Citrix Endpoint Management

适用于 Exchange ActiveSync 的 Citrix Endpoint Management 连接器

XenMobile Mail Manager 现在是适用于 Exchange ActiveSync 的 Citrix Endpoint Management 连接器。有关 Citrix 统一产品组合的详细信息,请参阅 Citrix 产品指南

该连接器通过以下方式扩展了 Citrix Endpoint Management 的功能:

  • 用于 Exchange ActiveSync (EAS) 设备的动态访问控制。可以自动允许或阻止 EAS 设备访问 Exchange 访问。
  • Citrix Endpoint Management 能够访问 Exchange 提供的 EAS 设备合作信息。
  • Citrix Endpoint Management 能够根据 EAS 状态擦除移动设备。
  • Citrix Endpoint Management 能够访问有关黑莓设备的信息,并执行擦除和重置密码等控制操作。

要根据 EAS 状态擦除设备,请使用 ActiveSync 触发器配置自动操作。请参阅自动化操作

重要:

鉴于 Microsoft 在此宣布的身份验证变更,从 2022 年 10 月开始,适用于 Exchange ActiveSync 的 Citrix Endpoint Management 和 NetScaler Gateway 连接器不再支持 Exchange Online。适用于 Exchange 的 Citrix Endpoint Management 连接器可继续与 Microsoft Exchange Server(本地)配合使用。

版本 10.1.10 中的新增功能

10.1.10 版中修复了以下问题:

  • 遇到频繁出现的网络问题的客户可能无法在之前提供的三次尝试中完成快照。在本版本中,管理员可以配置最大尝试次数 (1-10)。此修复允许快照在不完全放弃快照过程的情况下在通信中产生多次中断。[CXM-70837] 带“快照最大尝试次数”选项的配置屏幕示意图
  • 在早期版本中,快照类型未显示在 Exchange 配置列表中。现在,快照类型则显示在该位置。[CXM-70846]
  • PowerShell 报告的 PSRemotingTransport 异常表示与 Exchange 的会话不再可行。默认情况下,状态将添加到配置文件中的“严重错误”列表中。这样,当检测到 PSRemotingTransportException 异常时,连接被标记为错误以供稍后处理。下一个通信使用有效的连接或创建连接。[XMHELP-2184、CXM-70836]
  • 保存配置更改后,在加载新配置之前,可能并非所有先前配置的内部组件都已正确处置。此问题可能会导致出现不可预测的行为。该行为取决于特定的更改以及该更改是否与之前的配置冲突。在此版本中,所有内部组件在加载新配置之前都已处置。[XMHELP-2259、CXM-71388]

版本 10.1.9 中的新增功能

版本 10.1.9 中修复了以下问题:

  • 现在,对配置所做的更改将以更加一致的方式进行处理。当服务检测到配置中的更改时,每个内部子系统都将停止运行,这意味着任何活动的或计划的处理过程都会中断。接下来,加载新配置并重新启动子系统,这意味着使用新设置重新建立所有计划和其他内部基础架构。此问题更正了版本 10.1.8 中的一个已知问题。[CXM-47709、CXM-61330]
  • 在升级期间,现有数据库配置未合并到新的配置文件中。现在,数据库配置将合并到升级后的配置文件。[CXM-49326]
  • 在快照相关的诊断文件中,列标题缺失。这些标题都将还原。[CXM-62680]
  • 从早期版本升级时,配置文件的默认设置部分被正在使用的配置文件中的类似部分覆盖。此问题阻止了服务在升级后加载在默认设置部分中添加或改进的功能。在此版本中,默认部分始终反映最新的配置。[CXM-62681]
  • 运行应用程序时,管理员将无法再通过按 Shift 键访问某些选项。这些选项以前是随 Citrix 权限提供的。现在,某些选项已完全可用(例如“允许重定向”),其他选项(例如,挂起检测和计数更正)已弃用。[CXM-62767]

    所有可用设置

早期版本中的新增功能

下一节列出了适用于 Exchange ActiveSync 的 Citrix Endpoint Management Connector 早期版本中的新功能和已修复的问题。

版本 10.1.8 中的新增功能

  • Exchange 可能限制了 Exchange ActiveSync 服务的 Citrix Endpoint Management 连接器过于频繁地发出命令。此问题在与 Office 365 的连接中很常见。此限制产生的影响要求该服务先暂停指定的期限,然后再发送下一个命令。配置控制台现在显示剩余的暂停时间量。[CXM-48044]
  • 修改配置文件 (config.xml) 的“监视程序”和/或“SpecialistsDefaults”部分时,升级后的更改不会反映在配置文件中。在本版本中,修改正确地合并到新配置文件中。[CXM-52523]
  • 更多详细信息已添加到发送至 Google Analytics 的分析中,特别是相关的快照。[CXM-56691]
  • Exchange 测试连接功能将仅尝试初始化连接一次。由于可以限制 Office 365 的连接,因此,受到限制时,测试连接可能会显示为失败。适用于 Exchange ActiveSync 的 Citrix Endpoint Management 连接器现在最多可以尝试启动连接三次。[CXM-58180]
  • 为影响有关 Exchange 的策略,适用于 Exchange ActiveSync 的 Citrix Endpoint Management 连接器必须将包括每个邮箱的所有相关设备的 Set-CASMailbox 命令编译到两个列表中,即允许和阻止列表。如果设备未包含在任一列表中,Exchange 将退回到其默认访问状态。如果该默认访问状态与设备的所需状态不同,设备将变得不合规。因此,如果 Exchange 的默认访问状态被阻止且应允许访问,则用户可能会失去对电子邮件的访问权限。或者,应阻止其访问电子邮件的用户可能会被授予访问权限。适用于 Exchange ActiveSync 的 Citrix Endpoint Management Connector 现在可确保每个 Set-CasMailbox 命令中都包含所有具有有效所需状态的设备。[CXM-61251]

以下问题在版本 10.1.8 中属于已知问题:

如果管理员对修改配置数据的配置应用程序进行了更改,而该服务正在进行长时间操作(例如快照或策略评估),则该服务可能会进入不确定状态。可能的症状可能是未处理策略更改或未启动快照。必须重新启动服务,才能将服务返回到工作状态。在启动服务之前,您可能需要使用 Windows 服务管理器终止服务。[CXM-61330]

版本 10.1.7 中的新增功能

  • XenMobile Mail Manager 现在是适用于 Exchange ActiveSync 的 Citrix Endpoint Management 连接器。
  • 我们已经弃用了 Exchange 配置对话框中的“禁用流水线”选项。可以在 config.xml 文件中为每个命令配置多个步骤来实现相同功能。[CXM-54593]

版本 10.1.7 中修复了以下问题:

  • 在“Snapshot History”(快照历史记录)窗口中,显示的错误消息可能几乎没有上下文。现在,错误消息的前缀为错误发生位置的上下文。[CXM-49157]
  • XmmGoogleAnalytics.dll 没有与版本对应的文件版本。[CXM-52518]
  • 为了改进诊断,我们最近更改了用于为邮箱设置“允许/阻止”状态的设备 ID 列表的字符串格式。但是,指定的设备太多会超过最大字符串大小。现在,我们使用内部数组数据结构。此结构没有大小限制,并且还会为数据设置合适格式以便用于诊断。[CXM-52610]
  • 当检测到与 Exchange 不同步的设备策略时,其命令可能包括不属于相关邮箱的设备。适用于 Exchange ActiveSync 的 Citrix Endpoint Management Connector 现在可确保 Exchange 的命令仅代表属于其各自邮箱的设备。[CXM-54842]
  • 在某些环境中,Microsoft 程序集不可用。现在,所需的程序集明确与应用程序一起安装。[CXM-55439]
  • 如果设备或邮箱的可分辨名称在属性名称和等号之间有空格,或者在等号之后和值之前有空格,则适用于 Exchange ActiveSync 的 Citrix Endpoint Management 连接器 ActiveSync 可能无法正确地将设备与其邮箱进行匹配,反之亦然。结果可能是在快照协调期间某些设备和/或邮箱被拒绝。[CXM-56088]

