes(是)。
  9. 配置访问规则: 选择 Configure(配置)> Access Rules(访问规则)选项卡,单击“XMS Rules”(XMS 规则)选项卡,然后单击 Add(添加)。

    Mail Manager 控制台图

  10. XenMobile Server Service Properties(XenMobile Server 服务属性)页面上,修改 URL 字符串以指向 XenMobile Server。例如,如果实例名称为 zdm,则输入 http://<XdmHostName>/zdm/services/MagConfigService。在此示例中,将 XdmHostName 替换为 XenMobile Server 的 IP 或 DNS 地址。

    Mail Manager 控制台图

    • 输入服务器的授权用户。
    • 输入用户密码。
    • 保留 Baseline Interval(基准时间间隔)、Delta Interval(时间间隔差)和 Timeout(超时)值的默认值。
    • 单击 Test Connectivity(测试连接)检查与服务器的连接,然后单击 OK(确定)。

    如果选中 Disabled(已禁用)复选框,XenMobile Mail Service 将不从 XenMobile 收集策略。

  11. 单击 Local Rules(本地规则)选项卡。

    Mail Manager 控制台图

    • 您可以根据 ActiveSync 的“Device ID”(设备 ID)、“Device Type”(设备类型)、“AD Group”(AD 组)、“User”(用户)或设备“UserAgent”(用户代理)添加本地规则。在列表中选择适当的类型。
    • 在文本框中输入文本或文本片段。也可单击查询按钮,查看与片段匹配的实体。

    对于除“Group”(组)以外的所有类型,系统依赖在快照中找到的设备。因此,如果刚刚开始且尚未完成快照,则没有实体可用。

    • 选择一个文本值,然后单击 Allow(允许)或 Deny(拒绝),将其添加到右侧的 Rule List(规则列表)窗格。可使用 Rule List(规则列表)窗格右侧的按钮更改规则的顺序或移除规则。该顺序很重要,因为对于指定的用户和设备,将按照显示的顺序评估规则,并且一旦与较靠前的规则(离顶部较近)匹配,则后续的规则将失效。例如,如果存在一条允许所有 iPad 设备的规则,而后续的规则阻止用户 Matt,则 Matt 的 iPad 将仍被允许,因为 iPad 规则的有效优先级高于 Matt 规则。
    • 要对规则列表中的规则进行分析以找到潜在的覆盖、冲突或补充结构,请单击 Analyze(分析),然后单击 Save(保存)。
  12. 如果要建立应用于 Active Directory 组的本地规则,请单击 Configure LDAP(配置 LDAP),然后配置 LDAP 连接属性。

    Mail Manager 控制台图

  13. 配置移动服务提供商。

    移动服务提供商可选。仅当同时将 XenMobile 配置为使用移动服务提供商界面查询非托管设备时需要使用该设置。

    • 单击 Configure(配置)> MSP 选项卡。

    Mail Manager 控制台图

    • 为移动服务提供商服务设置“Service Transport”(服务传输)类型:HTTPHTTPS
    • 为移动服务提供商服务设置 Service Port(服务端口)(通常为 80 或 443)。如果使用端口 443,该端口需要在 IIS 中绑定 SSL 证书。
    • 将“Authorization”(授权)设置为 Group(组)或 User(用户)。这样可以设定能够从 XenMobile 连接到移动服务提供商服务的用户或用户组。
    • 设置是否已启用 ActiveSync 查询。如果为 XenMobile Server 启用了 ActiveSync 查询,则一个或多个 Exchange Server 的快照类型必须设置为 Deep(深层)。该设置可能会导致在获取快照时性能显著下降。
    • 默认情况下,不会将与正则表达式 Secure Mail.* 匹配的 ActiveSync 设备发送到 XenMobile。要更改此行为,请根据需要更改 Filter ActiveSync(过滤 ActiveSync)字段。 空白意味着所有设备都将转发到 XenMobile。
    • 单击 Save(保存)。
  14. (可选)配置 BlackBerry Enterprise Server (BES) 的一个或多个实例:单击 Add(添加),然后输入 BES SQL Server 的服务器名称

