用于Exchange ActiveSync的端点管理连接器

XenMobile邮件管理器现在是Exchange ActiveSync的端点管理连接器。有关Citrix统一投资组合的详细信息，请参见Citrix产品指南．

连接器以以下方式扩展端点管理的功能:

• EAS (Exchange Active Sync)设备的动态访问控制。EAS设备可以自动允许或阻止访问Exchange服务。
• 端点管理访问Exchange提供的EAS设备合作伙伴信息的能力。
• 端点管理基于EAS状态擦除移动设备的能力。
• 端点管理的能力，以访问有关黑莓设备的信息，并执行控制操作，如擦除和重置密码。

若要根据EAS状态擦除设备，请配置带有ActiveSync触发器的自动操作。看到自动操作．

10.1.10版本有什么新功能

10.1.10版本修复了以下问题:

• 经常遇到网络问题的客户可能无法在前面提供的三次尝试中完成快照。有了这个版本，管理员可以配置最大尝试次数(1-10)。此修复允许快照在通信中引起多次中断，而不会完全放弃快照进程。(cxm - 70837)
• 在以前的版本中，快照类型不会出现在Exchange配置的列表中。现在，快照类型出现了。(cxm - 70846)
• PowerShell报告的PSRemotingTransport异常表明到Exchange的会话不再可用。缺省情况下，将该状态添加到配置文件的“Critical Errors”列表中。通过这样做，当检测到PSRemotingTransportException时，连接将被标记为Error，以便稍后处理。下一次通信使用有效连接或创建连接。(cxm xmhelp - 2184 - 70836)
• 当保存配置更改时，在加载新配置之前，可能没有正确地处理之前配置的所有内部组件。这个问题可能会导致不可预测的行为。行为取决于具体的更改，以及更改是否与以前的配置冲突。在这个版本中，所有内部组件都在加载新配置之前被处理掉。(cxm xmhelp - 2259 - 71388)

10.1.9版有什么新功能

10.1.9版本修复了以下问题:

• 现在以更一致的方式处理配置更改。当服务检测到配置中的更改时，将停止每个内部子系统，这意味着任何活动的或计划的处理都将中断。接下来，加载新的配置并再次启动子系统，这意味着所有调度和其他内部基础设施都将使用新的设置重新建立。此版本修复了10.1.8版本中的一个已知问题。(cxm cxm - 47709 - 61330)
• 在升级过程中，现有的数据库配置没有合并到新的配置文件中。数据库配置现在合并到升级后的配置文件中。(cxm - 49326)
• 在与快照相关的诊断文件中，列标题缺失。恢复头文件。(cxm - 62680)
• 从以前版本升级时，配置文件的默认部分被正在使用的配置文件的类似部分所覆盖。此问题阻止服务在升级后加载对默认部分的添加或改进。在这个版本中，默认部分总是反映最新的配置。(cxm - 62681)

• 管理员在运行应用程序时不能再按Shift键访问某些选项。这些选项以前在Citrix许可下可用。一些选项现在完全可用，如允许重定向，而其他选项，如挂起检测和计数纠正，已弃用。(cxm - 62767)

  

早期版本有什么新功能

以下部分列出了用于Exchange ActiveSync的早期版本的端点管理连接器中的新功能和已修复的问题。

10.1.8版有什么新功能

• Exchange可能限制了用于Exchange ActiveSync服务的Citrix Endpoint Management连接器，以免过于频繁地发出命令。此问题在Office 365的连接中很常见。节流的效果要求服务在发送下一个命令之前暂停一段指定的时间。Configure控制台现在显示暂停剩余的时间。(cxm - 48044)
• 当对配置文件(config.xml)的“Watchdog”和/或“SpecialistsDefaults”部分进行修改时，这些更改不会在升级后的配置文件中反映出来。在这个版本中，修改被正确地合并到新的配置文件中。(cxm - 52523)
• 更多的细节已添加到分析发送到谷歌分析，特别是关于快照。(cxm - 56691)
• Exchange测试连接特性将只尝试初始化连接一次。因为Office 365连接可以被限制，所以测试连接在限制时可能会出现失败。用于Exchange ActiveSync的Citrix Endpoint Management连接器现在最多尝试发起三次连接。(cxm - 58180)
• 要在Exchange上生效策略，用于Exchange ActiveSync的Citrix Endpoint Management连接器必须编译一个Set-CASMailbox命令，该命令在两个列表中包括每个邮箱的所有相关设备:允许和阻止。如果设备不包含在任何一个列表中，Exchange将退回到其默认访问状态。如果默认访问状态与设备所需的状态不同，则该设备将不符合法规。因此，如果Exchange默认访问状态是阻止的，用户可能会失去对电子邮件的访问，而这应该是允许的。或者，应该阻止访问电子邮件的用户可能会被授予访问权限。用于Exchange ActiveSync的Citrix Endpoint Management连接器现在确保每个设备中都包含具有有效所需状态的所有设备Set-CasMailbox命令。(cxm - 61251)

以下问题在10.1.8版本中已知:

如果管理员在配置应用程序中修改了配置数据，而服务正在执行长时间的操作(如快照或策略评估)，则服务可能会进入不确定状态。可能的症状是策略更改没有被处理，或者快照没有被初始化。要将服务返回到工作状态，必须重新启动服务。在启动服务之前，您可能需要使用Windows服务管理器终止服务进程。(cxm - 61330)

10.1.7版有什么新功能

• XenMobile邮件管理器现在是Exchange ActiveSync的端点管理连接器。
• 我们已弃用禁用流水线选项。您可以通过在config.xml文件中为每个命令配置多个步骤来实现相同的功能。(cxm - 54593)

10.1.7版本修复了以下问题:

• 在“快照历史”窗口中，错误消息可能只显示很少的上下文。现在，错误消息以它们发生的上下文作为前缀。(cxm - 49157)
• XmmGoogleAnalytics .dll没有相应的文件版本。(cxm - 52518)
• 为了改进诊断，我们最近更改了用于设置邮箱允许/阻止状态的设备id列表的字符串格式。然而，过多的设备规格超过了最大字符串大小。现在，我们使用内部数组数据结构。此结构没有大小限制，还可以对数据进行适当的格式化，以用于诊断目的。(cxm - 52610)
• 当检测到与Exchange不同步的设备策略时，其命令可能包括不属于相关邮箱的设备。Exchange ActiveSync的端点管理连接器现在确保发送到Exchange的命令只表示属于各自邮箱的设备。(cxm - 54842)
• 在某些环境中，Microsoft程序集不可用。所需的程序集现在与应用程序一起显式安装。(cxm - 55439)
• 如果设备或邮箱的“可区分名称”在属性名和等号之间有空格，或者在等号值之后和值之前有空格，则Exchange ActiveSync的端点管理连接器可能无法正确地将设备与其邮箱或相反的方式匹配。结果可能是在快照协调期间拒绝某些设备和/或邮箱。(cxm - 56088)