注意:

以下“新增内容”部分指的是适用于 Exchange ActiveSync 的 Citrix Endpoint Management 连接器,其原名为 XenMobile Mail Manager。该名称已从 10.1.7 版本更改。

版本 10.1.6.20 中的更新

10.1.6 的更新在 10.1.6.20 版本中修复了以下问题:

  • 当检测到与 Exchange 不同步的设备策略时,其命令可能包括不属于相关邮箱的设备。XenMobile Mail Manager 现在可确保针对 Exchange 的命令仅表示属于其各自邮箱的设备。[CXM-54842]

版本 10.1.6 中的新增功能

XenMobile Mail Manager 版本 10.1.6 修复了以下问题和增强功能:

  • “Snapshot History”(快照历史记录)窗口有时会进入窗口不再更新的状态。改进了窗口刷新机制以更加可靠地更新。[CXM-47983]
  • 对分区快照和非分区快照使用两个不同的模式和代码路径。由于非分区快照等同于使用单个“*”分区配置的分区快照,因此不需要非分区快照模式。现在,默认快照模式为具有 36 个分区(0-9、A-Z)的分区快照。[CXM-49093]
  • 在“Snapshot History”(快照历史记录)窗口中,错误消息会被状态消息覆盖。现在,XenMobile Mail Manager 提供两个单独的字段,以便用户可以同时查看状态和错误。[CXM-51942]
  • 连接到 Exchange Online (Office 365) 时,快照相关查询可能会导致数据集被截断。当 XenMobile Mail Manager 运行多命令流水线脚本时,可能会出现此问题。上游命令无法足够快地将数据传递给下游命令,然后下游命令会过早地完成工作。因此会出现不完整的数据。现在,XenMobile Mail Manager 可以模仿流水线本身,并等到上游命令完成后再调用下游命令。经过此更改,所有数据都将得以处理和捕获。[CXM-52280]
  • 如果在针对 Exchange 的策略更新命令中发生无法解决的错误,则会在很长一段时间内重复向工作队列返回相同命令。这种情况会导致多次向 Exchange 发送该命令。在此版本的 XenMobile Mail Manager 中,仅偶尔向工作队列返回导致出现错误的命令。[CXM-52633]
  • 如果针对特定邮箱的策略更新涉及允许或阻止所有设备:由于空列表被转换为空字符串而不是 NULL,发出的 Set-CASMailbox 命令会失败。现在会发送正确的数据。[CXM-53759]
  • 处理新设备时,Exchange 可能会在一段时间(通常为 15 分钟)内返回状态“DeviceDiscovery”。XenMobile Mail Manager 没有专门处理这种状态。现在,XenMobile Mail Manager 会处理这种状态。在 UI 的“Monitor”(监视)选项卡中,用户可以过滤处于此状态的设备。[CXM-53840]
  • 以前,XenMobile Mail Manager 不会检查是否能够向 XenMobile Mail Manager 数据库执行写入操作。因此,如果权限受到限制,则行为可能无法预测。现在,XenMobile Mail Manager 会从数据库捕获并验证所需的权限。XenMobile Mail Manager 会在测试连接时(显示的消息)或在主配置窗口底部的数据库指示器(悬停显示消息)中指示降低的权限。[CXM-54219]
  • 根据当前工作负载,在被定向时,XenMobile Mail Manager 服务可能无法迅速停止。因此,该服务似乎处于无响应状态。进行了一些改进后,正在进行的任务可以中断,因而可以比较正常地关闭。[CXM-54282]

版本 10.1.5 中的新增功能

XenMobile Mail Manager 版本 10.1.5 修复了以下问题:

  • 当 Exchange 对 XenMobile Mail Manager 活动应用限制时,(除日志外)没有任何迹象表明限制正在发生。在此版本中,用户可以将鼠标悬停在活动快照上,此时将显示“限制”状态。此外,XenMobile Mail Manager 受到限制时,在 Exchange 解除限制禁令之前,会禁止开始创建主要快照。[CXM-49617]
  • 如果 XenMobile Mail Manager 在拍摄主要快照期间受到 Exchange 的限制:在运行下一次尝试快照之前,所允许的时间可能不足。此问题会导致进一步限制和快照失败。现在,XenMobile Mail Manager 会在两次快照尝试之间等待 Exchange 指定的最小等待时间。[CXM-49618]
  • 启用了诊断时,命令文件中显示的 Set-CasMailbox 命令中,每个属性名称前面都缺少连字符。仅在设置诊断文件的格式时会发生此问题,发送到 Exchange 的实际命令则不会发生此问题。由于缺少连字符,用户无法剪切命令并直接将其粘贴到 PowerShell 命令提示窗口进行测试或验证。现已添加连字符。[CXM-52520]
  • 如果邮箱标识的格式为 lastname, firstname,在从查询返回数据时,Exchange 会在逗号前面添加一个反斜杠。当 XenMobile Mail Manager 使用身份查询更多数据时,必须删除此反斜线。[CXM-52635]

已知限制

注意:

以下限制在版本 10.1.6 中已解决。

XenMobile Mail Manager 存在一个可能会导致针对 Exchange 的命令失败的已知限制。为了将策略更改应用于 Exchange,XenMobile Mail Manager 会发出 Set_CASMailbox 命令。此命令可以接受两个设备列表:一个要允许的列表和一个要阻止的列表。此命令应用于与邮箱关联使用的设备。

这些列表不能超过 256 个字符(按 Microsoft API 划分的每个列表)。如果其中一个列表超过该限制,命令将完全失败,导致无法为与相应邮箱关联的设备设置策略。报告的错误(显示在 XenMobile Mail Manager 日志中)类似如下所示。下面是阻止的列表示例。

“Message:’Cannot bind parameter ‘ActiveSyncBlockedDeviceIDs’ to the target. Exception setting “ActiveSyncBlockedDeviceIDs”: “The length of the property is too long. The maximum length is 256 and the length of the value provided is …”

设备 ID 长度可能会有所差别,但一条很好的指导原则是,同时允许或阻止大约 10 个或更多设备可能会超过该限制。虽然很少会出现许多设备与某个特定邮箱关联,但仍有可能出现。在改进邮件管理器以处理此类情况之前,我们建议您将与用户和邮箱关联的设备数量限制在 10 个或更少。[CXM-52633]

版本 10.1.4 中的新增功能

XenMobile Mail Manager 版本 10.1.4 修复了以下问题:

