Problembehandlung beim Intune Exchange Connector
Dieser Artikel enthält Anleitungen zur Problembehandlung, um häufige Probleme mit dem lokalen Intune Exchange Connector zu beheben. Informationen zur Problembehandlung bestimmter Fehlermeldungen finden Sie unter Beheben häufiger Fehler für den Intune Exchange Connector.
Wichtig
Ab Juli 2020 ist die Unterstützung für den Exchange-Connector veraltet und durch exchange hybride moderne Authentifizierung (HMA) ersetzt.
Bestandskunden mit einem aktiven Connector können die aktuelle Funktionalität weiterhin nutzen. Neu- und Bestandskunden, die nicht über einen aktiven Connector verfügen, können keine neuen Connectors mehr erstellen oder Exchange ActiveSync-Geräte (EAS) über Intune verwalten. Für diese Mandanten empfiehlt Microsoft die Verwendung von Exchange HMA, um den Zugriff auf Exchange lokal zu schützen.
Vorbereitende Schritte
Bevor Sie mit der Behandlung eines Exchange Connector-Problems in Intune beginnen, sammeln Sie einige grundlegende Informationen, damit Sie auf einer soliden Grundlage arbeiten. Dieser Ansatz kann Ihnen helfen, die Art des Problems besser zu verstehen und es schneller zu beheben.
- Vergewissern Sie sich, dass Ihr Prozess die Installationsanforderungen erfüllt. Weitere Informationen finden Sie unter Einrichten des lokalen Intune Exchange-Connectors.
- Vergewissern Sie sich, dass Ihr Konto sowohl über Exchange- als auch Intune Administratorberechtigungen verfügt.
- Notieren Sie sich den vollständigen und genauen Fehlermeldungstext, details und den Ort, an dem die Meldung angezeigt wird.
- Ermitteln Sie, wann das Problem aufgetreten ist:
- Richten Sie den Connector zum ersten Mal ein?
- Funktionierte der Connector ordnungsgemäß und schlägt dann fehl?
- Welche Änderungen wurden in der Intune-Umgebung, in der Exchange-Umgebung oder auf dem Computer vorgenommen, auf dem die Connectorsoftware ausgeführt wird, wenn es funktionierte?
- Wer ist die MDM-Autorität?
- Welche Version von Exchange verwenden Sie?
Verwenden von PowerShell zum Abrufen weiterer Daten zu Exchange Connector-Problemen
- Um eine Liste aller mobilen Geräte für ein Postfach abzurufen, verwenden Sie
Get-MobileDeviceStatistics -mailbox mbx
- Um eine Liste der SMTP-Adressen für ein Postfach abzurufen, verwenden Sie
Get-Mailbox -Identity user | select emailaddresses | fl
- Um ausführliche Informationen zum Zugriffsstatus eines Geräts zu erhalten, verwenden Sie
Get-CASMailbox <upn> | fl
Überprüfen der Connectorkonfiguration
Überprüfen Sie die Anforderungen für den lokalen Exchange-Connector , um sicherzustellen, dass Ihre Umgebung und der Connector ordnungsgemäß konfiguriert sind.
Allgemeine Überlegungen zum Connector
Stellen Sie sicher, dass Ihre Firewall- und Proxyserver die Kommunikation zwischen dem Server, der den Intune Exchange Connector hostet, und dem Intune-Dienst zulassen.
Der Computer, der den Intune Exchange Connector und den Exchange Client Access Server (CAS) hostet, sollte in die Domäne eingebunden sein und sich im gleichen LAN befinden. Stellen Sie sicher, dass die erforderlichen Berechtigungen für das Konto hinzugefügt werden, das vom Intune Exchange-Connector verwendet wird.
Das Benachrichtigungskonto wird verwendet, um AutoErmittlungseinstellungen abzurufen. Weitere Informationen zur AutoErmittlung in Exchange finden Sie unter AutoErmittlungsdienst in Exchange Server.
Der Intune Exchange Connector sendet eine Anforderung an die EWS-URL, indem die Anmeldeinformationen des Benachrichtigungskontos verwendet werden, um Benachrichtigungs-E-Mail-Nachrichten zusammen mit dem Link Erste Schritte (zum Registrieren bei Intune) zu senden. Die Verwendung des Links Erste Schritte zum Registrieren ist eine Voraussetzung für Android-Geräte, die keine Knox-Geräte sind. Andernfalls werden diese Geräte durch bedingten Zugriff blockiert.
Häufige Probleme mit Connectorkonfigurationen
- Kontoberechtigungen: Stellen Sie im Dialogfeld Microsoft Intune Exchange Connector sicher, dass Sie ein Benutzerkonto angegeben haben, das über die entsprechenden Berechtigungen zum Ausführen der erforderlichen Windows PowerShell Exchange-Cmdlets verfügt.
- Benachrichtigungs-E-Mail-Nachrichten: Aktivieren Sie Benachrichtigungen, und geben Sie ein Benachrichtigungskonto an.
- Synchronisierung des Clientzugriffsservers: Geben Sie beim Konfigurieren des Exchange-Connectors einen Cas mit der niedrigsten Netzwerklatenz für den Server an, auf dem der Exchange-Connector gehostet wird. Die Kommunikationslatenz zwischen dem CAS und dem Exchange-Connector kann die Geräteermittlung verzögern, insbesondere wenn Exchange Online Dedicated verwendet wird.
- Synchronisierungszeitplan: Ein Benutzer mit einem neu registrierten Gerät kann beim Zugriff verzögert werden, bis der Exchange-Connector mit dem Exchange-Clientzugriffsserver synchronisiert wird. Eine vollständige Synchronisierung findet einmal täglich statt, und eine Deltasynchronisierung (schnell) erfolgt mehrmals täglich. Sie können eine schnelle oder vollständige Synchronisierung manuell erzwingen , um Verzögerungen zu minimieren.
Ein Exchange ActiveSync Gerät wird von Exchange nicht erkannt
Wenn ein Exchange ActiveSync Gerät nicht von Exchange erkannt wird, überwachen Sie die Exchange-Connectoraktivität, um festzustellen, ob der Exchange-Connector mit dem Exchange-Server synchronisiert wird. Wenn seit dem Beitritt des Geräts keine Synchronisierung erfolgt ist, sammeln Sie die Synchronisierungsprotokolle, und fügen Sie sie an eine Supportanfrage an. Wenn eine vollständige Synchronisierung oder schnelle Synchronisierung seit dem Beitritt des Geräts erfolgreich abgeschlossen wurde, überprüfen Sie, ob die folgenden Probleme vorliegen:
Stellen Sie sicher, dass Benutzer über eine Intune-Lizenz verfügen. Wenn dies nicht der Fall ist, erkennt der Exchange-Connector seine Geräte nicht.
Wenn sich die primäre SMTP-Adresse des Benutzers vom Benutzerprinzipalnamen (UPN) in Microsoft Entra ID unterscheidet, erkennt der Exchange-Connector keine Geräte für diesen Benutzer. Beheben Sie die primäre SMTP-Adresse, um das Problem zu beheben.
Wenn Sie sowohl Exchange 2010- als auch Exchange 2013-Postfachserver in Ihrer Umgebung verwenden, empfiehlt es sich, den Exchange-Connector auf einen Exchange 2013-Clientzugriffsserver (Client Access Server, CAS) zu verweisen. Wenn der Exchange-Connector für die Kommunikation mit einem Exchange 2010 CAS eingerichtet ist, erkennt der Exchange-Connector keine Benutzergeräte in Exchange 2013.
Bei Exchange Online dedizierten Umgebungen müssen Sie den Exchange-Connector während der Ersteinrichtung auf einen Exchange 2013-CAS (nicht auf exchange 2010 CAS) in der dedizierten Umgebung verweisen. Der Connector kommuniziert nur mit einem Exchange 2013 CAS, wenn er PowerShell-Cmdlets ausführt.
Benutzer erhalten die Benachrichtigungs-E-Mail-Nachricht nicht
Um den bedingten Zugriff für lokale Postfächer auf Geräten zu unterstützen, auf denen Android Knox nicht ausgeführt wird, stellen Sie sicher, dass Intune Registrierung mit der E-Mail-Nachricht "Erste Schritte" beginnt, die der Intune Exchange-Connector sendet. Wenn Sie die Registrierung über die Nachricht starten, wird sichergestellt, dass das Gerät auf allen Plattformen (Exchange, Microsoft Entra ID, Intune) eindeutig ActiveSyncID
empfängt.
Ein Benutzer erhält die Benachrichtigungs-E-Mail möglicherweise nicht aus folgenden Gründen:
- Das Benachrichtigungskonto wurde falsch eingerichtet.
-
Autodiscover
Fehler für das Benachrichtigungskonto. - Bei der Exchange-Webdienstanforderung (EWS) zum Senden der E-Mail-Nachricht ist ein Fehler aufgetreten.
Lesen Sie die folgenden Abschnitte, um Probleme mit E-Mail-Benachrichtigungen zu beheben.
Überprüfen des Benachrichtigungskontos, das AutoErmittlungseinstellungen abruft
Stellen Sie sicher, dass der
Autodiscover
Dienst und EWS für die Exchange-Clientzugriffsdienste konfiguriert sind. Weitere Informationen finden Sie unter Clientzugriffsdienste und AutoErmittlungsdienst in Exchange Server.Vergewissern Sie sich, dass Ihr Benachrichtigungskonto die folgenden Anforderungen erfüllt:
Das Konto verfügt über ein aktives Postfach, das von Ihrem lokalen Exchange-Server gehostet wird.
Der Konto-UPN stimmt mit der SMTP-Adresse überein.
Die AutoErmittlung erfordert einen DNS-Server mit einem DNS-Eintrag für Autodiscover.SMTPdomain.com (z. B. Autodiscover.contoso.com), der auf Ihren Exchange-Clientzugriffsserver verweist. Um nach dem Datensatz zu suchen, geben Sie Ihren FQDN anstelle von Autodiscover.SMTPdomain.com an, und führen Sie die folgenden Schritte aus:
Geben Sie an einer Eingabeaufforderung NSLOOKUP ein.
Geben Sie Autodiscover.SMTPdomain.com ein. Die Ausgabe sollte der folgenden Abbildung ähneln:
Sie können den AutoErmittlungsdienst auch über das Internet unter https://testconnectivity.microsoft.comtesten. Oder testen Sie sie in einer lokalen Domäne mit dem Microsoft Connectivity Analyzer-Tool. Weitere Informationen finden Sie unter Microsoft Connectivity Analyzer.For more information, see Microsoft Connectivity Analyzer tool.
Überprüfen der AutoErmittlung
Wenn bei der AutoErmittlung ein Fehler auftritt, führen Sie die folgenden Schritte aus:
Konfigurieren Sie einen gültigen AutoErmittlungs-DNS-Eintrag.
Hartcodiert die EWS-URL in der konfigurationsdatei des Intune Exchange-Connectors:
Bestimmen Sie die EWS-URL. Die EWS-Standard-URL für Exchange lautet
https://<mailServerFQDN>/ews/exchange.asmx
, aber Ihre URL kann abweichen. Wenden Sie sich an den Exchange-Administrator, um die richtige URL für Ihre Umgebung zu überprüfen.Bearbeiten Sie die OnPremisesExchangeConnectorServiceConfiguration.xml-Datei . Standardmäßig befindet sich die Datei unter %ProgramData%\Microsoft\Windows Intune Exchange Connector auf dem Computer, auf dem der Exchange-Connector ausgeführt wird. Öffnen Sie die Datei in einem Text-Editor, und ändern Sie dann die folgende Zeile, um die EWS-URL für Ihre Umgebung widerzuspiegeln:
<ExchangeWebServiceURL>https://<YourExchangeHOST>/EWS/Exchange.asmx</ExchangeWebServiceURL>
Speichern Sie die Datei, und starten Sie dann den Computer neu, oder starten Sie den Microsoft Intune Exchange-Connectordienst neu.
Hinweis
In dieser Konfiguration verwendet der Intune Exchange-Connector die AutoErmittlung nicht mehr und stellt stattdessen eine direkte Verbindung mit der EWS-URL her.