前陣子朋友為了 Android 系統無法設定跟 Exchange 2010 同步郵件的問題,寄了台 ASUS Eee Pad Slidere SL101 過來請我協助,本想說現在設定 Exchange 2010 有這麼麻煩嗎?

到應用程式選擇「電子郵件」就能開始設定。
asus_eeepad_sl101_set_email-550x343.jpg

沒想到,我怎麼玩都是吐「無法連線至伺服器(Cannot connect to server)」這個錯誤訊息。但同時間透過 OWA(Outlook Web Access)是可以登入,也等同確認 Exchange 主機跟帳號密碼都是正常運作無誤。
asus_eeepad_sl101_exchange_activesync_set_error-550x343.jpg

俗話說事出必有因,凡走過必留下痕跡,決定改從 Exchange 主機的事件檢視器中找看有無蛛絲馬跡。

果然,從對應的時間找到 Windows 應用程式事件 1053,描述中寫著:
Exchange ActiveSync 沒有足夠的權限為 Active Directory 使用者 "Active Directory operation failed on ad.aaa.com.tw. This error is not retriable. Additional information: 存取被拒。.
Active directory response: 00000005: SecErr: DSID-03151E07, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0
" 建立 "CN=askasu,OU=XXX,OU=資訊部,DC=aaa,DC=com,DC=tw" 容器。
請確定該使用者已繼承授予網域\Exchange 伺服器的權限,可以進行物件類型 "msExchangeActiveSyncDevices" 的列示、建立子系、刪除子系作業,而且沒有權限拒絕封鎖這類作業的權限。
exchange_2010_eventlog_1053-550x382.jpg

這讓我想到之前從 Exchange 2003 移轉 Exchange 2010 時,曾在做信箱搬移時也遇到類似的狀況。當時解決方式就是去檢查該帳號在 AD 中的的安全性權限,是否有確實勾選了「繼承」。

連到網域控制站,打開「AD 使用者和電腦」管理介面,在檔案列的檢視先勾選「進階功能」。
ad_account_set01-401x246.jpg

接著找到有問題的帳戶,進到帳戶內容的安全性,再點選「進階」。
這下謎底解開了,果然又是權限繼承被自動取消的問題,只要勾選回去就可以在 EeePad 上正常設定 Exchange ActiveSync 了。
ad_account_set02-550x509.jpg

其實狀況發生的關鍵原因,只要該帳號隸屬於網域的 Protected Groups,基於安全性就會導致繼承設定被取消。
ad_account_with_protected_groups.jpg

就算這次已經勾選了「包括從此物件的父項繼承而來的權限」,在經過 AD 固定時間的同步檢查後,帳戶假使仍隸屬於 Protected Groups,還是會被取消繼承。

不過我多次檢查後發現,就算之後被取消繼承也不用擔心,只要從 ADSI 編輯器確認該帳戶的「ExchangeActiveSyncDevices」目錄物件有被建立起來,想再設定不同裝置像是 iPad 的 Exchange 郵件同步都還是沒問題。
ad_account_adsi-550x418.jpg

另外,在設定 EeePad 跟 Exchange 同步時,小弟覺得幾個比較重要的地方,提醒大家記得選擇。

請記得勾選「接受所有安全資料傳輸層(SSL)憑證」。因為許多公司的 SSL 憑證是自行架設發放,預設是無法自動被信任使用。
asus_eeepad_sl101_exchange_activesync_set_ssl_trust-550x343.jpg

郵件同步數量預設是三天,最大是一個月。
asus_eeepad_sl101_exchange_activesync_set_limit-550x343.jpg其他连接http://technet.microsoft.com/en-us/magazine/2009.09.sdadminholder.aspx