Một số vấn đề thường gặp với hệ thống Exchange 2003 – Activesync và cách giải quyết

Quản Trị Mạng - Bài viết dưới đây được tổng hợp dựa trên nhiều vấn đề có liên quan đến hệ thống Exchange 2003 và một số thiết bị hỗ trợ như dòng điện thoại iPhones của Apple, Windows Mobile của Microsoft, và gần đây nhất là máy tính bảng iPad khi hoạt động với Activesync.

Cụ thể, hệ thống được sử dụng trong bài thử nghiệm này dựa trên Exchange Server 2003 Service Pack 2. Trên thực tế, Activesync đã hoạt động tốt với Exchange 2003 Service Pack 1, nhưng với bản Service Pack 2 thì mọi chuyện còn đơn giản và dễ dàng hơn rất nhiều. Và để kiểm tra, các bạn hãy mở Exchange System Manager (Start > Programs > Microsoft Exchange > System Manager), chọn phần Servers, nhấn chuột phải vào hệ thống server của bạn và chọn Properties:

Trong trường hợp chưa cài đặt bản SP2, bạn hãy tiến hành download và cài đặt tại đây. Tiếp theo, hãy đảm bảo rằng cổng TCP 443 đã được mở (và chuyển tiếp) trên firewall tới server của Exchange, bên cạnh đó chúng ta không cần phải mở thêm bất cứ cổng nào khác để Activesync, vì chỉ cần cổng TCP 443 là đủ. Các bạn có thể kiểm tra điều kiện này trên hệ thống Exchange Server qua dịch vụ CanYouSeeMe, nếu chuẩn xác thì các bạn sẽ nhìn thấy dòng thông báo Success khi cổng đã được mở và chuyển tiếp đúng theo yêu cầu. Còn nếu không thì hãy kiểm tra lại thiết bị router và cấu hình lại cho phù hợp.

Tiếp theo, hãy kiểm tra LAN Adapter Binding để đảm bảo rằng thiết bị NIC của Exchange ở phía trên cùng danh sách: Start > Run > gõ ncpa.cpl > nhấn Enter > Advanced > Advanced Settings > Connections:

Mở IIS Manager (Start > Programs > Administrative Tools > Internet Information Services (IIS) Manager), mở phần Web Sites > Default Web Site, chọn Virtual Directory thích hợp > Properties và nhấn tab Directory Security:

Với hệ thống Exchange 2003 (không thuộc Small Business Server):

Exchange Virtual Directory:

Authentication = Integrated & Basic
Default Domain = tên domain NetBIOS (ví dụ tên công ty, doanh nghiệp… không quá 15 ký tự)
Realm = yourcompany.com
IP Address Restrictions = Granted Access
Secure Communications = không chọn phần Require SSL (rất quan trọng)

Microsoft – Server – Activesync Virtual Directory:

Authentication = Basic
Default Domain = tên domain NETBIOS (ví dụ tên công ty, doanh nghiệp… không quá 15 ký tự)
Realm = tên NETBIOS
IP Address Restrictions = Granted Access
Secure Communications = chọn Require SSL và Require 128-Bit Encryption IS

Với hệ thống Exchange 2003 (thuộc về Small Business Server):

Exchange Virtual Directory:

Authentication = Integrated & Basic
Default Domain = tên domain NetBIOS (ví dụ tên công ty, doanh nghiệp... )
Realm = yourcompany.com
IP Address Restrictions = Granted Access
Secure Communications = chọn Require SSL IS (rất quan trọng)

Microsoft – Server - Activesync Virtual Directory:

Authentication = Basic
Default Domain = tên domain NETBIOS (ví dụ tên công ty, doanh nghiệp... )
Realm = tên NETBIOS
IP Address Restrictions = Granted Access
Secure Communications = không chọn Require SSL và Require 128-Bit Encryption

Exchange – oma Virtual Directory:

Authentication = Integrated & Basic
Default Domain = tên domain NETBIOS (ví dụ tên công ty, doanh nghiệp... )
Realm = tên NETBIOS name
IP Address Restrictions = Restricted to IP Address of Server
Secure Communications = không chọn Require SSL và Require 128-Bit Encryption

OMA Virtual Directory:

Authentication = Basic
Default Domain = tên domain NETBIOS (ví dụ tên công ty, doanh nghiệp... )
Realm = tên NETBIOS
IP Address Restrictions = Granted Access
Secure Communications = không chọn Require SSL và Require 128-Bit Encryption

Lưu ý rằng thông tin tên công ty, doanh nghiệp... bên trên có thể được xác định bằng cách sử dụng Command Prompt (Start > Run > cmd), gõ lệnh SET và nhấn Enter. Giá trị USERDOMAIN trả về chính là thông tin chúng ta cần tìm. Bên cạnh đó, ASP.NET nên thiết lập về phiên bản v 1.1 đối với tất cả các thư mục ảo trong danh sách. Nếu bạn không nhìn thấy thẻ ASP.NET và chỉ có phiên bản v 1.1 đã được cài đặt thì cũng không cần phải lo lắng, trong trường hợp bạn chọn bất cứ phiên bản nào khác v 1.1, hãy thay đổi thành v 1.1.4322:

Bên cạnh đó, hãy chắc chắn rằng chúng ta đã kích hoạt và sử dụng tính năng HTTP Keep – Alives, nhấn chuột phải vào Default Web Site và chọn Properties, trên tab Web Site, trong phần Connections, đánh dấu vào ô Enable HTTP Keep – AlivesOK:

Tiếp theo, hãy lựa chọn Ignore Client Certificates bên dưới thư mục ảo IISADMPWD (Directory Security Tab > Edit Secure Communications). Lưu ý rằng thư mục ảo này có thể không tồn tại nếu bạn không chọn khả năng reset password thông qua Outlook Web Access (OWA).

Một số yêu cầu về IPV6:

Hãy chắc chắn rằng chúng ta không lựa chọn cài đặt IPV6 trên hệ thống, vì nếu không sẽ trở thành yếu tố phá vỡ sự ổn định trong quá trình hoạt động của Activesync (Start > Run > gõ ncpa.cpl > nhấn Enter), nhấn chuột phải vào Local Area Network Connection và chọn Properties, để ý dưới phần This Connection Uses The Following Items dành cho Internet Protocol (TCP/IP) v6, nếu thành phần đó có xuất hiện tại đây, hãy chọn Uninstall và khởi động lại hệ thống:

Tiếp theo, cần đảm bảo rằng địa chỉ IP đối với Default Website được thiết lập về All Unassigned và sử dụng cổng 80 (mở IIS Manager > nhấn chuột phải vào Default Website > Properties > Advance):

Trong trường hợp website mặc định của bạn sử dụng tất cả các cổng ngoại trừ 80, thì hệ thống sẽ không hoạt động. Do vậy nếu bạn thay đổi giá trị này để sử dụng chương trình nào đó, hãy chuyển về giá trị 80 hoặc ngừng sử dụng Activesync! Một điểm nữa cần chú ý là không nên dùng bất cứ Host Headers trên Default Website vì cũng ảnh hưởng đến Activesync. Còn nếu người sử dụng thực hiện bất cứ thay đổi nào tới IIS thì cũng cần phải reset lại toàn bộ thuộc tính tại bước này (Start > run > gõ IISRESET và nhấn Enter).


SSL Certificate:

Bên cạnh đó, hãy đảm bảo rằng giá trị name trên SSL certificate vừa cài đặt phải trùng khớp với phần Fully Qualified Domain Name (FQDN) mà chúng ta đang dùng kết nối tới ActiveSync (ví dụ như mail.microsoft.com). Để kiểm tra, nhấn chuột phải vào Default Web Site trong IIS > Properties > tab Directory Security > nhấn nút View Certificate:

 

Nếu bạn đang sử dụng hệ thống Small Business Server và không muốn mua certificate SSL từ bất kỳ đơn vị 3rd party nào đó, hãy sử dụng lại chức năng Connect To The Internet Wizard (Start > Server Management > To-Do List > Connect to the Internet):

 

Nhấn Next, nếu quá trình này tự phát hiện được thiết bị router trên hệ thống thì chọn No tại bước này:

Chọn phần Do not change connection type và nhấn Next:

Giữ nguyên các thiết lập trong phần Web Services Configuration Settings và tiếp tục chọn Next:

Chọn tiếp Create a new Web server certificate và điền giá trị vào phần Web server name, ví dụ mail.yourdomain.com và nhấn Next:

Tiếp tục là Do not change Internet e-mail configurationNext:

Và cuối cùng là Finish để kết thúc quá trình này:

Nếu bạn muốn thực hiện những thao tác trên với điện thoại sử dụng hệ điều hành Windows Mobile thì mọi việc sẽ trở nên đơn giản hơn rất nhiều, Activesync cũng sẽ dễ thích ứng và cấu hình hơn, cũng như việc mua certificate SSL. Trong trường hợp người sử dụng tự tạo certificate SSL và dùng điện thoại Windows Mobile, họ sẽ phải tiến hành cài đặt certificate SSL trên từng thiết bị mà muốn sử dụng với server Exchange 2003.

Một số thiết lập trên Windows Mobile Phone hoặc iPhone:

Email Address: địa chỉ email
Server: bất cứ thông tin nào trên certificate của bạn, ví dụ như mail.yourdomain.com
Domain: tên domain internal của bạn, ví dụ như yourdomain.com (tối đa là 15 ký tự)
Username: thông tin tài khoản, ví dụ như User123
Password: mật khẩu đăng nhập
Description: bất cứ thông tin nào được sử dụng để miêu tả về tài khoản

Kiểm tra:

Khi người dùng đã cài đặt phiên bản SP2, hãy kiểm tra lại bằng cách truy cập vào đây để đảm bảo rằng mọi thứ sẽ hoạt động theo đúng quy trình. Đây là 1 dịch vụ chính thức của Microsoft, chuyên dùng để hỗ trợ người dùng kiểm tra quá trình cài đặt và cấu hình Exchange: 

Hãy chọn phần Specify Manual Server Settings (chú ý rằng Exchange 2003 không có tính năng Autodiscover do vậy nếu dùng thiết lập Autodiscover thì sẽ xảy ra lỗi).

Đối với Certificate SSL từ phía 3rd party thì chúng ta không nên chọn phần Ignore Trust for SSL. Còn với Certificate SSL tự xác nhận, đánh dấu vào ô Ignore Trust for SSL:

Trong trường hợp bạn muốn thiết lập trên điện thoại iPhone, hãy download và sử dụng công cụ hỗ trợ miễn phí Activesync Tester – được áp dụng để xác định có lỗi trong quá trình cài đặt hay không. Bên cạnh đó, các bạn có thể sử dụng phiên bản dành cho PC tại đây.


Một số vấn đề thường gặp với Activesync và cách khắc phục:

Quy tắc đầu tiên các bạn nên nhớ là nếu thực hiện bất cứ thay đổi nào với phần thiết lập của IIS, hãy chạy lệnh IISRESET và sau đó truy cập lại https://testexchangeconnectivity.com/ để kiểm tra.

 - Activesync Error 0x86000108: quá trình thiết lập Activesync không thành công và người sử dụng nhìn thấy lỗi 0x86000108 trên điện thoại Windows Mobile. Khi gặp tình huống này, các bạn hãy tham khảo kỹ bài viết sau tại Microsoft về những tài khoản đã được xác nhận có được phân quyền truy cập tới thư mục %TEMP% hay không.

 - Application Event Log 3005 Errors: rất nhiều lỗi tương tự như 3005 có thể giải quyết bằng cách thay đổi giá trị Default Website Timeout từ 120 (mặc định) thành giá trị lớn hơn (ví dụ như 480) bằng cách sử dụng IIS Manager. Đối với người sử dụng Small Business Server 2003, hãy tham khảo bài viết hướng dẫn dưới đây.

 - Inconsistent Sync: trong trường hợp bạn nhận được thông báo về lỗi không thể đồng bộ dữ liệu - Synchronisation từ thiết bị tới server Exchange 2003, hãy thêm khóa Registry sau:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSExchangeIS\VirusScan ProactiveScanning REG_DWORD 1

 - HTTP 401 Error: khi người sử dụng gặp lỗi này trong quá trình kiểm tra bằng https://testexchangeconnectivity.com/ thì có thể do thông tin Username hoặc Password đăng nhập sai, bên cạnh đó là khả năng địa chỉ IP bị xung đột trong khâu thiết lập các thư mục ảo (xem phần Prerequisites trong IIS Settings).

 - HTTP 403 Error: hãy chắc chắn rằng tính năng Forms Based Authentication không được kích hoạt trong phần Exchange Virtual Server của Exchange Protocols (Exchange System Manager > Servers > Protocols > HTTP > Exchange Virtual Server properties > Settings). Trong trường hợp này, các bạn hãy tham khảo bài hướng dẫn sau để tạo thư mục ảo exchange – oma.

 - Có 1 số trường hợp khá đặc biệt, đó là hệ thống Activesync vẫn hoạt động cho dù xảy ra lỗi: “An HTTP 403 forbidden response was received. The response appears to have come from Unknown. Body is: <body><h2>HTTP/1.1 403 Forbidden</h2></body>”. Để giải quyết triệt để vấn đề này, các bạn hãy mở Exchange System Manager > Global Settings > Mobile Services Properties > Device Security > Exceptions, sau đó gán tài khoản của bạn vào danh sách Exceptions này.

 - Mặt khác, chúng ta cũng có thể giải quyết lỗi 403 này bằng cách sử dụng lệnh:

eseutil /p
eseutil /d and
isinteg -s servername -fix -test alltests

 - Kiểm tra xem Activesync đã được kích hoạt trên hệ thống server của bạn hay chưa: http://technet.microsoft.com/en-us/library/bb125073(EXCHG.65).aspx

 - Kiểm tra Activesync đã được kích hoạt đối với mỗi tài khoản người dùng hay chưa: http://technet.microsoft.com/en-us/library/aa997489(EXCHG.65).aspx

- HTTP 500 Error: trong trường hợp bạn vẫn không thể làm cho Activesync hoạt động hoặc hệ thống liên tục thông báo lỗi HTTP 500 Error, hãy áp dụng cách Method 2 trong bài hướng dẫn Microsoft Knowledgebase Article KB883380. Điểm mấu chốt trong quá trình này là người sử dụng phải xóa bỏ phần Exchange Virtual Directories trong IIS Metabase, sau đó khởi tạo lại từ đầu. Trong khi xóa Exchange virtual Directories, hãy nhớ xóa luôn thư mục ảo Exchange – OMA nếu có.

 - Còn nếu sau khi bạn thực hiện theo bài hướng dẫn KB 883380 mà vấn đề vẫn không được giải quyết, Activesync vẫn “không chịu” hoạt động và lỗi thông báo HTTP 500 Error vẫn hiển thị thường xuyên thì hãy tiếp tục với cách dưới đây:

 - Tắt bỏ chức năng Forms Based Authentication - Exchange HTTP Protocol (nếu đang được kích hoạt)

 - Xóa bỏ thiết lập SSL từ thư mục ảo Exchange IIS

 - Sử dụng lệnh iisreset

 - Kiểm tra Activesync mà không cần cơ chế SSL. Nếu thành công, nhấn chuột phải vào Exchange Virtual Directory và chọn Tasks> Save Configuration to a file, đặt tên file là Exchange và lưu vào Desktop.

 - Sử dụng regedit, nhấn chuột phải vào My Computer và chọn Export, đặt tên file là EntireRegistry và lưu file sao lưu này trên Desktop.

 - Trong Registry Editor, các bạn hãy tìm theo đường dẫn HKLM \ System \ CurrentControlSet \ Services \ MasSync \ Parameters và xóa key ExchangeVDir ở phần cửa sổ bên phải. Sau đó, đóng cửa sổ Registry Editor này lại.

 - Nhấn chuột phải vào phần website mặc định và chọn New> Virtual Directory, trỏ tới Desktop và chọn file Exchange.xml vừa lưu tại bước trên, nhấn nút Read File, và chọn Exchange từ phần Select a configuration to import, sau đó nhấn tiếp OK. Tiếp tục, chọn Create a new virtual Directory, đặt tên thu mục là exchange – oma và nhấn OK.

 - Sau đó, nhấn chuột phải vào thư mục ảo Exchange – OMA vừa tạo và nhấn Browse, chúng ta sẽ nhìn thấy OWA hiển thị.

 - Mở lại Registry Editor và gán file ExchangeVDir ngược trở lại thành String Value, sau đó thay đổi giá trị thành read /exchange-oma, và đóng cửa sổ Registry Editor này lại.

 - Kích hoạt cơ chế SSL và yêu cầu Encryption 128 – Bit trong Exchange Virtual Directory để sử dụng tính năng bảo mật.

 - Kích hoạt và sử dụng Forms Based Authentication (nếu muốn) trong phần Exchange > Protocols> HTTP

 - Hãy chắc chắn rằng chúng ta đã chọn Integrated Authentication trong phần Exchange Virtual Directory

 - Kiểm tra lại thư mục ảo Exchweb không sử dụng SSL

 - Sử dụng lệnh iisreset

 - Kiểm tra lại toàn bộ Activesync 1 lần nữa.

 - Nếu tất cả các bước trên đều không giúp chúng ta khắc phục được tình hình, các bạn hãy kiểm tra file log - Event ID 9667 - Source MSExchangeIS. Khi đó, hãy tham khảo kỹ bài viết MS KB820379.

 - Với một số trường hợp gặp lỗi khá đặc biệt và vô cùng khó hiểu với HTTP 500 error, chúng ta hãy kiểm tra lại 1 lần nữa toàn bộ thiết lập của EXCHWEB Virtual Directory trong IIS Manager:

Exchweb Virtual Directory:
Authentication = Anonymous
Secure Communications = không lựa chọn Require SSL và Require 128-Bit Encryption

Thư mục Exchweb > Bin:
Authentication = Basic
Secure Communications = không lựa chọn Require SSL và Require 128-Bit Encryption

Thư mục Exchweb > Bin > Auth:
Authentication = Anonymous
Secure Communications = không lựa chọn Require SSL và Require 128-Bit Encryption

Thư mục Exchweb \ Bin \ Auth \ USA:
Authentication = Basic
Secure Communications = không lựa chọn Require SSL và Require 128-Bit Encryption

Một lần nữa chúng tôi lưu ý với các bạn là khi áp dụng bất cứ thay đổi nào thiết lập IIS, hãy sử dụng lệnh IISRESET, sau đó kiểm tra lại bằng https://testexchangeconnectivity.com/. Chúc các bạn thành công!

Thứ Bảy, 16/07/2011 07:55
41 👨 3.799