Blockieren Sie fehlerhafte Exchange ActiveSync-Geräte in Exchange 2013

das kann ungünstig wirken. In diesem Tipp wird hervorgehoben, dass neue Funktionen sowie deren Verwendung zur Beherrschung störender Geräte verwendet werden.

Es scheint, dass Smartphone-Hersteller alle paar Monate Updates veröffentlichen, die Probleme in der IT verursachen. Apple iOS-Geräte kommen aufgrund ihrer regelmäßigen drahtlosen Updates und einer beträchtlichen Unternehmenspräsenz häufiger in den Sinn als die meisten anderen – aber sie sind sicherlich nicht allein.

Aufgrund der Anpassbarkeit von Android-Geräten können Endbenutzer aus einer Vielzahl von Geräten auswählen. Die Sache ist, es gibt auch Hacks und benutzerdefinierte Firmware zur Verfügung. Dies ermöglicht Kompatibilitäts- und Supporttests innerhalb einer Exchange-Organisation.

In diesem Tipp wird eine neue Funktion in Exchange 2013 untersucht, mit der einige der oben beschriebenen Probleme behoben werden können: Schwellenwerte für die automatische Blockierung von ActiveSync-Geräten.

Was bewirken die Schwellenwerte für die automatische Blockierung von Exchange ActiveSync?

Mit Schwellenwerten für die automatische Blockierung können Administratoren festlegen, wie oft ein Exchange ActiveSync-Gerät über einen bestimmten Zeitraum eine bestimmte vordefinierte Aktion ausführen kann. Außerdem können sie dem Gerät den Zugriff auf Exchange verweigern, solange sie dies für angemessen halten.
Beispielsweise können Sie feststellen, dass ein Gerät, das innerhalb einer Minute 100 Anforderungen sendet, sich negativ auf Ihre Exchange-Umgebung auswirkt. Mit Schwellenwerten für die automatische Blockierung können Sie das Gerät für fünf Minuten blockieren und den Benutzer benachrichtigen (optional). Dies kann lang genug sein, um Schäden an Exchange 2013 zu vermeiden oder – wenn der Benutzer etwas Ungewöhnliches tut – diese Aktivität zu unterbinden.
Wenn dies den ActiveSync-Drosselungsrichtlinien ähnelt, sind Sie auf dem richtigen Weg. Anstatt das Gerät effektiv zu bitten, sich ordnungsgemäß zurückzuziehen, verweigern Schwellenwerte für die automatische Blockierung dem Gerät den Zugriff auf Exchange ActiveSync und können sogar in Situationen eingesetzt werden, in denen das Gerät wiederholt die von einer Drosselungsrichtlinie zugewiesenen Budgets überschreitet. Sie haben die Möglichkeit, sicherzustellen, dass die Funktion zum automatischen Blockieren aktiviert wird, bevor Richtlinien gedrosselt werden, oder beide nebeneinander zu verwenden.
Zum Zeitpunkt dieses Schreibens ist nur eine kleine Anzahl vordefinierter Kategorien für Auto-Block-Schwellenwerte verfügbar. Es ist jedoch möglich, dass Microsoft andere hinzufügen kann, wenn dies als nützlich genug erachtet wird.
Die aktuellen Kategorien oder Verhaltensweisen, auf die in Exchange 2013 Bezug genommen wird, lauten wie folgt:

VerhaltenZweck
UserAgentChangesBietet eine Überprüfung, wie oft sich der Benutzeragent eines Geräts ändert. Zum Beispiel, wenn ein Endbenutzer mit Android-Firmware experimentiert.
Aktuelle BefehleBietet eine Überprüfung gegen das Gerät, das über einen festgelegten Zeitraum wiederholt denselben Befehl sendet. Zum Beispiel, wenn ein iOS-Gerät aufgrund eines Softwarefehlers ständig versucht, denselben Termin zu aktualisieren.
WatsonsBietet eine Methode zum Blockieren von Geräten, die einen Anwendungsabsturz verursachen.
OutOfBudgetsBietet eine Überprüfung gegen Geräte, die das Budget für Drosselungsrichtlinien wiederholt überschreiten.
SyncCommandsBietet eine Überprüfung gegen Geräte, die versuchen, eine wiederholte Serversynchronisierung mit demselben Synchronisierungsschlüssel durchzuführen.
CommandFrequencyBietet eine Überprüfung gegen Geräte, die wiederholt jede Art von befehlsbasierter Anforderung ausführen.