    Mail Manager 控制台图

    • 输入 BES Management 数据库的数据库名称。
    • 选择 Authentication(身份验证)模式。如果选择 Windows 集成身份验证,则 XenMobile Mail Manager 服务的用户帐户就是用于连接 BES SQL Server 的帐户。如果还为 XenMobile Mail Manager 数据库连接选择了 Windows 集成,则必须同时为此处指定的 Windows 帐户提供 XenMobile Mail Manager 数据库访问权限。
    • 如果选择 SQL authentication(SQL 身份验证),请输入用户名和密码。
    • 设置 Sync Schedule(同步计划)。这是用于连接到 BES SQL Server 并检查任何设备更新的计划。
    • 单击 Test Connectivity(测试连接)检查与 SQL Server 的连接。如果选择 Windows 集成,则此测试使用当前登录的用户而非 XenMobile Mail Manager Service 用户,因此不能准确测试 SQL 身份验证。
    • 要支持从 XenMobile 对黑莓设备进行远程擦除和重置密码的功能,请选中 Enabled(已启用)复选框。
    • 输入 BES 完全限定的域名 (FQDN)。
    • 输入用于管理员 Web 服务的 BES 端口。
    • 输入 BES 服务所需的完全限定用户和密码。
    • 单击 Test Connectivity(测试连接)测试与 BES 的连接。
    • 单击 Save(保存)。

使用 ActiveSync ID 强制执行电子邮件策略

您的企业电子邮件策略可以规定不批准特定设备使用企业电子邮件。为与此策略保持一致,您希望确保员工无法通过此类设备访问企业电子邮件。XenMobile Mail Manager 与 XenMobile 结合使用可强制实施此类电子邮件策略。XenMobile 设置用于企业电子邮件访问的策略,当未经批准的设备向 XenMobile 注册时,XenMobile Mail Manager 会强制实施此策略。

设备上的电子邮件客户端使用设备 ID(也称为 ActiveSync ID,用于标识设备)向 Exchange Server(或 Office 365)广播自己。Secure Hub 获取类似的标识符,并在注册设备时将标识符发送给 XenMobile。通过比较两个设备 ID,XenMobile Mail Manager 可以确定特定设备是否应该获取企业电子邮件访问权限。下图说明了此概念:

检测 ActiveSync ID 工作流示意图

如果 XenMobile 向 XenMobile Mail Manager 发送的 ActiveSync ID 不同于设备向 Exchange 发布的 ID,XenMobile Mail Manager 无法指示 Exchange 如何处理此设备。

匹配 ActiveSync ID 可以在大多数平台上可靠地执行。但是,Citrix 已发现在某些 Android 实现上,来自设备的 ActiveSync ID 不同于邮件客户端向 Exchange 广播的 ID。为缓解此问题,可以执行以下操作:

  • 在 Samsung SAFE 平台上,从 XenMobile 推送设备 ActiveSync 配置。
  • 在所有其他 Android 平台上,从 XenMobile 推送 TouchDown 应用程序和 TouchDown ActiveSync 配置。

但是,此方法不阻止员工在 Android 设备上安装除 TouchDown 之外的电子邮件客户端。要保证正确地强制实施企业电子邮件访问策略,可以采用防御性安全措施,通过将静态策略设置为“Deny by default”(默认拒绝),将 XenMobile Mail Manager 配置为阻止电子邮件。这意味着,如果员工确实在 Android 设备上配置了除 TouchDown 之外的电子邮件客户端,并且如果 ActiveSync ID 检测不能正常工作,将拒绝该员工访问企业电子邮件。

访问控制规则

XenMobile Mail Manager 提供了一种基于规则的方法,为 Exchange ActiveSync 设备动态配置访问控制。XenMobile Mail Manager 访问控制规则由两部分组成,即一个匹配的表达式和一个所需的访问状态(“允许”或“阻止”)。规则可能会针对给定的 Exchange ActiveSync 设备进行评估,以确定该规则是否适用于该设备或是否与该设备匹配。有多种匹配的表达式;例如,一条规则可能与给定“设备类型”(或特定 Exchange ActiveSync 设备 ID)的所有设备或者特定用户的所有设备等匹配。