注意:

下面的“更新内容”部分引用Exchange ActiveSync的端点管理连接器，其以前的名称为XenMobile邮件管理器。从版本10.1.7开始更改名称。

在10.1.6.20版本更新

10.1.6版本的更新包含10.1.6.20版本中的以下修复:

• 当检测到与Exchange不同步的设备策略时，其命令可能包括不属于相关邮箱的设备。XenMobile邮件管理器现在确保对Exchange的命令只代表属于各自邮箱的设备。(cxm - 54842)

10.1.6版有什么新功能

XenMobile Mail Manager 10.1.6版本包含以下修复问题和增强功能:

• 快照历史窗口有时会进入窗口不再更新的状态。改进了windows刷新机制，使更新更加可靠。(cxm - 47983)
• 分区快照和非分区快照使用了两种不同的模式和代码路径。因为非分区快照等同于使用单个“*”分区配置的分区快照，因此消除了非分区快照模式。默认快照模式现在是36个分区(0-9,A-Z)的分区快照。(cxm - 49093)
• 在“快照历史”窗口中，错误消息将被状态消息覆盖。现在，XenMobile Mail Manager提供了两个单独的字段，以便用户可以同时查看状态和错误。(cxm - 51942)
• 连接到Exchange Online (Office 365)时，与快照相关的查询可能会导致数据集被截断。当XenMobile邮件管理器执行多命令流水线脚本时，可能会出现此问题。上游命令不能足够快地将数据传递给下游命令，从而导致下游命令过早地完成工作。结果导致数据不完整。XenMobile Mail Manager现在可以模拟管道本身，并在调用下游命令之前等待上游命令完成。这一更改将导致处理和捕获所有数据。(cxm - 52280)
• 如果在Exchange的策略更新命令中发生了不可解决的错误，则同一命令将长时间重复返回到工作队列。这种情况导致命令被多次发送到Exchange。在此版本的XenMobile Mail Manager中，导致错误的命令只会离散地多次返回到工作队列。(cxm - 52633)
• 如果特定邮箱的策略更新涉及允许或阻止所有设备:已发布Set-CASMailbox命令将失败，因为将空列表转换为空字符串而不是零．现在发送正确的数据。(cxm - 53759)
• 当处理一个新设备时，Exchange可以在一段时间内(通常是15分钟)将状态返回为“DeviceDiscovery”。XenMobile邮件管理器没有专门处理这种状态。XenMobile邮件管理器现在处理状态。在用户界面的“监控”页签中，用户可以过滤该状态的设备。(cxm - 53840)
• XenMobile邮件管理器没有检查写入XenMobile邮件管理器数据库的能力。因此，如果权限受到限制，则可能无法预测行为。XenMobile Mail Manager现在可以从数据库中捕获和验证所需的权限。XenMobile邮件管理器在测试连接时(消息显示)或在主配置窗口底部的数据库指示器(悬停为消息)中表示权限减少。(cxm - 54219)
• 根据当前的工作负载，当指向XenMobile Mail Manager服务时，可能不会立即停止。因此，服务似乎处于无响应状态。改进允许中断正在进行的任务，从而导致更优雅的关机。(cxm - 54282)

10.1.5版有什么新功能

XenMobile Mail Manager 10.1.5版本包含以下修复问题:

• 当Exchange对XenMobile Mail Manager活动应用节流时，没有迹象(除了日志之外)表明节流正在发生。使用此版本，用户可以将鼠标悬停在活动快照上，然后出现“节流”状态。此外，当XenMobile Mail Manager被限制时，在Exchange解除限制禁令之前，禁止启动主快照。(cxm - 49617)
• 如果XenMobile邮件管理器在主要快照期间被Exchange节流:在运行下一次快照尝试之前，可能允许的时间不足。此问题会导致进一步的节流和快照失败。XenMobile邮件管理器现在等待Exchange指定的快照尝试之间等待的最小时间。(cxm - 49618)
• 启用诊断时，命令文件显示Set-CasMailbox每个属性名前缺少连字符的命令。此问题仅出现在格式化诊断文件时，不会出现在实际的Exchange命令中。缺少连字符可以防止用户剪切命令并直接将其粘贴到PowerShell提示符中进行测试或验证。已添加连字符。(cxm - 52520)
• 形式的邮箱标识名,姓， Exchange在从查询返回数据时，在逗号前添加一个反斜杠。当XenMobile Mail Manager使用该标识查询更多数据时，必须去掉这个反斜杠。(cxm - 52635)

已知的限制

注意:

以下限制在版本10.1.6中得到解决。

XenMobile Mail Manager有一个已知的限制，可能导致Exchange命令失败。要将策略更改应用到Exchange，请使用aSet_CASMailbox命令由XenMobile邮件管理器发出。该命令可以接受两个设备列表:一个允许，一个阻止。该命令应用于与邮箱合作的设备。

这些列表被Microsoft API限制为256个字符。如果其中一个列表超过限制，则该命令将全部失败，从而阻止为邮箱的这些设备设置策略。报告的错误出现在XenMobile邮件管理器日志中，如下所示。这个例子是关于阻塞列表的。

"消息:'无法将参数' activesyncblockeddeviceid '绑定到目标。异常设置" ActiveSyncBlockedDeviceIDs ": "属性的长度太长。最大长度是256，提供的值的长度是…"

设备ID的长度可以有所不同，但一个好的指导方针是大约10个或更多的设备同时允许或阻止可能超过限制。尽管很少有这么多设备与特定的邮箱相关联，但这是有可能的。在XenMobile邮件管理器得到改进以处理此类场景之前，我们建议您将与用户和邮箱关联的设备数量限制在10个或更少。(cxm - 52633)

10.1.4版有什么新功能

XenMobile Mail Manager 10.1.4版本包含以下修复问题:

• 由于TLS 1.0和TLS 1.1的安全性较弱，PCI委员会正在弃用TLS 1.0和TLS 1.1。XenMobile Mail Manager增加了对1.2的支持。(cxm cxm - 38573 - 32560)
• XenMobile邮件管理器包含一个新的诊断文件。当使诊断在Exchange规范中选择，则生成一个新的快照历史文件。每次尝试快照时，都会向文件中添加包含快照结果的行。(cxm - 49631)
• 的“命令”诊断文件中没有显示允许或阻止的设备列表Set-CASMailbox命令。相反，内部类名显示在相关参数的文件中。XenMobile邮件管理器现在以逗号分隔的列表显示deviceid列表。(cxm - 50693)
• 当由于糟糕的规范而试图获取到Exchange的连接失败时:一个不正确的消息将覆盖错误消息:“所有连接在使用中”。现在会出现更多描述性的消息，例如“所有连接都不可操作”、“连接池为空”、“所有连接都已限制”和“没有可用连接”。(cxm - 50783)
• 有时，允许/阻止/擦除命令会在XenMobile邮件管理器内部缓存中多次排队。此问题会导致发送到Exchange的命令延迟。XenMobile邮件管理器现在只对每个命令的一个实例排队。(cxm - 51524)