Bevor Sie diese Funktion in Ihrer Produktionsumgebung implementieren, sollten Sie unbedingt wissen, wie ein normales, funktionsfähiges Exchange ActiveSync-Gerät aussieht. Wenn Sie nicht wissen, wie oft Geräte in Ihrer Organisation normalerweise Anforderungen an Exchange stellen, besteht die Gefahr, dass Sie versehentlich Geräte blockieren, die nichts falsch machen.
Ein großartiges Werkzeug, das Sie hier berücksichtigen sollten, ist Log Parser Studio mit integrierten Berichten, die ActiveSync-Informationen in IIS-Protokolldateien verarbeiten. ActiveSync Reporting Services, das in Exchange 2010 und Exchange 2013 integriert ist, ist ein weiteres Beispiel Möglichkeit.

Implementieren von automatischen Blockierungen auf Exchange ActiveSync-Geräten

Sie müssen zwei Cmdlets der Exchange-Verwaltungsshell verwenden, um Organisationseinstellungen für automatische Blockierungen von Exchange ActiveSync-Geräten anzuzeigen und zu steuern: Get-ActiveSyncDeviceAutoblockThreshold und Set-ActiveSyncDeviceAutoblockThreshold.
Lassen Sie uns ein Beispiel mit dem zuvor beschriebenen Szenario erstellen, bei dem ein ActiveSync-Gerät 100 Nachrichten in einer Minute gesendet hat. In diesem Beispiel werden die bereits vorhandenen Richtlinien untersucht und anschließend Exchange 2013 so konfiguriert, dass übermäßig gesprächige Geräte blockiert werden. Lassen Sie uns das Beispiel auch auf die oben genannte CommandFrequency-Kategorie stützen (in der obigen Tabelle beschrieben).

Gibt es bereits Schwellenwerte für die automatische Blockierung?

Abbildung 1: Überprüfen Sie zunächst, welche Schwellenwerte für die automatische Blockierung von ActiveSync-Geräten bereits vorhanden sind.

Verwenden Sie zunächst den folgenden Befehl, um vorhandene Einstellungen anzuzeigen. Beachten Sie, dass es so formatiert ist, dass relevante Informationen in einem einfach zu lesenden, gefilterten Format angezeigt werden (Abbildung 1).
Get-ActiveSyncDeviceAutoblockThreshold | Wählen Sie BehaviorType, BehaviorTypeIncidenceLimit, BehaviorTypeIncidenceDuration, DeviceBlockDuration aus

Konfigurieren Sie einen Schwellenwert für die automatische Blockierung.

Abbildung 2: Konfigurieren Sie den Schwellenwert für die automatische Blockierung und fügen Sie eine Benachrichtigungsnachricht hinzu.

Wie Sie in Abbildung 1 sehen können, sind derzeit keine Einstellungen konfiguriert. Wir werden jetzt die zuvor erwähnte Konfiguration implementieren, die Geräte, die innerhalb einer Minute über 100 Befehlsanforderungen stellen, für einen Zeitraum von fünf Minuten blockiert. Wir werden auch eine Benachrichtigung für den Benutzer festlegen (Abbildung 2).
Set-ActiveSyncDeviceAutoblockThreshold CommandFrequency -BehaviorTypeIncidenceLimit 100 -BehaviorTypeIncidenceDuration 00:01:00 -DeviceBlockDuration 00:05:00 -AdminEmailInsert "

Ihr Gerät wurde wegen übermäßiger Anforderungen für 5 Minuten blockiert "

Aktivieren Sie eine Benachrichtigung für mobile Benutzer.

Abbildung 3: Aktivieren Sie eine Gerätebenachrichtigungs-E-Mail-Nachricht für alle Benutzer.