在规则列表中添加、删除和重新排列规则期间,任何时候单击取消按钮都会将规则列表还原回首次打开时的状态。除非单击保存,否则关闭配置工具时将丢失您对此窗口所做的任何更改。

XenMobile Mail Manager 有三种类型的规则,即本地规则、XenMobile Server 规则(也称为 XDM 规则)和默认访问规则。

本地规则: 本地规则的优先级最高:如果设备与本地规则匹配,规则评估将停止。既不查询 XenMobile Server 规则也不查询默认访问规则。本地规则是通过 Configure(配置)> Access Rules(访问规则)> Local Rules(本地规则)选项卡在 XenMobile Mail Manager 本地配置的。支持匹配基于给定的 Active Directory 组内用户的成员身份。支持匹配基于以下字段的正则表达式:

  • ActiveSync Device ID(ActiveSync 设备 ID)
  • ActiveSync Device Type(ActiveSync 设备类型)
  • User Principal Name (UPN)(用户主体名称(UPN))
  • ActiveSync User Agent(ActiveSync 用户代理)(通常为设备平台或电子邮件客户端)

只要完成了主要快照并找到设备,您应能够添加常规或正则表达式规则。如果尚未完成主要快照,则只能添加正则表达式规则。

XenMobile Server 规则: XenMobile Server 规则是对提供托管设备相关规则的外部 XenMobile Server 的引用。XenMobile Server 可通过自身的高级规则进行配置,这些规则可标识要基于 XenMobile 已知属性允许或阻止的设备(例如设备是否越狱或设备是否包含禁用的应用程序)。XenMobile 评估高级规则并生成一组允许或阻止的 ActiveSync 设备 ID,然后将其传递到 XenMobile Mail Manager。

默认访问规则: 默认访问规则是唯一的,它可以潜在匹配每个设备,并且始终是最后一个被评估。此规则是一条笼统的规则,这意味着如果给定的设备与本地规则或 XenMobile Server 规则不匹配,该设备的所需访问状态将由默认访问规则的所需访问状态决定。

  • Default Access - Allow(默认访问 - 允许): 允许与本地规则或 XenMobile Server 规则不匹配的任何设备。
  • Default Access - Block(默认访问 - 阻止): 阻止与本地规则或 XenMobile Server 规则不匹配的任何设备。
  • Default Access - Unchanged(默认访问 - 未更改): 与本地规则或 XenMobile Server 规则不匹配的任何设备将不会由 XenMobile Mail Manager 以任何方式修改其访问状态。如果设备已被 Exchange 置于隔离模式,则不会采取任何措施;例如,从隔离模式删除设备的唯一方法是使用显式本地规则或 XDM 规则覆盖隔离。

关于规则评估

对于 Exchange 向 XenMobile Mail Manager 报告的每个设备,将按照优先级从最高到最低的顺序对这些规则进行评估,如下所示:

  • 本地规则
  • XenMobile Server 规则
  • 默认访问规则

找到匹配项时,评估将停止。例如,如果本地规则与给定设备匹配,则不会根据任何 XenMobile Server 规则或默认访问规则对该设备进行评估。这同样适用于给定的规则类型。例如,如果本地规则列表中有多条规则与某个给定设备匹配,则遇到第一个匹配项时,评估即停止。

当设备属性发生变化、添加或删除设备或者规则本身发生变化时,XenMobile Mail Manager 会重新评估当前定义的规则集合。主要快照以可配置的时间间隔选取设备属性更改和删除操作。次要快照以可配置的时间间隔选取新设备。

Exchange ActiveSync 还具有控制访问的规则。了解这些规则如何在 XenMobile Mail Manager 环境下运行非常重要。Exchange 可能通过以下三种级别的规则进行配置:个人免除、设备规则以及组织设置。XenMobile Mail Manager 通过以编程方式发出远程 PowerShell 请求来自动化访问控制,以影响个人免除列表。这些是与给定邮箱关联的允许和阻止的 Exchange ActiveSync 设备 ID 列表。部署后,XenMobile Mail Manager 有效地接替了 Exchange 中的免除列表的管理。有关详细信息,请参阅此 Microsoft 文章

在为相同的字段定义了多条规则的情况下,分析特别有用。您可以对规则之间的关系进行故障排除。请从规则字段的角度来执行分析;例如,规则是基于匹配的字段(例如 ActiveSync 设备 ID、ActiveSync 设备类型、用户、用户代理等)按组进行分析的。

规则术语

  • 覆盖规则: 当多条规则可以应用于同一设备时会发生覆盖。因为规则是按照列表中的优先级进行评估的,可能会应用的后面的规则实例可能永远不会被评估。
  • 冲突规则: 当多条规则可以应用于同一设备但访问状态(允许/阻止)不匹配时会发生冲突。如果冲突规则不是正则表达式规则,冲突将始终隐式包含覆盖
  • 补充规则: 当多条规则是正则表达式规则,因此可能需要确保两个(或多个)正则表达式可以合并到一条正则表达式规则中或者不是重复功能时,会发生补充。补充规则的访问状态(允许/阻止)可能还会发生冲突。
  • 主要规则: 主要规则是已在对话框内单击的规则。规则通过围绕它的实线框可视化地指示出来。该规则还将具有一个或两个绿色箭头,用来指示向上或向下方向。如果箭头指向上方,该箭头指示辅助规则在主要规则前面。如果箭头指向下方,该箭头指示辅助规则在主要规则后面。只有一个主要规则可以随时处于活动状态。
  • 辅助规则: 辅助规则以某种方式与主要规则相关(通过覆盖、冲突或补充关系)。规则通过围绕它的虚线框可视化地指示出来。对于每条主要规则,可以一条主要规则对应多条辅助规则。单击任何带有下划线的条目时,始终从主要规则的角度突出显示一条或多条辅助规则。例如,辅助规则被主要规则覆盖,和/或辅助规则的访问状态与主要规则冲突,和/或辅助规则对主要规则进行补充。

规则类型在“Rule Analysis”(规则分析)对话框中的显示方式

没有冲突、覆盖或补充时,“Rule Analysis”(规则分析)对话框中没有带下划线的条目。单击任何项目都没有效果;例如,出现正常选定项目的视觉效果。

“Rule Analysis”(规则分析)窗口包含一个复选框,选中该复选框时,将仅显示冲突、覆盖、冗余或补充规则。

Mail Manager 控制台图

当出现覆盖时,至少有两条规则将加下划线,即主要规则以及一条或多条辅助规则。至少有一条辅助规则以较浅字体显示,指示该规则已被优先级较高的规则覆盖。您可以单击被覆盖的规则以了解覆盖该规则的一条或多条规则。每当被覆盖的规则由于该规则是主要规则或辅助规则而突出显示时,它旁边都会显示一个黑色圆圈,以进一步指示该规则处于不活动状态。例如,在单击该规则之前,对话框显示如下:

Mail Manager 控制台图

单击优先级最高的规则时,对话框显示如下:

Mail Manager 控制台图

在此示例中,正则表达式规则 WorkMail.* 是主要规则(以实线框指示),常规规则 workmailc633313818 是辅助规则(以虚线框指示)。辅助规则旁边的黑点是一个视觉提示,可进一步指示由于它的前面有较高优先级的正则表达式而处于不活动状态(永远不会被评估)。单击被覆盖的规则后,对话框显示如下:

Mail Manager 控制台图

在前面的示例中,正则表达式规则 WorkMail.* 是辅助规则(以虚线框指示),常规规则 workmailc633313818 是主要规则(以实线框指示)。对于这一简单的示例,没有太大差异。对于更为复杂的示例,请参阅本主题中后面所述的复杂表达式示例。在定义了许多规则的情景中,单击被覆盖的规则将快速识别已覆盖该规则的一条或多条规则。