  • 由于其安全性减弱,PCI委员会正在弃用TLS 1.0和TLS 1.1。XenMobile Mail Manager 中增加了对 1.2 的支持。[CXM-38573、CXM-32560]
  • XenMobile Mail Manager 包括一个新的诊断文件。在 Exchange 指定内容中选择了 Enable Diagnostics(启用诊断)时,将生成新的快照历史记录文件。在每次尝试创建快照时,都会向该文件中添加一行以记录快照结果。[CXM-49631]
  • 在命令诊断文件中,Set-CASMailbox 命令不显示允许或阻止的设备列表。而是在该文件中的相关参数中显示内部类名称。现在,XenMobile Mail Manager 以逗号分隔的列表显示设备 ID 的列表。[CXM-50693]
  • 当尝试获取与 Exchange 的连接因规格不正确而失败时:错误的消息将覆盖错误消息:“所有连接都在使用中”。现在显示更具描述性的消息,例如,“All connections are inoperable”(所有连接均无法使用)、“Connection pool is empty”(连接池为空)、“All connections are throttled”(所有连接都受限制),以及“No available connections”(没有可用的连接)。[CXM-50783]
  • 有时,允许/阻止/擦除命令会在 XenMobile Mail Manager 内部缓存中排队多次。此问题导致发送到 Exchange 的命令出现延迟。XenMobile Mail Manager 现在仅排队每个命令的一个实例。[CXM-51524]

版本 10.1.3 中的新增功能

  • Google Analytics 支持: 我们希望了解您使用 XenMobile Mail Manager 的方式,以便我们可以专注于可以改进产品的方面。
  • 用于启用诊断的设置:“Configure”(配置)控制台中的 Configure(配置)对话框中显示 Enable Diagnostics(启用诊断)复选框。

    邮件管理器控制台

版本 10.1.3 中已修复的问题

  • Snapshot History(快照历史记录)窗口中,显示快照当前状态的工具提示不反映实际状态。[CXM-5570] 有时,XenMobile Mail Manager 无法写入命令诊断文件。发生这种情况时,不会完整记录命令历史记录。[CXM-49217]
  • 某个连接出错时,该连接可能无法标记为“出错”。因此,后续命令可能会尝试使用该连接,并导致出现另一个错误。[CXM-49495]
  • 在 Exchange Server 中启用了限制时,可能会在检查运行状况例程中引发异常。因此,可能无法清除出错或已过期的连接。此外,在限制时间到期之前,XenMobile Mail Manager 可能不会创建连接。[CXM-49794]。
  • 当超过 Exchange 的最大会话数时,XenMobile Mail Manager 会报告错误“设备捕获失败”,这不是一条准确的消息。相反,该消息应表明 XenMobile Mail Manager 通常用于 Exchange 通信的两个会话正在使用中。[CXM-49994]

版本 10.1.2 中的新增功能

  • 改进了与 Exchange 的连接: XenMobile Mail Manager 使用 PowerShell 会话与 Exchange 进行通信。尤其是在用于 Office 365 时,PowerShell 会话在一段时间之后可能会变得不稳定,从而阻止后续命令成功运行。现在可以在 XenMobile Mail Manager 中设置连接的过期期限。当连接达到到期时间时,XenMobile Mail Manager 会正常关闭 PowerShell 会话并创建会话。这样,PowerShell 会话不太可能变得不稳定,从而大大降低快照失败的可能性。
  • 改进快照工作流程: 主要快照是一项耗时且流程密集型操作。如果在快照期间出现错误,XenMobile Mail Manager 现在会多次(最多三次)尝试完成快照。后续尝试并不是从头开始。XenMobile Mail Manager 会从其中断的地方继续。此增强功能允许在创建快照期间出现短暂的错误,通常可提高快照的成功率。
  • 改进了诊断: 现在快照过程中可选地生成三个新的诊断文件,快照操作故障排除变得更加轻松。这些文件有助于识别 PowerShell 命令问题、缺少信息的邮箱以及与邮箱无关的设备。管理员可以使用这些文件确定 Exchange 中可能不正确的数据。
  • 改进了内存使用率: XenMobile Mail Manager 现在可以更高效地使用内存。管理员可以安排 XenMobile Mail Manager 自动重启,以便为系统提供一个清理干净的环境。
  • Microsoft .NET Framework 4.6 必备条件: 现在,Microsoft.NET Framework 的必备版本现在为版本 4.6。

已修复的问题

  • 提示输入凭据错误:Office 365 会话不稳定通常会导致此错误。改进了与 Exchange 的连接增强功能解决了该问题。(XMHELP 293、XMHELP 311、XMHELP 801)
  • 邮箱和设备计数不准确:XenMobile Mail Manager 改进了邮箱到设备关联算法。改进的诊断功能有助于识别 XenMobile Mail Manager 认为不在其职责范围内的邮箱和设备。(XMHELP-623)
  • 无法识别允许/屏蔽/擦除命令:修复了有时无法识别 XenMobile Mail Manager 允许/屏蔽/擦除命令的错误。(XMHELP-489)
  • 内存管理:改进了内存管理和缓解。(XMHELP-419)

体系结构

下图显示了适用于 Exchange ActiveSync 的 Citrix Endpoint Management 连接器的主要组件。有关详细的参考体系结构图,请参阅体系结构

适用于 Exchange ActiveSync 架构的 Citrix Endpoint Management 连接器

两个主要组成部分是:

  • Exchange ActiveSync 访问控制管理: 与 Citrix Endpoint Management 通信,从 Citrix Endpoint Management 检索 Exchange ActiveSync 策略,并将此策略与任何本地定义的策略合并,以确定应允许或拒绝访问 Exchange 的 Exchange ActiveSync 设备。本地策略允许扩展策略规则,以允许 Active Directory 组、用户、设备类型或设备用户代理(通常为移动平台版本)执行访问控制。
  • 远程 PowerShell 管理: 负责计划和调用远程 PowerShell 命令,以执行 Exchange ActiveSync 访问控制管理编译的策略。此组件定期创建 Exchange ActiveSync 数据库的快照,以检测新的或已更改的 Exchange ActiveSync 设备。

系统要求和必备条件

使用适用于 Exchange ActiveSync 的 Citrix Endpoint Management 连接器需要满足以下最低系统要求:

  • Windows Server 2016、Windows Server 2012 R2 或 Windows Server 2008 R2 Service Pack 1。必须是基于英语的服务器。对 Windows Server 2008 R2 Service Pack 1 的支持于 2020 年 1 月 14 日结束,对 Windows Server 2012 R2 的支持于 2023 年 10 月 10 日结束。
  • Microsoft SQL Server 2016 Service Pack 2、SQL Server 2014 Service Pack 3 或 SQL Server 2012 Service Pack 4。
  • Microsoft .NET Framework 4.6。
  • 黑莓 Enterprise Service 版本 5(可选)。

Microsoft Exchange Server 的最低支持版本:

  • Microsoft Office 365
  • Exchange Server 2016
  • Exchange Server 2013(支持于 2023 年 4 月 11 日结束)
  • Exchange Server 2010 Service Pack 3(支持将于 2020 年 1 月 14 日结束)

必备条件

  • 必须安装 Windows Management Framework。
    • PowerShell V5、V4 和 V3
  • 必须通过 Set-ExecutionPolicy RemoteSigned 将 PowerShell 执行策略设置为 RemoteSigned。
  • 必须在运行适用于 Exchange ActiveSync 的连接器的计算机和远程 Exchange Server 之间打开 TCP 端口 80。

设备电子邮件客户端: 并非所有电子邮件客户端始终为设备返回相同的 ActiveSync ID。由于Exchange ActiveSync的连接器要求每台设备都有唯一的ActiveSync ID,因此仅支持为每台设备持续生成相同唯一的ActiveSync ID的电子邮件客户端。这些电子邮件客户端已通过 Citrix 测试,执行时没有错误:

  • Samsung 本机电子邮件客户端
  • iOS 本机电子邮件客户端

Exchange: 运行 Exchange 的本地计算机的要求如下所示:

在 Exchange 配置用户界面中指定的凭据必须能够连接到 Exchange Server,并且具有运行以下 Exchange 特定的 PowerShell cmdlet 的完全权限。

  • 针对 Exchange Server 2010 SP2:
    • Get-CASMailbox
    • Set-CASMailbox
    • Get-Mailbox
    • Get-ActiveSyncDevice
    • Get-ActiveSyncDeviceStatistics
    • Clear-ActiveSyncDevice
    • Get-ExchangeServer
    • Get-ManagementRole
    • Get-ManagementRoleAssignment
  • 对于 Exchange Server 2013 和 Exchange Server 2016:
    • Get-CASMailbox
    • Set-CASMailbox
    • Get-Mailbox
    • Get-MobileDevice
    • Get-MobileDeviceStatistics
    • Clear-MobileDevice
    • Get-ExchangeServer
    • Get-ManagementRole
    • Get-ManagementRoleAssignment
  • 如果将适用于 Exchange ActiveSync 的连接器配置为查看整个林,则必须授权运行 Set-AdServerSettings -ViewEntireForest $true
  • 提供的凭据必须具有通过远程 Shell 连接到 Exchange Server 的权限。默认情况下,安装 Exchange 的用户具有此权限。
  • 要建立远程连接并运行远程命令,凭据必须与远程计算机上的管理员用户相对应。可以使用 Set-PSSessionConfiguration 消除管理要求,但是对该命令的讨论不在本文档的范围内。有关详细信息,请参阅 Microsoft 文章关于会话配置
  • 此外,Exchange Server 还必须配置为支持通过 HTTP 进行的远程 PowerShell 请求。通常,只需要在 Exchange Server 上运行下列 PowerShell 命令的管理员:WinRM QuickConfig。
  • Exchange 有许多限制策略。其中一个策略控制每个用户允许的并发 PowerShell 连接的数目。在 Exchange 2010 中,一个用户允许的同时连接数默认为 18。当达到连接限制时,Exchange ActiveSync 的连接器将无法连接到 Exchange Server。存在通过不在本文档范围内的 PowerShell 更改允许的同时连接数上限的方法。如果有兴趣,可以通过 PowerShell 调查与远程管理相关的 Exchange 限制策略。

Office 365 Exchange 的要求

  • 权限: 在 Exchange 配置用户界面中指定的凭据必须能够连接到 Office 365,并且具有运行以下 Exchange 特定的 PowerShell cmdlet 的完全权限:
    • Get-CASMailbox
    • Set-CASMailbox
    • Get-Mailbox
    • Get-MobileDevice
    • Get-MobileDeviceStatistics
    • Clear-MobileDevice
    • Get-ExchangeServer
    • Get-ManagementRole
    • Get-ManagementRoleAssignment
  • 特权: 提供的凭据必须已获得授权,可以通过远程 Shell 连接到 Office 365 服务器。默认情况下,Office 365 联机管理员具有必备特权。
  • 限制策略: Exchange 有许多限制策略。其中一个策略控制每个用户允许的并发 PowerShell 连接的数目。在 Office 365 中,一个用户允许的同时连接数默认为三个。当达到连接限制时,Exchange ActiveSync 的连接器将无法连接到 Exchange Server。存在通过不在本文档范围内的 PowerShell 更改允许的同时连接数上限的方法。如果有兴趣,可以通过 PowerShell 调查与远程管理相关的 Exchange 限制策略。

安装和配置

  1. 单击 XmmSetup.msi 文件,然后按照安装程序中的提示安装适用于 Exchange ActiveSync 的 Citrix Endpoint Management Connector。

  2. 在设置向导的最后一个屏幕中让 Launch the Configure utility(启动配置实用程序)保留选中。或者,从开始菜单中,打开适用于 Exchange ActiveSync 的连接器。

  3. 配置以下数据库属性:

    • 选择 Configure(配置)> Database(数据库)选项卡。
    • 输入 SQL Server 的名称(默认值为 localhost)。
    • 将数据库保留为默认 CitrixXmm
  4. 选择以下用于 SQL 的身份验证模式之一:

    • SQL: 输入有效 SQL 用户的用户名和密码。
    • Windows 集成: 如果选择此选项,XenMobile Mail Manager Service 的登录凭据必须更改为具有访问 SQL Server 权限的 Windows 帐户。为此,请打开控制面板 > 管理工具 > 服务,在 XenMobile Mail Manager Service 条目上单击鼠标右键,然后单击登录选项卡。

    如果还为黑莓数据库连接选择了“Windows Integrated”(Windows 集成),必须同时为此处指定的 Windows 帐户提供黑莓数据库访问权限。

  5. 单击 Test Connectivity(测试连接)检查是否可以连接到 SQL Server,然后单击 Save(保存)。

  6. 此时将显示一条消息,提示您重新启动服务。单击

    Exchange ActiveSync 设置屏幕的接口

  7. 配置一个或多个 Exchange Server:

    • 如果管理单个 Exchange 环境,则仅指定一台服务器。如果管理多个 Exchange 环境,则为每个 Exchange 环境指定一个 Exchange Server。
    • 单击 Configure(配置)> Exchange 选项卡,然后单击 Add(添加)。

    配置 Exchange 选项卡

  8. 选择 Exchange Server 环境的类型:On Premise(本地)或 Office 365

    • 如果选择 On Premise(本地),请输入要用于远程 PowerShell 命令的 Exchange Server 名称。
    • 输入在“要求”部分中指定的 Exchange Server 上具有适当权限的 Windows 身份的用户名,然后输入该用户的密码
    • 选择运行主要快照的计划。主要快照检测每个 Exchange ActiveSync 合作关系。
    • 选择运行次要快照的计划。次要快照检测新创建的 Exchange ActiveSync 合作关系。
    • 选择“Snapshot Type”(快照类型):Deep(深层)或 Shallow(浅层)。浅层快照通常要快得多,足以执行Exchange ActiveSync连接器的所有Exchange ActiveSync访问控制功能。
    • 选择默认访问:Allow(允许)、Block(阻止)或 Unchanged(保持不变)。此设置控制如何处理除明确的 Citrix Endpoint Management 或本地规则所标识的设备之外的所有设备。如果选择 Allow(允许),则允许 ActiveSync 访问所有此类设备。如果选择 Block(阻止),则拒绝访问。如果选择 Unchanged(保持不变),则不进行任何更改。
    • 选择 ActiveSync 命令模式:PowerShellSimulation(模拟)。
    • PowerShell 模式下,适用于 Exchange ActiveSync 的连接器会发出 PowerShell 命令以执行所需的访问控制。在“Simulation”(模拟)模式下,适用于 Exchange ActiveSync 的连接器不发出 PowerShell 命令,但是会将预期命令和预期结果记录到数据库中。在“Simulation”(模拟)模式下,用户随后可使用 Monitor(监视)选项卡查看启用 PowerShell 模式时会发生的情况。
    • Connection Expiration(连接过期)中,设置连接存在的小时数和分钟数。当连接达到指定的期限时,该连接将被标记为已过期,以便绝不会再次使用该连接。当不再使用已过期的连接时,适用于 Exchange ActiveSync 的连接器将正常关闭该连接。再次需要连接时,如果没有可用的连接,则初始化一个新连接。如果未指定,则将使用默认值 30 分钟。
    • 选择 View Entire Forest(查看整个林)可将适用于 Exchange ActiveSync 的连接器配置为查看 Exchange 环境中的整个 Active Directory 林。
    • 选择身份验证协议:KerberosBasic(基本)。适用于 Exchange ActiveSync 的连接器支持本地部署的“Basic”(基本)身份验证。这将允许在连接器服务器不属于 Exchange Server 所在域的成员的情况下使用连接器。
    • 单击 Test Connectivity(测试连接)检查是否可以连接到 Exchange Server,然后单击 Save(保存)。
    • 此时将显示一条消息,提示您重新启动服务。单击
  9. 配置访问规则:选择配置 > 访问规则选项卡,单击 Citrix Endpoint Management 规则选项卡,然后单击添加