10.1.3版有什么新功能

• 谷歌分析支持:我们想知道您是如何使用XenMobile邮件管理器的，这样我们就可以专注于在哪些方面可以使产品变得更好。

• 启用诊断的设置:一个使诊断的配置控制台中出现复选框配置对话框。

  

修复了10.1.3版本中的问题

• 在快照历史窗口时，显示快照当前状态的工具提示不反映实际状态。[CXM-5570] XenMobile Mail Manager偶尔无法写入Commands诊断文件。当发生这种情况时，不会完整地记录命令历史。(cxm - 49217)
• 当连接发生错误时，该连接可能不会被标记为“错误”。因此，后续命令可能试图使用该连接并导致另一个错误。(cxm - 49495)
• 当从Exchange服务器进行节流时，“检查运行状况”例程中可能引发异常。因此，发生错误或已过期的连接可能不会被清除。此外，XenMobile邮件管理器可能不会创建连接，直到节流时间到期。(cxm - 49794)。
• 当Exchange的最大会话数超过时，XenMobile邮件管理器会报告错误“设备捕获失败”，这不是一个准确的消息。相反，该消息应该表明XenMobile Mail Manager通常用于Exchange通信的两个会话正在使用中。(cxm - 49994)

10.1.2版有什么新功能

• 改进的Exchange连接:XenMobile Mail Manager使用PowerShell会话与Exchange通信。PowerShell会话，特别是在处理Office 365时，可能会在一段时间后变得不稳定，从而阻止后续命令的执行。XenMobile邮件管理器现在可以设置连接的过期时间。当连接到达过期时间时，XenMobile Mail Manager将优雅地关闭PowerShell会话并创建一个会话。通过这样做，PowerShell会话不太可能变得不稳定，从而大大降低了快照失败的几率。
• 改进的快照工作流:大容量快照操作耗时、流程密集。如果在快照期间发生错误，XenMobile邮件管理器现在会尝试多次(最多三次)来完成快照。后续的尝试不会从头开始。XenMobile邮件管理器继续从它离开的地方。这种增强在快照仍在进行时允许短暂错误通过，从而总体上提高了快照的成功率。
• 改进的诊断:通过在快照期间可选地生成三个新的诊断文件，现在可以更容易地对快照操作进行故障排除。这些文件有助于识别PowerShell命令问题、缺少信息的邮箱以及不能与邮箱关联的设备。管理员可以使用这些文件识别Exchange中可能不正确的数据。
• 提高内存使用率:XenMobile邮件管理器现在更有效地使用内存。管理员可以安排XenMobile邮件管理器自动重新启动，为系统提供一张白纸。
• Microsoft .NET Framework 4.6必备条件:Microsoft . net Framework的必备版本现在是4.6版。

固定的问题

• 提示凭据错误:Office 365会话不稳定经常导致此错误。改进的Exchange连接功能可以解决这个问题。(xmhelp-293, xmhelp-311, xmhelp-801)
• 邮箱和设备计数不准确:XenMobile邮件管理器改进了邮箱到设备的关联算法。改进的诊断功能有助于识别XenMobile邮件管理器认为不在其职责范围内的邮箱和设备。(xmhelp - 623)
• 允许/阻止/擦除命令不被识别:修复了有时XenMobile邮件管理器允许/阻止/擦除命令不被识别的错误。(xmhelp - 489)
• 内存管理:更好的内存管理和缓解。(xmhelp - 419)

体系结构

下图显示了Exchange ActiveSync的端点管理连接器的主要组件。有关详细的参考架构图，请参见体系结构．

这三个主要组成部分是:

• Exchange ActiveSync访问控制管理:与端点管理通信以从端点管理检索Exchange ActiveSync策略，并将此策略与任何本地定义的策略合并，以确定应该允许或拒绝访问Exchange的Exchange ActiveSync设备。本地策略允许扩展策略规则，允许根据Active Directory组、用户、设备类型或设备用户代理(通常是移动平台版本)进行访问控制。
• 远程PowerShell管理:负责调度和调用远程PowerShell命令来制定由Exchange ActiveSync访问控制管理编译的策略。定期获取Exchange ActiveSync数据库的快照，以检测新的或更改的Exchange ActiveSync设备。
• 流动服务供应商:提供了一个web服务接口，端点管理可以查询Exchange ActiveSync，查询黑莓设备，并发布控制操作，如删除ActiveSync和黑莓设备。

系统要求和前提条件

为Exchange ActiveSync使用端点管理连接器需要以下最低系统要求:

• Windows Server 2016、Windows Server 2012 R2或Windows Server 2008 R2服务包必须是英文服务器。对Windows Server 2008 R2 Service Pack 1的支持将于2020年1月14日结束。
• Microsoft SQL Server 2016 Service Pack 2、SQL Server 2014 Service Pack 3或SQL Server 2012 Service Pack 4。
• 微软。net Framework 4.6。
• 黑莓企业服务，版本5(可选)。

Microsoft Exchange Server的最低支持版本:

• 微软Office 365
• Exchange Server 2016
• Exchange Server 2013
• Exchange Server 2010 Service Pack 3(支持截止2020年1月14日)

先决条件

• 必须安装Windows管理框架。
  • PowerShell V5、V4和V3
• PowerShell的执行策略必须通过set - executionpolicy remotessigned设置为remotessigned。
• 运行Exchange ActiveSync连接器的计算机与远程Exchange Server之间的TCP端口80必须是开放的。

设备邮件客户端:并非所有电子邮件客户端都一致地为某个设备返回相同的ActiveSync ID。因为Exchange ActiveSync的连接器要求每个设备都有一个唯一的ActiveSync ID，所以只支持为每个设备一致生成相同的、唯一的ActiveSync ID的电子邮件客户端。这些电子邮件客户端已由Citrix测试，并且没有错误:

• 三星原生电子邮件客户端
• iOS原生电子邮件客户端

交流:运行Exchange的本地计算机的要求如下:

Exchange Configuration UI中指定的凭据必须能够连接到Exchange Server，并具有执行以下Exchange特定的PowerShell cmdlet的完全访问权限。