当出现冲突时,至少有两条规则将加下划线,即主要规则以及一条或多条辅助规则。发生冲突的规则用红点指示。只有相互冲突的规则才可能定义了两条或多条正则表达式规则。在所有其他冲突情景中,不仅将有冲突,而且还会发生覆盖。在简单的示例中单击任一规则之前,对话框显示如下:

Mail Manager 控制台图

检查这两条正则表达式规则即可明显发现,第一条规则允许设备 ID 包含“App”的所有设备,第二条规则拒绝设备 ID 包含“Appl”的所有设备。此外,即使第二条规则拒绝了设备 ID 包含“Appl”的所有设备,也不会拒绝符合条件的设备,因为允许规则的优先级较高。单击第一条规则后,对话框显示如下:

Mail Manager 控制台图

在上述情景中,主要规则(正则表达式规则 App.*)和辅助规则(正则表达式规则 Appl.*)均以黄色突出显示。这只是一个视觉警告,提示您已将多条正则表达式规则应用到单个匹配字段,这可能意味着会出现冗余问题或更严重的问题。

在同时存在冲突和覆盖的情景中,主要规则(正则表达式规则 App.*)和辅助规则(正则表达式规则 Appl.*)均以黄色突出显示。这只是一个视觉警告,提示您已将多条正则表达式规则应用到单个匹配字段,这可能意味着会出现冗余问题或更严重的问题。

Mail Manager 控制台图

在前面的示例中,显而易见,第一条规则(正则表达式规则 SAMSUNG.*)不仅覆盖下一条规则(常规规则 SAMSUNG-SM-G900A/101.40402),而且这两条规则的访问状态有所不同(主要规则指定“允许”,辅助规则指定“阻止”)。第二条规则(常规规则 SAMSUNG-SM-G900A/101.40402)以较浅文本显示,指示该规则已被覆盖,并因此处于不活动状态。

单击正则表达式规则后,对话框显示如下:

Mail Manager 控制台图

主要规则(正则表达式规则 SAMSUNG.*)后跟一个红点,指示其访问状态与一条或多条辅助规则发生冲突。辅助规则(常规规则 SAMSUNG-SM-G900A/101.40402)后跟一个红点,指示其访问状态与主要规则发生冲突。此外,该规则还后跟黑点,指示其已被覆盖,并因此处于不活动状态。

至少有两条规则将加下划线,即主要规则以及一条或多条辅助规则。仅相互补充的规则将只涉及正则表达式规则。当规则相互补充时,将以黄色叠加表示。在简单的示例中单击任一规则之前,对话框显示如下:

Mail Manager 控制台图

目测会很容易发现这两条规则都是正则表达式规则,都已应用到 XenMobile Mail Manager 中的 ActiveSync 设备 ID 字段。单击第一条规则后,对话框显示如下:

Mail Manager 控制台图

主要规则(正则表达式规则 WorkMail.*)以黄色叠加突出显示,指示至少存在另外一个是正则表达式的辅助规则。辅助规则(正则表达式规则 SAMSUNG.*)以黄色叠加突出显示,指示辅助规则与主要规则都是要应用于 XenMobile Mail Manager 内同一字段的正则表达式规则。在此示例中,该字段为 ActiveSync 设备 ID。这些正则表达式可能叠加,也可能不叠加。是否正确制作正则表达式由您来决定。

复杂表达式示例

许多潜在的覆盖、冲突或补充都可能会发生,使其不可能举例说明所有可能的情景。以下示例探讨了不会执行的操作,同时还阐明了规则分析视觉构建的强大功能。大多数项目在下图中加了下划线。许多项目以较浅的字体显示,指示存在问题的规则已被优先级较高的规则以某种方式覆盖。多条正则表达式规则也包括在列表中,由 图标图 图标指示。

Mail Manager 控制台图

如何分析覆盖

要查看覆盖了特定规则的一条或多条规则,您可以单击该规则。

示例 1: 此示例调查了覆盖 zentrain01@zenprise.com 的原因。

Mail Manager 控制台图

主要规则(AD-Group 规则 zenprise/TRAINING/ZenTraining Bzentrain01@zenprise.com 是其中的一个成员)具有以下特性:

  • 以蓝色突出显示并且具有实线框。
  • 具有一个指向上方的绿色箭头(指示一条或多条辅助规则都能够在该箭头上方找到)。
  • 后跟一个红色圆圈和一个黑色圆圈,分别指示一条或多条辅助规则与其访问状态存在冲突,并且主要规则已被覆盖且因此处于不活动状态。

向上滚动时,您会看到以下内容:

Mail Manager 控制台图

在此示例中,有两条辅助规则覆盖主要规则:正则表达式规则 zen.* 和常规规则 zentrain01@zenprise.com(属于 zenprise/TRAINING/ZenTraining A)。对于后一条辅助规则,出现了以下情况:Active Directory 组规则 ZenTraining A 包含用户 zentrain01@zenprise.com,Active Directory 组规则 ZenTraining B 也包含用户 zentrain01@zenprise.com。但是,由于辅助规则的优先级高于主要规则,因此主要规则被覆盖。主要规则的访问状态是“允许”,并且由于这两条辅助规则的访问状态都是“阻止”,因此,后跟一个红色圆圈以进一步指示访问冲突。

示例 2: 此示例显示了覆盖 ActiveSync 设备 ID 为 069026593E0C4AEAB8DE7DD589ACED33 的设备的原因:

Mail Manager 控制台图

主要规则(常规设备 ID 规则 069026593E0C4AEAB8DE7DD589ACED33)具有以下特性:

  • 以蓝色突出显示并且具有实线框。
  • 具有一个指向上方的绿色箭头(指示辅助规则能够在该箭头上方找到)。
  • 后跟一个黑色圆圈,指示辅助规则已覆盖主要规则,并因此处于非活动状态。

Mail Manager 控制台图

在此示例中,一条辅助规则覆盖主要规则:正则表达式 ActiveSync 设备 ID 规则 3E.*。由于正则表达式 3E.* 将会与 069026593E0C4AEAB8DE7DD589ACED33 匹配,因此,主要规则永远不会被评估。

如何分析补充和冲突

在此示例中,主要规则是正则表达式 ActiveSync 设备类型规则 touch.*。特性如下:

  • 以实线框指示,并使用黄色叠加作为警告,提示正在针对特定规则字段运行多条正则表达式规则,在这种情况下为 ActiveSync 设备类型。
  • 两个箭头分别指向上方和下方,指示至少存在一条具有较高优先级的辅助规则以及至少存在一条具有较低优先级的辅助规则。
  • 箭头旁边的红色圆圈指示至少一条辅助规则的访问状态设置为“允许”,与主要规则的访问状态“阻止”相冲突
  • 存在两条辅助规则,即正则表达式 ActiveSync 设备类型规则 SAM.* 和正则表达式 ActiveSync 设备类型规则 Andro.*
  • 这两条辅助规则都加了虚线框,指示其属于辅助规则。
  • 这两条辅助规则都以黄色叠加,指示其也应用于 ActiveSync 设备类型的规则字段。
  • 在此类情景中,您应确保其正则表达式规则不冗余。

Mail Manager 控制台图

如何进一步分析规则

本示例探讨了规则关系如何始终从主要规则的角度建立。前面的示例显示了单击应用于设备类型值为 touch.* 的规则字段的正则表达式规则的情况。单击辅助规则 Andro.* 将显示一组不同的突出显示的辅助规则。