    访问规则

  10. Citrix Endpoint Management 服务器的“服务 属性”页面上,修改 URL 字符串以指向 Citrix Endpoint Management 服务器。例如,如果实例名称为 zdm,则输入 https://<XdmHostName>/zdm/services/MagConfigService。在示例中,将 XdmHostName 替换为 Citrix Endpoint Management 服务器的 IP 或 DNS 地址。

    邮件管理器控制台

    • 输入服务器的授权用户。
    • 输入用户密码。
    • 保留 Baseline Interval(基准时间间隔)、Delta Interval(时间间隔差)和 Timeout(超时)值的默认值。
    • 单击 Test Connectivity(测试连接)检查与服务器的连接,然后单击 OK(确定)。

    如果选中“已禁用”复选框,则 Citrix Endpoint Management 邮件服务不会从 Citrix Endpoint Management 收集策略。

  11. 单击 Local Rules(本地规则)选项卡。

    “本地规则”选项卡

    • 您可以根据 ActiveSync 的“Device ID”(设备 ID)、“Device Type”(设备类型)、“AD Group”(AD 组)、“User”(用户)或设备“UserAgent”(用户代理)添加本地规则。在列表中选择适当的类型。
    • 在文本框中输入文本或文本片段。也可单击查询按钮,查看与片段匹配的实体。

    对于除“Group”(组)以外的所有类型,系统依赖在快照中找到的设备。因此,如果您刚刚开始但还没有完成快照,则没有实体可用。

    • 选择一个文本值,然后单击 Allow(允许)或 Deny(拒绝),将其添加到右侧的 Rule List(规则列表)窗格。您可以使用“规则列表”窗格右侧的按钮更改规则的顺序或将其删除。该顺序很重要,因为对于指定的用户和设备,将按照显示的顺序评估规则,并且一旦与较靠前的规则(离顶部较近)匹配,则后续的规则将失效。例如,如果存在一条允许所有 iPad 设备的规则,而后续的规则阻止用户 Matt,则 Matt 的 iPad 将仍被允许,因为 iPad 规则的有效优先级高于 Matt 规则。
    • 要分析规则列表中的规则以查找任何潜在的替代、冲突或补充结构,请单击“分析”,然后单击“保存”。
  12. 如果要建立应用于 Active Directory 组的本地规则,请单击 Configure LDAP(配置 LDAP),然后配置 LDAP 连接属性。

    LDAP 配置

  13. (可选)配置 BlackBerry Enterprise Server (BES) 的一个或多个实例:单击 Add(添加),然后输入 BES SQL Server 的服务器名称

    BES SQL Server

    • 输入 BES 管理数据库的数据库名称。

    • 选择 Authentication(身份验证)模式。如果您选择 Windows 集成身份验证,则 Exchange ActiveSync 服务连接器的用户帐户是用于连接到 BES SQL Server 的帐户。如果还为连接器数据库连接选择了 Windows 集成,则必须同时为此处指定的 Windows 帐户提供连接器数据库访问权限。

    • 如果选择 SQL authentication(SQL 身份验证),请输入用户名和密码。

    • 设置 Sync Schedule(同步计划)。这是用于连接到 BES SQL Server 并检查任何设备更新的计划。

    • 单击 Test Connectivity(测试连接)检查与 SQL Server 的连接。如果您选择 Windows Integrated,则此测试使用当前登录的用户而不是连接器服务用户,因此它无法准确测试 SQL 身份验证。

    • 要支持从 Citrix Endpoint Management 远程擦除和重置黑莓设备的密码,请选中“启用”复选框。

    • 输入 BES 完全限定的域名 (FQDN)。

    • 输入用于管理 Web 服务的 BES 端口。

    • 输入 BES 服务必需的完全限定用户和密码。

    • 单击 Test Connectivity(测试连接)测试与 BES 的连接,然后单击 Save(保存)。

使用 ActiveSync ID 强制执行电子邮件策略

您的公司电子邮件策略可能规定,某些设备未获批准使用公司电子邮件。要遵守此策略,您需要确保员工无法通过此类设备访问公司电子邮件。适用于 Exchange ActiveSync 的 Citrix Endpoint Management 连接器和 Citrix Endpoint Management 共同执行此类电子邮件策略。Citrix Endpoint Management 为企业电子邮件访问设置策略。当未经批准的设备注册 Citrix Endpoint Management 时,Exchange ActiveSync 的连接器会强制执行该策略。

设备上的电子邮件客户端使用设备 ID(也称为 ActiveSync ID,用于标识设备)向 Exchange Server(或 Office 365)广播自己。Citrix Secure Hub 会获得类似的标识符,并在设备注册时将该标识符发送给 Citrix Endpoint Management。通过比较两个设备 ID,适用于 Exchange ActiveSync 的连接器可以确定特定设备是否应该具有企业电子邮件访问权限。下图说明了此概念:

检测 ActiveSync ID 工作流

如果 Citrix Endpoint Management 向 Exchange ActiveSync 连接器发送的 ActiveSync ID 与设备发布到 Exchange 的 ID 不同的 ActiveSync ID,则该连接器无法向 Exchange 指示如何处理该设备。

匹配 ActiveSync ID 可以在大多数平台上可靠地执行。但是,Citrix 已发现在某些 Android 实现上,来自设备的 ActiveSync ID 不同于邮件客户端向 Exchange 广播的 ID。为缓解此问题,可以执行以下操作:

  • 在 Android 平台上,Citrix 建议您使用 Citrix Secure Mail。

为确保正确执行公司电子邮件访问策略,您可以采取防御性安全立场。将静态策略默认设置为“拒绝”,将适用于 Exchange ActiveSync 的 Citrix Endpoint Management 连接器配置为屏蔽电子邮件。这意味着,如果员工在 Android 设备上配置了另一个电子邮件客户端,而 ActiveSync ID 检测不起作用,公司电子邮件将拒绝对员工的访问。

访问控制规则

适用于 Exchange ActiveSync 的 Citrix Endpoint Management 连接器为动态配置 Exchange ActiveSync 设备的访问控制提供了一种基于规则的方法。连接器访问控制规则由两部分组成,即一个匹配的表达式和一个所需的访问状态(“允许”或“阻止”)。规则可能会针对给定的 Exchange ActiveSync 设备进行评估,以确定该规则是否适用于该设备或是否与该设备匹配。有多种匹配的表达式;例如,一条规则可能与给定“设备类型”(或特定 Exchange ActiveSync 设备 ID)的所有设备或者特定用户的所有设备等匹配。

在规则列表中添加、删除和重新排列规则期间,任何时候单击取消按钮都会将规则列表还原回首次打开时的状态。除非单击保存,否则关闭配置工具时将丢失您对此窗口所做的任何更改。

适用于 Exchange ActiveSync 的 Citrix Endpoint Management 连接器有三种类型的规则:本地规则、Citrix Endpoint Management 服务器规则(也称为 XDM 规则)和默认访问规则。

