ActiveSync issue and “Exchange ActiveSync doesn’t have sufficient permissions to create the container” (EventID 1053)

iconВсем привет!

Пожалуй у многих случалось так, что новое мобильное устройство, использующее ActiveSync, никак не хочет синхронизироваться с Exchange, при этом у пользователя уже есть ранее настроенное устройство и оно успешно синхронизируется. Ошибок этому может быть множество, но самое первое, что я советую посмотреть – это не отключено ли наследование разрешений в свойствах учетной записи в Active Directory. Почему это помогает и что за этим стоит?

Итак, сама проблема: для некоторых пользователей только что настроенное мобильное устройство не синхронизируется с Exchange. При этом, если это устройство настроить для другого пользователя – все работает. Как правило, с этой ошибкой в Application Log можно наблюдать событие с номером 1053 от источника MSExchange ActiveSync:

Log Name:      Application
Source:        MSExchange ActiveSync
Date:          04.01.2013 2:15:37
Event ID:      1053
Task Category: Configuration
Level:         Error
Keywords:      Classic
User:          N/A
Computer:      EX-root-01.pro.lab
Description:
Exchange ActiveSync doesn't have sufficient permissions to create the "CN=test.user1,OU=Pro_Users,DC=pro,DC=lab" container under Active Directory user "Active Directory operation failed on DC-root-01.pro.lab. This error is not retriable. Additional information: Access is denied.
Active directory response: 00000005: SecErr: DSID-031521D0, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0".
Make sure the user has inherited permission granted to domain\Exchange Servers to allow List, Create child, Delete child of object type "msExchActiveSyncDevices" and doesn't have any deny permissions that block such operations.

 

Что же вызывает такую ошибку?

В момент первой синхронизации мобильного устройства с Exchange, сервер с CAS ролью пытается в контейнере пользователя создать объект класса “msExchActiveSyncDevice”, которое и будет представлять собой соответствие мобильного устройства и учетной записи пользователя.

adsiedit

И если у Exchange сервера не будет хватать разрешений на создание такого объекта, то при синхронизации мобильного устройства будет регистрироваться событие с номером 1053 и синхронизация будет завершаться с ошибкой.

 

Как исправить?

Исправляется ситуация довольно просто. По каким-либо причинам в свойствах учетной записи не включено наследование разрешений с родительского объекта. Если его включить – ошибка пропадет. Например, такая проблема характерна после миграции почтового ящика с Exchange 2003 на Exchange 2010.

 

AdminSDHolder and Protected Groups

Отдельно стоит рассмотреть случай, когда учетная запись такого пользователя входит в так называемые привилегированные группы (Domain Admins, Account Operators etc.)

Для временного решения все так же подходит ранее указанный метод — включить наследование с родительского объекта. Но при этом, через некоторое время наследование автоматически снимается и из разрешений такой учетной записи убираются все нестандартные разрешения.

 

На контроллере домена с ролью PDC каждый 1 час запускается фоновый процесс, который сравнивает ACL учетных записей, входящих в так называемые Protected groups (Domain Admins, Account Operators etc.), с “эталонным” ACL. И если они различаются, то все разрешения заменяются на “эталонные”. При этом, наследование так же снимается.

Для этих целей служит контейнер CN=AdminSDHolder,CN=System,DC=pro,DC=lab – его ACL и есть “эталонный”.

В итоге, чтобы пользователи, входящие в Protected groups, могли подключить новое мобильное устройство к Exchange, им необходимо так же включить наследование разрешений в AD и не позднее, чем через 1 час произвести синхронизацию на новом мобильном устройстве.

Подробнее про процесс SDPROP и AdminSDHolder, какие группы относятся к Protected Groups, как вручную запустить данный процесс и многое другое можно прочитать в статье: Understanding AdminSDHolder and Protected Groups

 

Удачи!

Читайте также: