пятница, 8 августа 2014 г.

Как заблокировать ActiveSync устройства iOS 6.1 в Exchange Server 2010

С прошлой недели начали появляться сообщения о новом баге в прошивке Apple iOS 6.1 для iPhone and iPad, которвые могут вызывать быстрый рост логов транзакций на сервере Exchаnge. По какой то причине устройства после обновления уходят цикл, генерирующий более 50ГБ логов. Лично на своем сервере я наблюдаю проблемные прошивки, но не наблюдаю проблемы. По всей видимости Apple уже выпустило обновленную прошивку, поэтому конкретно данная ситуация вас скорее всего не коснется. Однако статью все равно опубликую, т.к. она показывает как получать список устройств и как их блокировать.

Для тех, кто без преувеличения является счастливым обладателем Exchange Server 2010 (и Exchange 2013), можно использовать правила доступа устройств ActiveSync для блокировки устройств определенных типов. В рассмотренном ниже сценарии у нас есть две доступные опции в командлете New-ActiveSyncDeviceAccessRule.
Когда ранее настроенное устройство будет заблокировано то сообщение об ошибке будет выглядеть следующим образом, что может немного смутить пользователя.
К счастью, он также получит по электронной почте письмо с более подробными данными.

Определение устройств с iOS 6.1

Для получения списка устройств запустим следующую команду:
[PS] C:\>Get-ActiveSyncDevice | where {$_.deviceos -match "iOS 6.1"} | select devicetype,deviceos,deviceuseragent
DeviceType DeviceOS DeviceUserAgent
---------- -------- ---------------
iPhone iOS 6.1 10B142 Apple-iPhone4C1/1002.142
iPad iOS 6.1 10B141 Apple-iPad3C3/1002.141

У меня в тестовой среде не очень много устройств, в большой производственной среде у вас их скорее всего будет на порядок больше.

Блокировка устройств iOS 6.1 на основании Device OS

Для создания правила блокировки на основании Device OS необходимо выполнить следующую команду:
[PS] C:\>New-ActiveSyncDeviceAccessRule -QueryString "iOS 6.1 10B142" -Characteristic DeviceOS -AccessLevel Block
RunspaceId : c2c8c056-446f-44f3-9e94-445f34c070dd
QueryString : iOS 6.1 10B142
Characteristic : DeviceOS
AccessLevel : Block
Name : iOS 6.1 10B142 (DeviceOS)
AdminDisplayName :
ExchangeVersion : 0.10 (14.0.100.0)
DistinguishedName : CN=iOS 6.1 10B142 (DeviceOS),CN=Mobile Mailbox Settings,CN=Exchange Server Pro,CN=Microsoft Exchang
e,CN=Services,CN=Configuration,DC=exchangeserverpro,DC=netIdentity : iOS 6.1 10B142 (DeviceOS)
Guid : 98ddca22-22aa-4bf8-b08a-ff785dc1b911
ObjectCategory : exchangeserverpro.net/Configuration/Schema/ms-Exch-Device-Access-Rule
ObjectClass : {top, msExchDeviceAccessRule}
WhenChanged : 2/11/2013 9:21:52 AM
WhenCreated : 2/11/2013 9:21:52 AM
WhenChangedUTC : 2/10/2013 11:21:52 PM
WhenCreatedUTC : 2/10/2013 11:21:52 PM
OrganizationId :
OriginatingServer : HO-DC.exchangeserverpro.net
IsValid : True

Блокировка устройств iOS 6.1 на основании User Agent

Для создания правила блокировки на основании User Agent необходимо выполнить следующую команду:
[PS] C:\temp>New-ActiveSyncDeviceAccessRule -QueryString "Apple-iPhone4C1/1002.142" -Characteristic UserAgent -AccessLevel Block
RunspaceId : c2c8c056-446f-44f3-9e94-445f34c070dd
QueryString : Apple-iPhone4C1/1002.142
Characteristic : UserAgent
AccessLevel : Block
Name : Apple-iPhone4C1/1002.142 (UserAgent)
AdminDisplayName :
ExchangeVersion : 0.10 (14.0.100.0)
DistinguishedName : CN=Apple-iPhone4C1/1002.142 (UserAgent),CN=Mobile Mailbox Settings,CN=Exchange Server Pro,CN=Micros oft Exchange,CN=Services,CN=Configuration,DC=exchangeserverpro,DC=net
Identity : Apple-iPhone4C1/1002.142 (UserAgent)
Guid : 167bb732-5eef-45b0-aa3a-d421682dabb9
ObjectCategory : exchangeserverpro.net/Configuration/Schema/ms-Exch-Device-Access-Rule
ObjectClass : {top, msExchDeviceAccessRule}
WhenChanged : 2/11/2013 9:31:15 AM
WhenCreated : 2/11/2013 9:31:15 AM
WhenChangedUTC : 2/10/2013 11:31:15 PM
WhenCreatedUTC : 2/10/2013 11:31:15 PM
OrganizationId :
OriginatingServer : HO-DC.exchangeserverpro.net
IsValid : True

Удаление правила доступа устройства

Когда пройдет определенное время и вы будете уверены, что подобные устройства у вас не появятся, то можно будет удалить созданное ранее правило. Для этого используется командлет Remove-ActiveSyncDeviceAccessRule .
[PS] C:\>Get-ActiveSyncDeviceAccessRule | select identity
Identity
--------
Apple-iPhone4C1/1002.142 (UserAgent)
[PS] C:\>Remove-ActiveSyncDeviceAccessRule "Apple-iPhone4C1/1002.142 (UserAgent)"

На этом все. Это не единственный способ блокировки. Из известных мне есть ещё возможность создания правила в IIS на CAS сервере. Однако на мой взгляд данный метод самый простой и наглядный.

Источник: здесь

Комментариев нет:

Отправить комментарий