Mail Manager 控制台图

此示例显示了规则关系中包含的覆盖规则。此规则是常规 ActiveSync 设备类型规则 Android,已被覆盖(通过浅色字体和旁边的黑色圆圈指示),并且其访问状态还与主要规则正则表达式 ActiveSync 设备类型规则 Andro.* 发生冲突。在单击该规则之前,该规则是辅助规则。在前面的示例中,常规 ActiveSync 设备类型规则 Android 未显示为辅助规则,因为从主要规则(正则表达式 ActiveSync 设备类型规则 touch.*)的角度来看,该规则与主要规则不相关。

配置常规表达式本地规则

  1. 单击 Access Rules(访问规则)选项卡。

    Mail Manager 控制台图

  2. Device ID(设备 ID)列表中,选择要为其创建本地规则的字段。

  3. 单击放大镜图标显示所选字段的所有唯一匹配项。在此示例中,已选择 Device Type(设备类型)字段,并且选项显示在下面的列表框中。

    Mail Manager 控制台图

  4. 在结果列表框中单击其中一个项目,然后单击以下选项之一:

    • Allow(允许)表示 Exchange 将配置为允许所有匹配设备的 ActiveSync 流量。
    • Deny(拒绝)表示 Exchange 将配置为拒绝所有匹配设备的 ActiveSync 流量。

    在此示例中,设备类型为 TouchDown 的所有设备将被拒绝访问。

    Mail Manager 控制台图

添加正则表达式

正则表达式本地规则可通过其旁边显示的图标进行区分 - 图标图。要添加正则表达式规则,您可以通过给定字段的结果列表中的现有值来构建正则表达式规则(只要已完成主要快照),或只需键入您想要的正则表达式。

从现有字段值构建正则表达式

  1. 单击 Access Rules(访问规则)选项卡。

    Mail Manager 控制台图

  2. Device ID(设备 ID)列表中,选择要为其创建正则表达式本地规则的字段。

  3. 单击放大镜图标显示所选字段的所有唯一匹配项。在此示例中,已选择 Device Type(设备类型)字段,并且选项显示在下面的列表框中。

    Mail Manager 控制台图

  4. 单击结果列表中的其中一个项目。在此示例中,已选择 SAMSUNGSPHL720,并显示在 Device Type(设备类型)旁边的文本框中。

    Mail Manager 控制台图

  5. 要允许设备类型值中包含“Samsung”的所有设备类型,请按照以下步骤添加正则表达式规则:

    1. 在所选项目文本框内单击。

    2. 将文本从 SAMSUNGSPHL720 更改为 SAMSUNG.*。

    3. 确保选中“regular expression”(正则表达式)复选框。

    4. 单击 Allow(允许)。

    Mail Manager 控制台图

构建访问规则

  1. 单击“Local Rules”(本地规则)选项卡。
  2. 要输入正则表达式,需要使用“Device ID”(设备 ID)列表和所选项目文本框。

    Mail Manager 控制台图

  3. 选择要匹配的字段。此示例使用设备类型。
  4. 键入正则表达式。此示例使用 samsung.*
  5. 确保选中“regular expression”(正则表达式)复选框,然后单击 Allow(允许)或 Deny(拒绝)。在此示例中,选择的是 Allow(允许)。最终结果如下所示:

    Mail Manager 控制台图

查找设备

通过选中“regular expression”(正则表达式)复选框,可以针对与给定表达式匹配的特定设备运行搜索。此功能仅在成功完成主要快照时可用。即使没有计划使用正则表达式规则,您也可以使用此功能。例如,假定您要查找 ActiveSync 设备 ID 中包含文本“workmail”的所有设备。为此,请执行以下过程。

  1. 单击“Access Rules”(访问规则)选项卡。
  2. 确保设备匹配字段选择器设置为“Device ID”(设备 ID)(默认值)。

    Mail Manager 控制台图

  3. 在所选项目文本框(上图中以蓝色显示的框)内单击,然后键入 workmail.*
  4. 确保选中“regular expression”(正则表达式)复选框,然后单击放大镜图标显示匹配项,如下图所示。