本地规则: 本地规则的优先级最高:如果设备与本地规则匹配,规则评估将停止。不会参考 Citrix Endpoint Management 服务器规则和默认访问规则。本地规则是通过 Configure(配置)> Access Rules(访问规则)> Local Rules(本地规则)选项卡在适用于 Exchange ActiveSync 的连接器中本地配置的。支持匹配基于用户在给定 Active Directory 组中的成员资格。支持匹配基于以下字段的正则表达式:

  • ActiveSync Device ID(ActiveSync 设备 ID)
  • ActiveSync Device Type(ActiveSync 设备类型)
  • User Principal Name (UPN)(用户主体名称(UPN))
  • ActiveSync User Agent(ActiveSync 用户代理)(通常为设备平台或电子邮件客户端)

只要主要快照完成并找到设备,就可以添加普通或正则表达式规则。如果主要快照尚未完成,则只能添加正则表达式规则。

Citrix Endpoint Management 服务器规则: Citrix Endpoint Management 服务器规则是对提供托管设备规则的外部 Citrix Endpoint Management 服务器的引用。Citrix Endpoint Management 服务器可以使用自己的高级规则进行配置,这些规则根据 Citrix Endpoint Management 已知的属性(例如设备是否越狱或设备是否有禁止的应用程序)来识别允许或封锁的设备。Citrix Endpoint Management 会评估高级规则,生成一组允许或封锁的 ActiveSync 设备 ID,然后将其传送给 XenMobile Mail Manager。

默认访问规则: 默认访问规则是唯一的,它可以潜在匹配每个设备,并且始终是最后一个被评估。该规则是包罗万象的规则,这意味着如果给定设备与本地或 Citrix Endpoint Management 服务器规则不匹配,则该设备的所需访问状态由默认访问规则的所需访问状态决定。

  • 默认访问权限 - 允许: 允许任何与本地或 Citrix Endpoint Management 服务器规则不匹配的设备。
  • 默认访问权限-阻止: 任何与本地或 Citrix Endpoint Management 服务器规则不匹配的设备都将被屏蔽。
  • 默认访问权限——未更改: 任何与本地或 Citrix Endpoint Management 服务器规则不匹配的设备的访问状态都不会被 Exchange ActiveSync 的连接器以任何方式修改。如果 Exchange 已将设备置于隔离模式,则不执行任何操作。例如,从隔离模式删除设备的唯一方法是使用显式本地规则或 XDM 规则覆盖隔离。

关于规则评估

对于 Exchange 向适用于 Exchange ActiveSync 的连接器报告的每个设备,将按照优先级从最高到最低的顺序对这些规则进行评估,如下所示:

  • 本地规则
  • Citrix Endpoint Management 服务器规则
  • 默认访问规则

找到匹配项时,评估将停止。例如,如果本地规则与给定设备匹配,则不会根据任何 Citrix Endpoint Management 服务器规则或默认访问规则对该设备进行评估。这同样适用于给定的规则类型。例如,如果本地规则列表中给定设备有多个匹配项,则当满足第一个匹配项时,评估将停止。

当设备属性发生变化、添加或删除设备或者规则本身发生变化时,适用于 Exchange ActiveSync 的连接器会重新评估当前定义的规则集合。主要快照以可配置的时间间隔选取设备属性更改和删除操作。次要快照以可配置的时间间隔选取新设备。

Exchange ActiveSync 还具有控制访问的规则。了解这些规则在适用于 Exchange ActiveSync 的连接器的上下文中的工作方式至关重要。Exchange 可能通过以下三种级别的规则进行配置:个人免除、设备规则以及组织设置。适用于 Exchange ActiveSync 的连接器通过以编程方式发出远程 PowerShell 请求来自动化访问控制,以影响个人免除列表。这些是与给定邮箱关联的允许和阻止的 Exchange ActiveSync 设备 ID 列表。部署后,适用于 Exchange ActiveSync 的连接器有效地接替了 Exchange 中免除列表的管理功能。请参阅 Microsoft 文章使用 Exchange 和 Configuration Manager 进行设备管理

在为相同的字段定义了多条规则的情况下,分析特别有用。您可以对规则之间的关系进行故障排除。您可以从规则字段的角度进行分析。例如,规则是基于匹配的字段(例如 ActiveSync 设备 ID、ActiveSync 设备类型、用户、用户代理等)按组进行分析的。

规则术语

  • 覆盖规则: 当多条规则可以应用于同一设备时会发生覆盖。由于规则是按列表中的优先级评估的,因此可能永远不会评估可能适用的后续规则实例。
  • 冲突规则: 当多条规则可以应用于同一设备但访问状态(允许/阻止)不匹配时会发生冲突。如果冲突的规则不是正则表达式规则,则冲突总是隐含地表示覆盖
  • 补充规则: 当多个规则是正则表达式规则时,就会出现补充,因此可能需要确保两个(或更多)正则表达式可以组合成单个正则表达式规则,或者不重复功能。补充规则的访问状态(允许/阻止)可能还会发生冲突。
  • 主要规则: 主要规则是已在对话框内单击的规则。规则通过围绕它的实线框可视化地指示出来。该规则还将具有一个或两个绿色箭头,用来指示向上或向下方向。如果箭头指向上方,该箭头指示辅助规则在主要规则前面。如果箭头指向下方,该箭头指示辅助规则在主要规则后面。只有一个主要规则可以随时处于活动状态。
  • 辅助规则: 辅助规则以某种方式与主要规则相关(通过覆盖、冲突或补充关系)。规则通过围绕它的虚线框可视化地指示出来。对于每条主要规则,可以存在一条和多条辅助规则。单击任何带有下划线的条目时,始终从主要规则的角度突出显示一条或多条辅助规则。例如,辅助规则被主要规则覆盖,或者辅助规则的访问权限与主要规则发生冲突,或者辅助规则补充主要规则。

规则类型在“Rule Analysis”(规则分析)对话框中的显示方式

当没有冲突、替代或补充时,“规则分析”对话框中没有带下划线的条目。单击任何项目都没有效果;例如,出现正常选定项目的视觉效果。

规则分析窗口有一个复选框,选中该复选框后,将仅显示冲突、覆盖、冗余或补充的规则。

规则分析

当出现覆盖时,至少有两条规则将加下划线,即主要规则以及一条或多条辅助规则。至少有一条辅助规则以较浅字体显示,指示该规则已被优先级较高的规则覆盖。您可以单击被覆盖的规则以了解覆盖该规则的一条或多条规则。每当被覆盖的规则由于该规则是主要规则或辅助规则而突出显示时,它旁边都会显示一个黑色圆圈,以进一步指示该规则处于不活动状态。例如,在单击该规则之前,对话框显示如下:

Override

单击优先级最高的规则时,对话框显示如下:

“最高优先级规则”对话框

在此示例中,正则表达式规则 WorkMail.* 是主要规则(以实线框指示),常规规则 workmailc633313818 是辅助规则(以虚线框指示)。辅助规则旁边的黑点是一个视觉提示,它进一步表明该规则处于非活动状态(永远不会被评估),因为其前面有更高的优先级正则表达式规则。单击被覆盖的规则后,对话框显示如下:

“覆盖的规则”对话框

在前面的示例中,正则表达式规则 WorkMail.* 是辅助规则(以虚线框指示),常规规则 workmailc633313818 是主要规则(以实线框指示)。对于这一简单的示例,没有太大差异。对于更为复杂的示例,请参阅本主题中后面所述的复杂表达式示例。在定义了许多规则的情景中,单击被覆盖的规则将快速识别已覆盖该规则的一条或多条规则。

当出现冲突时,至少有两条规则将加下划线,即主要规则以及一条或多条辅助规则。发生冲突的规则用红点指示。只有相互冲突的规则才可能定义了两条或多条正则表达式规则。在所有其他冲突情景中,不仅将有冲突,而且还会发生覆盖。在简单的示例中单击任一规则之前,对话框显示如下:

规则分析

通过检查这两条正则表达式规则,可以明显看出,第一条规则允许所有设备 ID 为“App”的设备,第二条规则拒绝所有设备 ID 为 Appl 的设备。此外,尽管第二条规则拒绝所有设备 ID 为 Appl 的设备,但由于允许规则的优先级更高,符合该匹配条件的设备也不会被拒绝。单击第一条规则后,对话框显示如下:

规则分析

在上述情景中,主要规则(正则表达式规则 App.*)和辅助规则(正则表达式规则 Appl.*)均以黄色突出显示。这只是一个视觉警告,提醒您注意您已将多个正则表达式规则应用于单个可匹配字段,这可能意味着冗余问题或更严重的问题。

在同时存在冲突和覆盖的情景中,主要规则(正则表达式规则 App.*)和辅助规则(正则表达式规则 Appl.*)均以黄色突出显示。这只是一个视觉警告,提醒您注意您已将多个正则表达式规则应用于单个可匹配字段,这可能意味着冗余问题或更严重的问题。

冲突和覆盖场景

在前面的示例中,显而易见,第一条规则(正则表达式规则 SAMSUNG.*)不仅覆盖下一条规则(常规规则 SAMSUNG-SM-G900A/101.40402),而且这两条规则的访问状态有所不同(主要规则指定“允许”,辅助规则指定“阻止”)。第二条规则(常规规则 SAMSUNG-SM-G900A/101.40402)以较浅文本显示,指示该规则已被覆盖,并因此处于不活动状态。

单击正则表达式规则后,对话框显示如下:

“正则表达式规则”对话框

主要规则(正则表达式规则 SAMSUNG.*)后跟一个红点,指示其访问状态与一条或多条辅助规则发生冲突。辅助规则(常规规则 SAMSUNG-SM-G900A/101.40402)后跟一个红点,指示其访问状态与主要规则发生冲突。此外,该规则还后跟黑点,指示其已被覆盖,并因此处于不活动状态。

至少有两条规则将加下划线,即主要规则以及一条或多条辅助规则。仅相互补充的规则将只涉及正则表达式规则。当规则相互补充时,将以黄色叠加表示。在简单的示例中单击任一规则之前,对话框显示如下:

补充规则

目视检查可以很容易地发现这两条规则都是正则表达式规则,均应用于适用于 Exchange ActiveSync 的 Citrix Endpoint Management 连接器中的 ActiveSync 设备 ID 字段。单击第一条规则后,对话框显示如下:

规则分析

主要规则(正则表达式规则 WorkMail.*)以黄色叠加突出显示,指示至少存在另外一个是正则表达式的辅助规则。辅助规则(正则表达式规则 SAMSUNG.*)以黄色叠加突出显示,指示辅助规则与主要规则都是要应用于适用于 Exchange ActiveSync 的连接器内同一字段的正则表达式规则。在此示例中,该字段为 ActiveSync 设备 ID。这些正则表达式可能叠加,也可能不叠加。是否正确制作正则表达式由您来决定。

复杂表达式示例

许多潜在的覆盖、冲突或补充都可能会发生,使其不可能举例说明所有可能的情景。以下示例探讨了不会执行的操作,同时还阐明了规则分析视觉构建的强大功能。大多数项目在下图中加了下划线。许多项目以较浅的字体显示,指示存在问题的规则已被优先级较高的规则以某种方式覆盖。列表中还包括几条正则表达式规则,如图标图标所示。

邮件管理器控制台

如何分析覆盖

要查看覆盖了特定规则的一条或多条规则,您可以单击该规则。

示例 1: 此示例调查了覆盖 zentrain01@zenprise.com 的原因。

访问规则

主要规则(AD-Group 规则 zenprise/TRAINING/ZenTraining Bzentrain01@zenprise.com 是其中的一个成员)具有以下特性:

  • 以蓝色突出显示并且具有实线框。
  • 有一个向上的绿色箭头(表示辅助规则都可以在其上方找到)。
  • 后跟一个红色圆圈和一个黑色圆圈,分别指示一条或多条辅助规则与其访问状态存在冲突,并且主要规则已被覆盖且因此处于不活动状态。

向上滚动时,您会看到以下内容:

规则分析

在此示例中,有两条辅助规则覆盖主要规则:正则表达式规则 zen.* 和常规规则 zentrain01@zenprise.com(属于 zenprise/TRAINING/ZenTraining A)。就后一种辅助规则而言,发生的情况是 Active Directory 组规则 ZenTraining A 有用户 zentrain01@zenprise.com,而 Active Directory 组规则 ZenTraining B 也有用户 zentrain01@zenprise.com。但是,由于辅助规则的优先级高于主要规则,因此主要规则被覆盖。主要规则的访问状态是“允许”,并且由于这两条辅助规则的访问状态都是“阻止”,因此,后跟一个红色圆圈以进一步指示访问冲突。

示例 2: 此示例显示了覆盖 ActiveSync 设备 ID 为 069026593E0C4AEAB8DE7DD589ACED33 的设备的原因:

覆盖的规则

主要规则(常规设备 ID 规则 069026593E0C4AEAB8DE7DD589ACED33)具有以下特性:

  • 以蓝色突出显示并且具有实线框。
  • 具有一个指向上方的绿色箭头(指示辅助规则能够在该箭头上方找到)。
  • 后跟一个黑色圆圈,指示辅助规则已覆盖主要规则,并因此处于非活动状态。

辅助规则

在此示例中,一条辅助规则覆盖主要规则:正则表达式 ActiveSync 设备 ID 规则 3E.*。由于正则表达式 3E.* 将会与 069026593E0C4AEAB8DE7DD589ACED33 匹配,因此,主要规则永远不会被评估。

如何分析补充和冲突

在此示例中,主要规则是正则表达式 ActiveSync 设备类型规则 touch.*。特性如下:

  • 以实线框指示,并使用黄色叠加作为警告,提示正在针对特定规则字段运行多条正则表达式规则,在这种情况下为 ActiveSync 设备类型。
  • 两个箭头分别指向上方和下方,指示至少存在一条具有较高优先级的辅助规则以及至少存在一条具有较低优先级的辅助规则。
  • 它旁边的红色圆圈表示至少有一个辅助规则的访问权限设置为“允许”,这与主规则对 Block的访问权限冲突
  • 存在两条辅助规则,即正则表达式 ActiveSync 设备类型规则 SAM.* 和正则表达式 ActiveSync 设备类型规则 Andro.*
  • 这两个辅助规则都以短划线为边界,表示它们是辅助规则。
  • 这两条辅助规则均用黄色覆盖,表示它们也适用于 ActiveSync 设备类型的规则字段。
  • 在这种情况下,您必须确保他们的正则表达式规则不是多余的。

规则场景

如何进一步分析规则

本示例探讨了规则关系如何始终从主要规则的角度建立。前面的示例显示了单击应用于设备类型值为 touch.* 的规则字段的正则表达式规则的情况。单击辅助规则 Andro.* 将显示一组不同的突出显示的辅助规则。