• Exchange Server 2010 SP2:
  • Get-CASMailbox
  • Set-CASMailbox
  • Get-Mailbox
  • Get-ActiveSyncDevice
  • Get-ActiveSyncDeviceStatistics
  • Clear-ActiveSyncDevice
  • Get-ExchangeServer
  • Get-ManagementRole
  • Get-ManagementRoleAssignment
• Exchange Server 2013和Exchange Server 2016:
  • Get-CASMailbox
  • Set-CASMailbox
  • Get-Mailbox
  • Get-MobileDevice
  • Get-MobileDeviceStatistics
  • Clear-MobileDevice
  • Get-ExchangeServer
  • Get-ManagementRole
  • Get-ManagementRoleAssignment
• 如果Exchange ActiveSync的连接器被配置为查看整个林，则必须已授予运行权限:Set-AdServerSettings - viewtotalforest $true
• 所提供的凭据必须被授予通过远程Shell连接到Exchange Server的权限。默认情况下，安装Exchange的用户具有此权限。
• 要建立远程连接并运行远程命令，凭据必须与远程计算机上的管理员用户对应。您可以使用Set-PSSessionConfiguration来消除管理需求，但是关于该命令的讨论超出了本文的范围。有关更多信息，请参阅Microsoft文章关于会话配置．
• Exchange Server必须配置为支持通过HTTP的远程PowerShell请求。通常，管理员在Exchange服务器上运行以下PowerShell命令即可完成所有操作:WinRM QuickConfig。
• 交易所有许多限制政策。其中一个策略控制每个用户允许并发的PowerShell连接数。Exchange 2010默认用户同时连接数为18。当达到连接限制时，用于Exchange ActiveSync的连接器无法连接到Exchange Server。有多种方法可以更改通过PowerShell允许的最大同时连接数，但这些方法超出了本文档的范围。如果感兴趣，请研究与PowerShell远程管理相关的Exchange节流策略。

Office 365 Exchange软件要求

• 权限:Exchange Configuration UI中指定的凭据必须能够连接到Office 365，并被赋予完全访问权限来运行以下Exchange特定的PowerShell cmdlet:
  • Get-CASMailbox
  • Set-CASMailbox
  • Get-Mailbox
  • Get-MobileDevice
  • Get-MobileDeviceStatistics
  • Clear-MobileDevice
  • Get-ExchangeServer
  • Get-ManagementRole
  • Get-ManagementRoleAssignment
• 特权:提供的凭据必须已被授予通过远程Shell连接到Office 365服务器的权限。缺省情况下，Office 365在线管理员具有必备的权限。
• 节流政策:交易所有许多限制政策。其中一个策略控制每个用户允许并发的PowerShell连接数。Office 365默认允许每个用户同时连接3个连接。当达到连接限制时，用于Exchange ActiveSync的连接器无法连接到Exchange Server。有多种方法可以更改通过PowerShell允许的最大同时连接数，但这些方法超出了本文档的范围。如果感兴趣，请研究与PowerShell远程管理相关的Exchange节流策略。

安装和配置

1. 单击XmmSetup。msi文件，然后按照安装程序中的提示安装Exchange ActiveSync的端点管理连接器。

2. 离开启动Configure实用程序在安装向导的最后一个屏幕中选择。或者，从开始菜单，打开Exchange ActiveSync的连接器。

3. 配置以下数据库属性:

   • 选择配置>数据库选项卡。
   • 输入SQL Server的名称(默认为localhost)。
   • 数据库保持默认值CitrixXmm．

4. 选择SQL使用的以下身份验证模式之一:

   • SQL:请输入合法SQL用户的用户名和密码。
   • Windows集成:如果选择此选项，则XenMobile Mail Manager Service的登录凭据必须更改为具有访问SQL Server权限的Windows帐户。要做到这一点，打开控制面板>管理工具>服务，右键单击“XenMobile邮件管理服务”条目，然后单击登录选项卡。

   如果Windows Integrated也被选为黑莓数据库连接，这里指定的Windows帐户也必须被授予访问黑莓数据库的权限。

5. 点击测试连接检查是否可以连接到SQL Server，然后单击保存．

6. 一条消息提示您重新启动服务。点击是的．

   

7. 配置一个或多个Exchange服务器:

   • 如果管理单个Exchange环境，则只指定单个服务器。如果管理多个Exchange环境，请为每个Exchange环境指定一个Exchange Server。
   • 单击配置> Exchange选项卡，然后单击添加．

   

8. 选择Exchange Server环境的类型:在前提下或Office 365．

   • 如果您选择在前提下，输入用于远程PowerShell命令的Exchange服务器的名称。
   • 进入用户名的Windows标识，该标识在Exchange服务器上具有相应的权限(如“要求”部分中所指定的)，然后输入密码对于用户。
   • 选择“重要快照”的运行时间表。主快照检测每个Exchange ActiveSync伙伴关系。
   • 选择运行“次要快照”的时间表。小快照检测新创建的Exchange ActiveSync伙伴关系。
   • 选择快照类型:深或浅．浅快照通常要快得多，足以执行Exchange ActiveSync连接器的所有Exchange ActiveSync访问控制功能。深度快照可能需要更长的时间，并且仅当移动服务提供程序为ActiveSync启用时才需要。此选项允许端点管理查询非托管设备。
   • 选择默认访问:允许，块,或不变．此设置控制如何处理除显式端点管理或本地规则标识的设备之外的所有设备。如果您选择允许， ActiveSync访问所有这样的设备是允许的。如果您选择块，访问被拒绝。如果您选择不变，没有变化。
   • 选择ActiveSync命令模式:PowerShell或模拟．
   • 在PowerShell模式下，Exchange ActiveSync连接器发出PowerShell命令来实施所需的访问控制。在模拟模式下，Exchange ActiveSync的连接器不发出PowerShell命令，而是将预期的命令和预期的结果记录到数据库。在模拟模式下，用户可以使用监控选项卡查看如果启用PowerShell模式会发生什么。
   • 在连接过期，为连接的生命周期设置小时和分钟。当连接达到指定的年龄时，该连接被标记为过期，因此该连接永远不会再次使用。当不再使用过期的连接时，Exchange ActiveSync连接器将优雅地关闭连接。当再次需要连接时，如果没有可用的连接，则初始化一个新连接。如果不指定，则使用默认的30分钟。
   • 选择查看整个森林为Exchange ActiveSync配置连接器，以查看Exchange环境中的整个活动目录林。
   • 选择认证协议:Kerberos或基本．Exchange ActiveSync的连接器支持本地部署的基本身份验证。这使连接器可以在连接器服务器不是Exchange服务器所在域的成员时使用。
   • 点击测试连接检查是否可以连接到Exchange服务器，然后单击保存．
   • 一条消息提示您重新启动服务。点击是的．

9. 接入规则配置:选择配置>接入规则选项卡，单击Citrix端点管理规则选项卡，然后单击添加．

   

10. 在端点管理服务器服务属性页，修改URL字符串以指向端点管理服务器。例如，如果实例名为zdm,输入https:// < XdmHostName > / zdm /服务/ MagConfigService．本例中为replaceXdmHostName端点管理服务器的IP或DNS地址。

    

    • 输入服务器的授权用户。
    • 输入用户密码。
    • 的默认值基线时间间隔，三角洲间隔,超时值。
    • 点击测试连接检查与服务器的连接，然后单击好吧．

    如果禁用复选框时，端点管理邮件服务不会从端点管理收集策略。

11. 单击当地规则选项卡。

    

    • 您可以根据“ActiveSync设备ID”、“设备类型”、“AD组”、“用户”或“设备UserAgent”添加本地规则。在列表中，选择适当的类型。
    • 在文本框中输入文本或文本片段。可选地，单击查询按钮以查看与片段匹配的实体。

    对于Group以外的所有类型，系统依赖于快照中已经找到的设备。因此，如果您刚刚开始并且还没有完成快照，则没有可用的实体。

    • 选择文本值，然后单击允许或否认把它添加到规则列表窗格在右侧。控件右侧的按钮可以更改规则的顺序或删除规则规则列表窗格。顺序很重要，因为对于给定的用户和设备，规则将按照所示的顺序计算，较高的规则(靠近顶部)上的匹配将导致后续规则无效。例如，如果您有一个允许所有iPad设备的规则，而后续的规则阻止用户Matt, Matt的iPad仍将被允许，因为iPad规则的有效优先级高于Matt规则。
    • 若要对规则列表中的规则执行分析，以查找任何潜在的覆盖、冲突或补充构造，请单击分析然后点击保存．

12. 如果要构造操作Active Directory组的本地规则，请单击配置LDAP然后配置LDAP连接属性。

    

13. 若要配置移动服务提供程序，请单击配置> MSP选项卡。

    移动服务提供商是可选的。只有当Endpoint Management也配置为使用Mobile Service Provider接口查询非托管设备时，才需要进行该设置。

    • 将服务传输类型设置为HTTP或HTTPS下载流动服务提供者服务。

    • 设置服务端口(通常为80或443)用于移动服务提供程序服务。如果使用端口443，则该端口需要在IIS中绑定到它的SSL证书。

    • 设置授权组织或用户．这将设置能够从端点管理连接到移动服务提供程序服务的用户或一组用户。

    • 设置是否启用ActiveSync查询。如果端点管理服务器启用了ActiveSync查询，则必须将一个或多个Exchange服务器的快照类型设置为深．这种设置可能会导致快照的性能损失。

    • 缺省情况下，匹配正则表达式的ActiveSync设备WorxMail *将不会发送到端点管理。若要更改此行为，请更改过滤器ActiveSync必要时填写。空白表示将所有设备转发到端点管理。

    • 点击保存．

14. 可选配置一个或多个黑莓企业服务器(BES)实例:单击添加，输入BES SQL server的服务器名称

    

    • 输入BES管理数据库的数据库名称。

    • 选择身份验证模式。说明如果选择“Windows集成认证”，则Exchange ActiveSync服务连接器的用户帐号为连接BES SQL Server时使用的帐号。如果还为连接器数据库连接选择Windows Integrated，则还必须授予此处指定的Windows帐户对连接器数据库的访问权。

    • 如果您选择SQL验证，输入用户名和密码。

    • 设置同步时间．这是用于连接到BES SQL Server并检查任何设备更新的计划。

    • 点击测试连接检查与SQL Server的连通性。如果选择Windows Integrated，此测试使用当前登录用户，而不是连接器服务用户，因此不能准确地测试SQL身份验证。

    • 要支持远程擦除和重置密码的黑莓设备从端点管理，选择启用复选框。

    • 输入BES完全限定域名(FQDN)。

    • 输入admin web服务使用的BES端口。

    • 输入BES服务所需的完全合格用户和密码。

    • 点击测试连接测试与BES的连接，然后单击保存．

使用ActiveSync id执行电子邮件策略

您的公司电子邮件政策可能规定某些设备不被批准用于公司电子邮件。要遵守此策略，您需要确保员工不能从此类设备访问公司电子邮件。用于Exchange ActiveSync的端点管理连接器和端点管理一起工作以强制执行此类电子邮件策略。终端管理设置企业邮件访问策略。当未经批准的设备注册端点管理时，Exchange ActiveSync的连接器将强制执行该策略。

设备上的电子邮件客户端使用设备ID(也称为ActiveSync ID)向Exchange Server(或Office 365)发布自己，该设备ID用于标识设备。安全集线器获取类似的标识符，并在注册设备时将标识符发送到端点管理。通过比较两个设备id, Exchange ActiveSync的连接器可以确定特定设备是否应该具有企业电子邮件访问权限。下图说明了这个概念:

如果端点管理向Exchange ActiveSync连接器发送的ActiveSync ID与设备发布到Exchange的ID不同，则连接器不能指示Exchange如何处理该设备。

匹配ActiveSync id在大多数平台上可靠地工作。但是，Citrix发现在某些Android实现上，来自设备的ActiveSync ID与邮件客户端向Exchange发布的ID不同。为了缓解这个问题，你可以做以下的事情:

• 在三星SAFE平台上，从Endpoint Management推送设备ActiveSync配置。
• 在所有其他Android平台上，Citrix建议您使用Citrix安全邮件。

为了确保您的公司电子邮件访问策略得到正确执行，您可以采取防御性安全立场。为Exchange ActiveSync配置端点管理连接器，通过将静态策略设置为来阻止电子邮件否认默认情况下。这意味着，如果员工在Android设备上配置了另一个电子邮件客户端，而ActiveSync ID检测不起作用，公司电子邮件将拒绝该员工访问。

访问控制规则

Exchange ActiveSync的端点管理连接器提供了一种基于规则的方法，用于动态配置Exchange ActiveSync设备的访问控制。连接器访问控制规则由两部分组成:匹配表达式和所需的访问状态(允许或阻塞)。可以针对给定的Exchange ActiveSync设备评估规则，以确定该规则是否适用于该设备，或与该设备匹配。匹配表达式有多种;例如，一个规则可以匹配给定设备类型的所有设备，或特定的Exchange ActiveSync设备ID，或特定用户的所有设备，等等。

在规则列表中添加、删除和重新排列规则的任何时候，单击取消按钮将规则列表恢复到第一次打开时的状态。除非你点击保存，如果关闭Configure工具，对该窗口所做的任何更改都将丢失。

Exchange ActiveSync的端点管理连接器有三种类型的规则:本地规则、端点管理服务器规则(也称为XDM规则)和默认访问规则。

当地规则:本地规则优先级最高:如果设备被本地规则匹配到，则规则评估停止。不会参考端点管理服务器规则和默认访问规则。本地规则在本地配置到用于Exchange ActiveSync的连接器配置>接入规则>本地规则选项卡。支持匹配基于用户在给定Active Directory组中的成员关系。支持匹配基于以下字段的正则表达式:

• 主同步设备ID
• ActiveSync设备类型
• 用户主体名(UPN)
• ActiveSync用户代理(通常是设备平台或电子邮件客户端)

只要主快照已经完成并找到了设备，您就应该能够添加普通或正则表达式规则。当主快照未完成时，只能添加正则表达式规则。

端点管理服务器规则:端点管理服务器规则是对外部端点管理服务器的引用，该服务器提供有关被管理设备的规则。端点管理服务器可以配置自己的高级规则，这些规则根据端点管理所知道的属性(例如设备是否越狱或设备是否包含禁止的应用程序)识别允许或阻止的设备。端点管理评估高级规则并生成一组允许或阻止的ActiveSync设备id，然后将其交付给XenMobile邮件管理器。

默认访问规则:默认访问规则是唯一的，因为它可能匹配每个设备，并且总是在最后计算。该规则是“全面捕捉”规则，这意味着如果给定设备与本地或端点管理服务器规则不匹配，则设备的期望访问状态由默认访问规则的期望访问状态决定。

• 默认访问-允许:允许与本地或端点管理服务器规则不匹配的任何设备。
• 默认访问-阻断:任何与本地或端点管理服务器规则不匹配的设备都将被阻止。
• 默认访问-不变:任何与本地或端点管理服务器规则不匹配的设备的访问状态都不会被用于Exchange ActiveSync的连接器以任何方式修改。如果设备已被Exchange置于隔离模式，则不采取任何处理措施;例如，从隔离模式中删除设备的唯一方法是显式地让本地规则或XDM规则覆盖隔离。

关于规则评估

对于Exchange向连接器报告Exchange ActiveSync的每个设备，规则将按顺序评估，优先级从高到低，如下所示:

• 当地规则
• 端点管理服务器规则
• 默认访问规则

当找到匹配时，就停止求值。例如，如果本地规则与给定设备匹配，则该设备将不会根据任何端点管理服务器规则或默认访问规则进行评估。在给定的规则类型中也是如此。例如，如果在本地规则列表中给定设备有多个匹配项，当遇到第一个匹配项时，计算就会停止。

当设备属性发生变化、添加或删除设备或规则本身发生变化时，Exchange ActiveSync连接器将重新计算当前定义的规则集。主要快照以可配置的间隔接收设备属性更改和删除。次要快照以可配置的时间间隔拾取新设备。

Exchange ActiveSync也有控制访问的规则。了解这些规则在Exchange ActiveSync连接器上下文中是如何工作的非常重要。Exchange可以配置三个级别的规则:个人豁免、设备规则和组织设置。Exchange ActiveSync的连接器通过编程方式发出Remote PowerShell请求来影响个人豁免列表，从而自动化访问控制。这些是与给定邮箱关联的允许或阻止的Exchange ActiveSync设备id的列表。部署后，Exchange ActiveSync连接器将有效地接管Exchange中豁免列表功能的管理。查看微软的文章，控制设备接入．

在为同一个字段定义了多个规则的情况下，分析尤其有用。您可以排除规则之间的关系。您从规则字段的角度执行分析;例如，根据正在匹配的字段分组分析规则，如ActiveSync设备ID、ActiveSync设备类型、用户、用户代理等。

规则的术语

• 最重要的规则:当多个规则可以应用于同一设备时，就会发生覆盖。因为规则是根据列表中的优先级计算的，所以可能应用的后一个规则实例可能永远不会计算。
• 冲突的规则:当多个规则可以应用于同一设备，但访问(允许/阻止)不匹配时，就会发生冲突。如果冲突规则不是正则表达式规则，冲突总是隐式地意味着重写
• 补充规则:当多个规则是正则表达式规则时，就会出现补充，因此可能需要确保两个(或多个)正则表达式可以组合成一个正则表达式规则，或者不重复功能。补充规则也可能在其访问中发生冲突(允许/阻止)。
• 基本规则:主规则是在对话框中被单击的规则。该规则在视觉上由围绕它的实线表示。规则还会有一个或两个向上或向下的绿色箭头。如果箭头向上，则该箭头表示在主要规则之前有辅助规则。如果箭头指向下方，则表示在主要规则之后还有辅助规则。任何时候只能激活一个主规则。
• 辅助规则:辅助规则以某种方式通过覆盖、冲突或补充关系与主要规则相关。规则在视觉上由虚线边框表示。对于每个主要规则，可以有一个或多个辅助规则。单击任何带下划线的条目时，突出显示的辅助规则总是来自主规则的角度。例如，辅助规则被主规则覆盖，或辅助规则在访问时与主规则发生冲突，或辅助规则将补充主规则。

规则类型如何出现在“规则分析”对话框中

当没有冲突、覆盖或补充时，“规则分析”对话框中没有带下划线的条目。点击任何项目都没有影响;例如，正常的选定项目的视觉效果会出现。

“规则分析”窗口有一个复选框，选中该复选框后，只显示冲突、覆盖、冗余或补充的规则。

当发生重写时，至少有两条规则将被下划线显示:主要规则和辅助规则。至少有一个辅助规则以较浅的字体显示，以表明该规则已被更高优先级的规则覆盖。您可以单击已覆盖的规则，以了解哪些规则或哪些规则已覆盖该规则。任何时候，由于该规则是主要规则或辅助规则而突出显示被覆盖的规则时，它旁边会出现一个黑色圆圈，进一步直观地表明该规则是不活动的。例如，在单击规则之前，会出现如下对话框:

单击优先级最高的规则，弹出对话框，如下所示:

在本例中，为正则表达式规则WorkMail。*主要规则(由实线边框表示)和正常规则workmailc633313818辅助规则(由虚线边框表示)。辅助规则旁边的黑点是一个视觉提示，它进一步表明该规则是不活动的(永远不会被计算)，因为它前面有更高优先级的正则表达式规则。单击被覆盖规则后，弹出如下对话框:

在上面的例子中，正则表达式规则WorkMail。*辅助规则(由虚线边框表示)是常规规则吗workmailc633313818主要规则(由实线边框表示)。对于这个简单的例子，没有太大的区别。有关更复杂的示例，请参阅本主题后面的复杂表达式示例。在定义了许多规则的场景中，单击被覆盖的规则将快速确定哪个或哪个规则覆盖了它。

当发生冲突时，至少有两条规则将被强调，主要规则和辅助规则。冲突中的规则用红点表示。只有定义了两个或两个以上的正则表达式规则时，才可能出现相互冲突的规则。在所有其他冲突场景中，不仅会有冲突，而且会有覆盖。在简单示例中单击任意一个规则之前，会出现如下对话框:

通过检查这两条正则表达式规则，可以明显看出第一条规则允许所有设备ID包含“App”的设备，而第二条规则拒绝所有设备ID包含“App”的设备:．此外，尽管第二条规则拒绝设备ID包含的所有设备:由于allow规则的优先级更高，因此任何具有该匹配条件的设备都不会被拒绝。单击第一条规则后，弹出对话框如下所示:

在上述场景中，主规则(正则表达式规则应用。*)和辅助规则(正则表达式规则: . *)均以黄色突出显示。这只是一个可视化警告，提醒您对单个可匹配字段应用了多个正则表达式规则，这可能意味着存在冗余问题或更严重的问题。

在同时存在冲突和覆盖的场景中，两者都是主要规则(正则表达式规则)应用。*)和辅助规则(正则表达式规则: . *)以黄色突出显示。这只是一个可视化警告，提醒您对单个可匹配字段应用了多个正则表达式规则，这可能意味着存在冗余问题或更严重的问题。

在前面的例子中很容易看到第一条规则(正则表达式规则)三星。)不仅覆盖下一个规则(普通规则SAMSUNG-SM-G900A / 101.40402)，但这两个规则在访问方面有所不同(主要规则指定允许，辅助规则指定阻止)。第二条规则(正常规则SAMSUNG-SM-G900A / 101.40402)以较浅的文本显示，以表明它已被覆盖，因此处于非活动状态。

单击正则表达式规则后，弹出对话框如下所示:

主规则(正则表达式规则三星。)后面跟着一个红点，表示其访问状态与一个或多个辅助规则冲突。辅助规则(正常规则SAMSUNG-SM-G900A / 101.40402)后面跟着一个红点，表示它的访问状态与主规则冲突。该规则后面还跟着一个黑点，表示它已被覆盖，因此是不活动的。

至少有两条规则将被强调，主要规则和辅助规则。相互补充的规则只涉及正则表达式规则。当规则相互补充时，它们用黄色的覆盖层表示。在单击任何一个规则之前，在一个简单的例子中，对话框如下所示:

直观检查可以很容易地发现，这两个规则都是正则表达式规则，它们都应用于Exchange ActiveSync的端点管理连接器中的ActiveSync设备ID字段。单击第一条规则后，对话框如下所示:

主规则(正则表达式规则WorkMail。*)用黄色覆盖突出显示，以表明至少还有一个辅助规则是正则表达式。辅助规则(正则表达式规则三星。)用黄色覆盖突出显示，以指示它和主规则都是正则表达式规则，应用于Exchange ActiveSync连接器中的相同字段。在本例中，该字段是ActiveSync设备ID。正则表达式可以重叠，也可以不重叠。由您来决定您的正则表达式是否精心设计。

一个复杂表达式的例子

可能会发生许多潜在的覆盖、冲突或补充，因此不可能给出所有可能场景的示例。下面的示例讨论了不应该做什么，同时也说明了规则分析可视化构造的全部功能。大多数项目在下面的图中划线。许多项以较浅的字体呈现，这表明存在问题的规则已以某种方式被更高优先级的规则覆盖。列表中还包括许多正则表达式规则，如所示图标。

如何分析一个覆盖

要查看哪个或哪些规则覆盖了特定的规则，请单击该规则。

示例1:这个例子分析了为什么zentrain01@zenprise.com已被覆盖。

主规则(AD-Group规则zenprise /培训/ ZenTraining B，其中zentrain01@zenprise.com是会员)具有以下特点:

• 以蓝色突出显示，并具有实边。
• 有一个向上的绿色箭头(表示辅助规则都在上面)。
• 后面跟着一个红圈和一个黑圈，分别表示一个或多个辅助规则与其访问冲突，并且主规则已被覆盖，因此处于非活动状态。

当你向上滚动时，你会看到以下内容:

在本例中，有两个辅助规则覆盖了主要规则:正则表达式规则禅宗。正常规则zentrain01@zenprise.com(zenprise /培训/ ZenTraining)．在后一个辅助规则的情况下，所发生的是活动目录组规则ZenTraining一包含用户zentrain01@zenprise.com、Active Directory组规则ZenTraining B也包含用户zentrain01@zenprise.com．但是，由于辅助规则的优先级高于主要规则，因此将覆盖主要规则。主规则的访问权限是Allow，因为两个辅助规则的访问权限都是Block，所以后面都跟着一个红圈，以进一步表示访问冲突。

示例2:这个例子说明了为什么ActiveSync设备ID为069026593 e0c4aeab8de7dd589aced33已被覆盖:

主规则(普通设备ID规则069026593 e0c4aeab8de7dd589aced33)具有以下特点:

• 以蓝色突出显示，并具有实边。
• 有一个向上的绿色箭头(表示辅助规则在其上方)。
• 后面跟着一个黑色圆圈，表示辅助规则已覆盖了主要规则，因此处于非活动状态。

在这种情况下，一个辅助规则将覆盖主规则:正则表达式ActiveSync设备ID规则为3 e。*因为正则表达式3 e。*将匹配069026593 e0c4aeab8de7dd589aced33，主规则将永远不会被求值。

如何分析补充和冲突

在本例中，主规则是正则表达式ActiveSync设备类型规则联系。*其特点如下:

• 由带有黄色覆盖的实线边框表示，作为警告，表示对特定规则字段(在本例中为ActiveSync设备类型)操作的正则表达式规则不止一个。
• 两个箭头分别指向向上和向下，表示至少有一个优先级较高的辅助规则和至少一个优先级较低的辅助规则。
• 它旁边的红色圆圈表示至少有一个辅助规则的访问设置允许哪个与主要规则的访问冲突块
• 有两个辅助规则:正则表达式ActiveSync设备类型规则山姆。*正则表达式ActiveSync设备类型规则穿心莲内酯。．
• 这两个辅助规则都用破折号来表示它们是辅助规则。
• 这两个辅助规则都用黄色覆盖，以表明它们也应用于ActiveSync设备类型的规则字段。
• 在这种情况下，您应该确保它们的正则表达式规则没有冗余。

如何进一步分析规则

本示例从主要规则的角度探讨了规则关系如何始终存在。上面的示例展示了如何将单击正则表达式规则应用到值为的设备类型的规则字段联系。*．单击辅助规则穿心莲内酯。突出显示了一组不同的辅助规则。

该示例显示了包含在规则关系中的重写规则。该规则为普通的ActiveSync设备类型规则安卓，它将被覆盖(由它旁边的浅色字体和黑色圆圈表示)，并且在访问时与主规则正则表达式ActiveSync设备类型规则发生冲突穿心莲内酯。．该规则以前是单击之前的辅助规则。在上面的例子中，正常的ActiveSync设备类型规则安卓，没有显示为辅助规则，因为从当时主要规则(正则表达式ActiveSync设备类型规则)的角度来看联系。*)，与之无关。