    Mail Manager 控制台图

将单个用户、设备或设备类型添加到静态规则

可以在“ActiveSync Devices”(ActiveSync 设备)选项卡上基于用户、设备 ID 或设备类型添加静态规则。

  1. 单击“ActiveSync Devices”(ActiveSync 设备)选项卡。

  2. 在列表中,右键单击用户、设备或设备类型,然后选择是允许所选内容还是拒绝所选内容。

    下图显示了选定 user1 时的“允许”/“拒绝”选项。

    Mail Manager 控制台图

设备监视

通过 XenMobile Mail Manager 中的 Monitor(监视)选项卡,可以浏览已检测到的 Exchange ActiveSync 和黑莓设备以及已发出的自动化 PowerShell 命令的历史记录。Monitor(监视)选项卡有以下三个选项卡:

  • ActiveSync Devices(ActiveSync 设备):
    • 您可以通过单击 Export(导出)按钮导出显示的 ActiveSync 设备合作关系。
    • 您可以通过右键单击 User(用户)、Device ID(设备 ID)或 Type(类型)列并选择适当的允许或阻止规则类型来添加本地(静态)规则。
    • 要折叠展开的行,请按住 Ctrl 键并单击该展开的行。
  • 黑莓设备
  • 自动化历史记录

Configure(配置)选项卡显示所有快照的历史记录。快照历史记录显示快照发生的时间、发生了多久、检测到多少设备以及出现的任何错误。

  • Exchange 选项卡中,单击所需 Exchange Server 的信息图标。
  • MSP 选项卡中,单击所需黑莓服务器的信息图标。

故障排除和诊断

XenMobile Mail Manager 将错误和其他操作信息记录到其日志文件:安装文件夹\log\XmmWindowsService.log。XenMobile Mail Manager 还将重要事件记录到 Windows 事件日志。

常见错误

以下列表包括常见错误:

  • XenMobile Mail Manager Service 未启动

    检查日志文件和 Windows 事件日志中的错误。包括以下典型原因:

    • XenMobile Mail Manager Service 无法访问 SQL Server。以下这些问题可能导致此情况:

      • SQL Server 服务不在运行。
      • 身份验证失败。

      如果已配置 Windows 集成身份验证,必须允许 XenMobile Mail Manager Service 的用户帐户进行 SQL 登录。XenMobile Mail Manager Service 的帐户默认为“Local System”(本地系统),但是可能更改为任何具有本地管理员权限的帐户。如果已配置 SQL 身份验证,必须在 SQL 中正确配置 SQL 登录。

    • 为移动服务提供商 (MSP) 配置的端口不可用。必须选择未被系统中其他进程使用的侦听端口。

  • XenMobile 无法连接到 MSP

    检查是否已在 XenMobile Mail Manager 控制台的 Configure(配置)> MSP 选项卡中正确配置 MSP 服务端口和传输。检查是否已正确设置授权组或用户。

    如果已配置 HTTPS,则必须安装有效的 SSL 服务器证书。如果已安装 IIS,IIS 管理器可以用来安装证书。如果未安装 IIS,有关安装证书的详细信息,请参阅 http://msdn.microsoft.com/en-us/library/ms733791.aspx

    XenMobile Mail Manager 包含测试与 MSP Service 的连接的实用程序。运行 安装文件夹\MspTestServiceClient.exe 程序并将 URL 和凭据设置为将在 XenMobile 中配置的 URL 和凭据,然后单击 Test Connectivity(测试连接)。这将模拟 XenMobile Service 发出的 Web 服务请求。请注意,如果已配置 HTTPS,您必须指定服务器的实际主机名(在 SSL 证书中指定的名称)。

    使用 Test Connectivity(测试连接)时,请确保至少有一条 ActiveSyncDevice 记录,否则测试可能会失败。

    Mail Manager 控制台图

故障排除工具

Support\PowerShell 文件夹中提供了一组用于故障排除的 PowerShell 实用程序。

故障排除工具将对用户的邮箱和设备执行深度分析(从而检测错误条件和潜在的故障区域)并对用户执行深度 RBAC 分析。该工具可以将所有 cmdlet 的原始输出保存到一个文本文件。