规则分析

此示例显示了规则关系中包含的覆盖规则。此规则是常规 ActiveSync 设备类型规则 Android,已被覆盖(通过浅色字体和旁边的黑色圆圈指示),并且其访问状态还与主要规则正则表达式 ActiveSync 设备类型规则 Andro.* 发生冲突。在单击该规则之前,该规则是辅助规则。在前面的示例中,普通的 ActiveSync 设备类型规则 Android 未显示为辅助规则,因为从当时的主要规则(正则表达式 ActiveSync 设备类型规则 touch.*)的角度来看,它与之无关。

配置常规表达式本地规则

  1. 单击 Access Rules(访问规则)选项卡。

    “访问规则”选项卡

  2. Device ID(设备 ID)列表中,选择要为其创建本地规则的字段。

  3. 单击放大镜图标显示所选字段的所有唯一匹配项。在本示例中,选择了“设备类型”字段,选项显示在以下列表框中:

    唯一匹配

  4. 在结果列表框中单击其中一个项目,然后单击以下选项之一:

    • Allow(允许)表示 Exchange 将配置为允许所有匹配设备的 ActiveSync 流量。
    • Deny(拒绝)表示 Exchange 将配置为拒绝所有匹配设备的 ActiveSync 流量。

    在此示例中,将拒绝访问设备类型为 SamsungSPhl720 的所有设备。

    Samsung 示例

添加正则表达式

正则表达式局部规则可以通过出现在它们旁边的图标来区分-一 个图标。要添加正则表达式规则,您可以通过给定字段的结果列表中的现有值来构建正则表达式规则(只要已完成主要快照),或只需键入您想要的正则表达式。

从现有字段值构建正则表达式

  1. 单击 Access Rules(访问规则)选项卡。

    “访问规则”选项卡

  2. Device ID(设备 ID)列表中,选择要为其创建正则表达式本地规则的字段。

  3. 单击放大镜图标显示所选字段的所有唯一匹配项。在本示例中,选择了“设备类型”字段,选项显示在以下列表框中:

    设备类型选项

  4. 单击结果列表中的其中一个项目。在此示例中,已选择 SAMSUNGSPHL720,并显示在 Device Type(设备类型)旁边的文本框中。

    规则分析

  5. 要允许设备类型值中包含“Samsung”的所有设备类型,请按照以下步骤添加正则表达式规则:

    1. 在所选项目文本框中单击。

    2. 将文本从 SAMSUNGSPHL720 更改为 SAMSUNG.*

    3. 确保选中正则表达式复选框。

    4. 单击 Allow(允许)。

    允许消息

构建访问规则

  1. 单击 Local Rules(本地规则)选项卡。
  2. 要输入正则表达式,需要使用“Device ID”(设备 ID)列表和所选项目文本框。

    访问规则

  3. 选择要匹配的字段。此示例使用 设备类型
  4. 键入正则表达式。此示例使用 samsung.*
  5. 确保选中“regular expression”(正则表达式)复选框,然后单击 Allow(允许)或 Deny(拒绝)。在此示例中,该选项设置为“允许”。最终结果如下所示:

    访问规则

查找设备

通过选中“regular expression”(正则表达式)复选框,可以针对与给定表达式匹配的特定设备运行搜索。此功能仅在成功完成主要快照时可用。即使没有计划使用正则表达式规则,您也可以使用此功能。例如,假定您要查找 ActiveSync 设备 ID 中包含文本 workmail 的所有设备。为此,请执行以下过程。

  1. 单击 Access Rules(访问规则)选项卡。
  2. 确保将设备匹配字段选择器设置为设备 ID(默认)。

    访问规则

  3. 在所选项目文本框(上图中以蓝色显示的框)内单击,然后键入 workmail.*
  4. 确保选中正则表达式复选框,然后单击放大镜图标以显示匹配项,如下图所示。

    正则表达式复选框

将单个用户、设备或设备类型添加到静态规则

可以基于 ActiveSync 设备选项卡上的用户、设备 ID 或设备类型添加静态规则。

  1. 单击 ActiveSync Devices(ActiveSync 设备)选项卡。

  2. 在列表中,右键单击用户、设备或设备类型,然后选择是允许所选内容还是拒绝所选内容。

    下图显示了选定 user1 时的“允许”/“拒绝”选项。

    “允许-拒绝”选项

设备监视

适用于 Exchange ActiveSync 的 Citrix Endpoint Management Connector 中的“监视”选项卡允许您浏览已检测到的 Exchange ActiveSync 和 BlackBerry 设备以及已发出的 PowerShell 自动命令的历史记录。Monitor(监视)选项卡有以下三个选项卡:

  • ActiveSync 设备:
    • 您可以通过单击 Export(导出)按钮导出显示的 ActiveSync 设备合作关系。
    • 您可以通过右键单击 User(用户)、Device ID(设备 ID)或 Type(类型)列并选择适当的允许或阻止规则类型来添加本地(静态)规则。
    • 要折叠展开的行,请按住 Ctrl 键并单击该展开的行。
  • Blackberry Devices(黑莓设备)
  • Automation History(自动化历史记录)

Configure(配置)选项卡显示所有快照的历史记录。快照历史记录显示快照发生的时间、发生了多久、检测到多少设备以及出现的任何错误:

  • Exchange 选项卡中,单击所需 Exchange Server 的信息图标。

故障排除和诊断

适用于 Exchange ActiveSync 的 Citrix Endpoint Management 连接器将错误和其他操作信息记录到其日志文件中:安装文件夹\log\XmmWindowsService.log。适用于 Exchange ActiveSync 的连接器还会将重要事件记录到 Windows 事件日志中。

更改日志记录级别

适用于 Exchange ActiveSync 的 Citrix Endpoint Management 连接器包括以下日志记录级别:错误、信息、警告、调试和跟踪。

注意:

每个连续级别将生成更多详细信息(更多数据)。例如,错误级别提供的细节最少,但跟踪级别提供的细节最多。

要更改日志记录级别,请执行以下操作:

  1. C:\Program Files\Citrix\Citrix Citrix Endpoint Management 连接器中,打开 nlog.config 文件。
  2. <rules> 部分中,更改您更倾向于使用的日志记录级别的 minilevel 参数。例如:

        <rules >
    
        <logger name="*" writeTo="file" minlevel="Debug" />
    
        </rules>
    <!--NeedCopy-->
    
  3. 保存该文件。

    所做的更改将立即生效。您不需要重新启动适用于 Exchange ActiveSync 的连接器。

常见错误

以下列表包括常见错误:

  • Exchange ActiveSync 服务的连接器无法启动

    检查日志文件和 Windows 事件日志中的错误。包括以下典型原因:

    • Exchange ActiveSync 服务的连接器无法访问 SQL Server。以下这些问题可能导致此情况:

      • SQL Server 服务未运行。
      • 身份验证失败。

      如果配置了 Windows 集成身份验证,则 Exchange ActiveSync 服务连接器的用户帐户必须是允许的 SQL 登录帐户。Exchange ActiveSync 服务的连接器帐户默认为本地系统,但可以更改为具有本地管理员权限的任何帐户。如果已配置 SQL 身份验证,必须在 SQL 中正确配置 SQL 登录。

故障排除工具

Support\PowerShell 文件夹中提供了一组用于故障排除的 PowerShell 实用程序。

故障排除工具对用户邮箱和设备进行深入分析,检测错误情况和潜在故障区域,并对用户进行深入的 RBAC 分析。该工具可以将所有 cmdlet 的原始输出保存到一个文本文件。