使用实例配置正则表达式本地规则

1. 单击访问规则s选项卡。

   

2. 在设备ID列表中，选择要创建本地规则的字段。

3. 单击放大镜图标以显示所选字段的所有唯一匹配项。在本例中，字段设备类型已选择，选项显示在下面的列表框中。

   

4. 单击结果列表框中的一个项目，然后单击以下选项之一:

   • 允许意味着Exchange将被配置为允许所有匹配设备的ActiveSync流量。
   • 否认意味着Exchange将被配置为拒绝所有匹配设备的ActiveSync流量。

   在本例中，拒绝访问设备类型为SamsungSPhl720的所有设备。

   

添加正则表达式

正则表达式局部规则可以通过出现在它们旁边的图标-来区分．要添加正则表达式规则，可以从给定字段的结果列表中的现有值构建正则表达式规则(只要主要快照已经完成)，也可以简单地输入所需的正则表达式。

从现有字段值构建正则表达式

1. 单击访问规则选项卡。

   

2. 在设备ID列表中，选择要创建正则表达式“本地规则”的字段。

3. 单击放大镜图标以显示所选字段的所有唯一匹配项。在本例中，字段设备类型已选择，选项显示在下面的列表框中。

   

4. 单击结果列表中的一个项目。在这个例子中，SAMSUNGSPHL720已选中，并出现在相邻的文本框中设备类型．

   

5. 要允许所有设备类型的设备类型值中包含“Samsung”，按以下步骤添加正则表达式规则:

   a.单击所选项文本框内的。

   b.将文本从SAMSUNGSPHL720来三星。．

   c.确认选中“正则表达式”前的复选框。

   d。点击允许．

   

构建访问规则

1. 单击当地规则选项卡。

2. 输入正则表达式时，需要同时使用“Device ID”列表和“selected item”文本框。

   

3. 选择要匹配的字段。这个例子使用了设备类型．
4. 输入正则表达式。这个例子使用了三星。

5. 确保已选中正则表达式复选框，然后单击允许或否认．在这个例子中，选项是允许．最终结果如下:

   

寻找设备

通过选择正则表达式复选框，可以对匹配给定表达式的特定设备运行搜索。此特性仅在主快照成功完成时可用。即使不打算使用正则表达式规则，也可以使用此特性。例如，假设您想要查找所有具有该文本的设备workmail在ActiveSync设备ID中。要做到这一点，请遵循以下步骤。

1. 单击访问规则选项卡。

2. 确保设备匹配字段选择器设置为设备ID(默认值)。

   

3. 在选中的项目文本框内单击(如图中蓝色部分所示)，然后键入workmail。*．

4. 确保选中正则表达式复选框，然后单击放大镜图标，将显示匹配项，如下图所示。

   

将单个用户、设备或设备类型添加到静态规则

在“ActiveSync设备”页签中，可以根据用户、设备ID或设备类型添加静态规则。

1. 单击ActiveSync设备选项卡。

2. 在列表中，右键单击用户、设备或设备类型，选择是否允许您的选择。

   下图显示了选择user1时的允许/拒绝选项。

   

设备监控

的监控在端点管理连接器Exchange ActiveSync选项卡，可以让您浏览已检测到的Exchange ActiveSync和黑莓设备，以及已发出的自动化PowerShell命令的历史记录。的监控TAB包含以下三个选项卡:

• ActiveSync设备:
  • 单击，可以导出已显示的ActiveSync设备伙伴关系出口按钮。
  • 属性，可以添加本地(静态)规则用户，设备ID,或类型列，并选择适当的允许或阻止规则类型。
  • 若要折叠展开的行，请按ctrl -单击展开的行。
• 黑莓手机
• 自动化的历史

的配置TAB显示所有快照的历史记录。快照历史记录显示快照发生的时间、耗时、检测到多少设备以及发生的任何错误:

• 在交换选项卡，单击所需Exchange服务器的“信息”图标。
• 下MSP选项卡，点击所需的黑莓服务器的信息图标。

故障排除和诊断

Exchange ActiveSync的端点管理连接器将错误和其他操作信息记录到其日志文件中:安装文件夹\ \ XmmWindowsService.log日志。Exchange ActiveSync的连接器还将重要事件记录到Windows事件日志。

更改日志级别

Exchange ActiveSync的端点管理连接器包括以下日志级别:错误、信息、警告、调试和跟踪。

注意:

每个连续的关卡都会生成更多细节(更多数据)。例如，Error级别提供最少的细节，而Trace级别提供最多的细节。

修改日志级别操作步骤

1. 在C:\Program Files\Citrix\Citrix端点管理连接器，打开nlog。配置文件。

2. 在<规定>部分，更改minilevel参数设置为您喜欢的日志级别。例如:

3. 保存文件。

   更改立即生效。您不需要重新启动Exchange ActiveSync的连接器。

常见的错误

以下是一些常见错误:

• Exchange ActiveSync服务的连接器未启动

  检查日志文件和Windows事件日志中的错误。典型原因如下:

  • Exchange ActiveSync服务连接器无法访问SQL Server。这可能是由以下问题引起的:

    • SQL Server服务未运行。
    • 身份验证失败。

    如果配置了Windows集成身份验证，则Exchange ActiveSync服务连接器的用户帐户必须是允许的SQL登录。Exchange ActiveSync服务连接器的帐户默认为“本地系统”，但可以更改为具有本地管理员权限的任何帐户。如果配置了SQL身份验证，则必须在SQL中正确配置SQL登录。

  • MSP配置的端口不可用。监听端口必须选择未被系统上其他进程使用的端口。

• 端点管理无法连接到MSP

  检查MSP服务端口和传输配置是否正确配置> MSPExchange ActiveSync控制台连接器的选项卡。检查授权组或用户是否设置正确。

  如果配置了HTTPS，则必须安装有效的SSL服务器证书。如果安装了IIS，可以使用IIS管理器安装证书。如果未安装IIS，请参见安装证书如何:使用SSL证书配置端口．

  Exchange ActiveSyncr的连接器包含一个实用程序，用于测试到MSP服务的连接性。运行InstallFolder\ msptestservicecliente .exe程序，并将URL和凭据设置为将在端点管理中配置的URL和凭据，然后单击测试连接．这模拟端点管理发出的web服务请求。如果配置了HTTPS，则必须指定服务器的实际主机名(SSL证书中指定的名称)。

  当使用测试连接，请确保至少有一个ActiveSyncDevice记录，否则测试可能会失败。

  

故障诊断工具

在Support\PowerShell文件夹中有一组用于故障排除的PowerShell实用程序。

故障排除工具对用户邮箱和设备进行深入分析，检测错误条件和潜在的故障区域，并对用户进行深入的RBAC分析。它可以将所有cmdlet的原始输出保存到文本文件中。