Wenn Sie die für jede Verhaltenskategorie festgelegten E-Mail-Benachrichtigungen für alle Benutzer aktivieren möchten, verwenden Sie den folgenden Befehl (Abbildung 3).
Set-ActiveSyncDeviceAutoblockThreshold EnableNotificationEmail -BehaviorTypeIncidenceLimit 1

Ein Beispiel für übermäßige ActiveSync-Anforderungen

Abbildung 4: Beispiel eines ActiveSync-Geräts, das übermäßige Anforderungen stellt (simuliert).

Nachdem die richtige Konfiguration vorgenommen wurde, habe ich diesen Zustand simuliert, indem ich wiederholt Anforderungen an Exchange 2013 gestellt habe, indem ich die E-Mails auf meinem Gerät ständig aktualisiert habe. Wie vermutet, ist es ziemlich schwierig, 100 Endbenutzeranfragen zu stellen (Abbildung 4).

Der Benutzer des iOS-Geräts hat eine Fehlermeldung erhalten

Abbildung 5: Der Endbenutzer hat auf seinem iOS-Gerät eine Fehlermeldung erhalten.

Sobald der Auto-Block-Schwellenwert ausgelöst wird, ist dem Benutzer sofort klar, dass etwas nicht stimmt. Die Nachricht, die der Endbenutzer sieht, ist jedoch nicht besonders informativ. Auf iOS-Geräten erhalten Benutzer beispielsweise die in Abbildung 5 dargestellte Nachricht.
Wenn der Benutzer seine E-Mails über Outlook Web App oder den Outlook-Client abruft, wird die von uns konfigurierte E-Mail-Benachrichtigung zusammen mit der Konfiguration für die automatische Blockierung angezeigt. Zum Glück ist die E-Mail wesentlich aussagekräftiger als die vorherige Nachricht (Abbildung 6).
Auf der Serverseite wird der absichtliche Fehler, der durch den Versuch des Geräts verursacht wird, auf Exchange zuzugreifen, in den IIS-Protokolldateien als Fehler “503 Service nicht verfügbar” protokolliert:

Laut der E-Mail-Benachrichtigung wurde das fehlerhafte Gerät blockiert

Abbildung 6: Ein Beispiel für eine Benachrichtigungs-E-Mail für Endbenutzer.

2013-03-06 01:27:06 192.168.15.103 POST /Microsoft-Server-ActiveSync/default.eas [email protected]& DeviceId = ApplDQGJ7DG5DTD2 & DeviceType = iPhone & Cmd = Sync 443 [email protected] 192.168.15.109 Apple-iPhone4C1 / 1002.146 - 503 0 0 20030
Wenn Sie einen Zeitraum angegeben haben, der länger als die fünf Minuten ist, die wir hier implementiert haben, kann es vorkommen, dass Sie den Zugriff für einen Benutzer schnell wieder aktivieren müssen. Dies ist leicht mit dem zu erreichen ResetAutoBlockedDevices wechseln Sie mit dem Cmdlet Set-CASMailbox (Abbildung 7)

Sie können ein blockiertes Gerät problemlos wieder aktivieren

Abbildung 7: Aktivieren Sie ein blockiertes Gerät sofort wieder.

Abschließende Gedanken

Wie Sie sehen können, ist dies ein weiteres solides Beispiel in einer Reihe neuer Funktionen von Exchange 2013. Obwohl es sich um eine relativ kleine Ergänzung handelt, kann sie sich als äußerst hilfreich erweisen, wenn die unbeabsichtigten Folgen einer BYOD-Umgebung oder einfach einer Umgebung, in der Endbenutzer auf Geräte für Endverbraucher angewiesen sind, gemindert werden.
Über den Autor
Steve Goodman ist ein Exchange MVP und arbeitet als technischer Architekt für einen der führenden britischen Microsoft Gold-Partner, die Phoenix IT Group. Goodman ist seit 14 Jahren in der IT-Branche tätig und arbeitet seit Version 5.5 intensiv mit Microsoft Exchange zusammen.

Similar Posts

Leave a Reply