Translate

vendredi 22 février 2013

[TECH]: Exchange 2013 - Monitoring & ActiveSync - Attention aux restrictions éventuelles !

Publié par Benoit Boudeville à 18:03
Un petit article rapide en passant, au cas où cela vous arrive un jour...

Exchange 2013 introduit le concept de boîte aux lettres de Monitoring: des boîtes aux lettres testant régulièrement l'accès aux services, permettant ainsi de remonter facilement des alertes de disponibilité via les Event Logs.

Dans leur grande bienveillance, vos serveurs Exchange 2013 vont donc tenter de se connecter au Web Services, et dans ce qui va nous intéresser ici, au service Exchange Active Sync.

En effet, dans des tests sur mon lab, j'avais configuré ma Stratégie ActiveSync afin de ne pas autoriser la connexion de terminaux ActiveSync non provisionnés. Le but était à l'époque de probablement tester cette stratégie pour un client (honnêtement, je ne me rappelle plus)... bref...

En regardant mes Events, j'ai donc vu ceci:

On voit au travers de cette capture d'écran que le compte CORP\SM_xxxxxxxxxxx (qui correspond à une boite HealthMailbox de Monitoring) est bloqué. Le message est issu de la Web App ActiveSync dans le but de prévenir un éventuel administrateur de ce fait. Le hic, c'est qu'il s'agit précisément d'une boîte aux lettres système.

C'est donc en voyant cet entrée dans le journal d'évènements que je me suis rappelé de la restriction que j'avais mise sur la Stratégie ActiveSync par défaut (AllowNonProvisionableDevices à False):


Il existe dans l'absolu plusieurs façons de résoudre ce problème:

  1. Changer la stratégie par défaut et autoriser les terminaux non provisionnés, pas toujours faisable si vous les aviez bloqués pour une raison particulière...
  2. Créer une nouvelle stratégie plus permissive et l'assigner aux bâls de Monitoring avec la commande: Get-Mailbox -Monitoring | Set-CASMailbox -ActiveSyncMailboxPolicy  
  3. On peut aussi imaginer une troisième solution, que je n'ai pas testée: ajouter l'Id du pseudo-terminal associé à la BàL dans la liste des terminaux autorisés (avec Set-CASMailbox aussi).
Tant que je suis sur le sujet des Monitoring Mailboxes: en essayant de déterminer la cause de mon évènement ActiveSync, je me suis rendu compte que j'avais oublié de déplacer les BàL de Monitoring des Mailbox Databases créées par défaut à l'installation du rôle Mailbox. Or, je supprime toujours ces bases plutôt que de les réutiliser.

Lors de leur suppression, Exchange n'a pas bronché (il n'a pas mentionné qu'il restait des BàL :p): j'avais bien pensé aux BàL "User", BàL "Arbitration", BàL "PublicFolder"... Du coup, il suffit de déplacer logiquement les BàL sur d'autres Mailbox Databases, comme illustré ci-dessous:

Problème résolu, mais petit contre-temps... :)
Libellés : , , ,

Aucun commentaire:

Enregistrer un commentaire

Inscription à : Publier les commentaires (Atom)