Fehler (Zugriff verweigert) beim Versuch, Postfächer in Exchange Online in einer Hybridbereitstellung zu verschieben
Ursprüngliche KB-Nummer: 2975731
Symptome
Angenommen, Sie verfügen über eine Microsoft Exchange Server Hybridbereitstellung. Wenn Sie versuchen, einen Migrationsbatch für eine Remoteverschiebungsmigration zu erstellen, oder wenn Sie versuchen, eine Verschiebungsanforderung zu erstellen, wenn Sie über remote PowerShell mit Exchange Online verbunden sind, erhalten Sie eine Fehlermeldung, die der folgenden ähnelt:
Fehler beim Aufruf von "https://< ServerName>/EWS/mrsproxy.svc". Fehlerdetails: Der Zugriff wird verweigert.
+ CategoryInfo : NotSpecified: (:) [New-MoveRequest], RemoteTransientException
+ FullyQualifiedErrorId : [Server=<Server,RequestId>=RequestId,TimeStamp=DateTime] [FailureCategory=Cmdlet-RemoteTransientException] 384B348,Microsoft.Exchange.Management.RecipientTasks.NewMoveRequest
+ PSComputerName: <ComputerName.outlook.com>
Wenn Sie dann das Test-MigrationServerAvailability
Cmdlet ausführen, erhalten Sie eine Fehlermeldung, die der folgenden ähnelt:
RunspaceId: RunspaceId
Ergebnis: Fehler
Meldung: Die ExchangeRemote-Endpunkteinstellungen konnten nicht aus der AutoErmittlungsantwort ermittelt werden. Es wurde kein MRSProxy gefunden, der auf dem <Server> ausgeführt wird.
ConnectionSettings:
SupportsCutover: False
ErrorDetail : interner Fehler:Microsoft.Exchange.MigrationRemoteEndpointSettings couldNotBeAutodiscoveredException: TheExchangeRemote-Endpunkteinstellungen konnten nicht aus der AutoErmittlungsantwort ermittelt werden. Es wurde kein MRSProxy gefunden, der unter "Server>"< ausgeführt wird. >--- Microsoft.Exchange.Migration.MigrationServerConnectionFailedException:Die Verbindung mit dem Server konnte<> nicht hergestellt werden. >--- Microsoft.Exchange.MailboxReplicationService.RemoteTransientException: Fehler beim Aufruf von "https://< ServerName>/EWS/mrsproxy.svc". Fehlerdetails: Der Zugriff wird verweigert. >--- Microsoft.E xchange. MailboxReplicationService.RemotePermanentException: Access is denied.--- End of inner exception stack trace --- at Microsoft.Exchange.MailboxReplicationService.Mailbox ReplicationServiceFault.<>c__DisplayClass1.<ReconstructAnd Throw>b__0() at Microsoft.Exchange.MailboxReplicationService.Executi onContext.Execute(Action operation) at Microsoft.Exchange.MailboxReplicationService.Mailbox ReplicationServiceFault.ReconstructAndThrow(String serverName, VersionInformation serverVersion) at Microsoft.Exchange.MailboxReplicationService.CommonU tils. CallWCFService[ExceptionT](Action serviceCall, String epAddress, Action'1 faultHandler, VersionInformation serverVersion) at Microsoft.Exchange.MailboxReplicationService.CommonU tils. CallService(Action serviceCall, String epAddress, VersionInformation serverVersion) at Microsoft.Exchange.Migration.MigrationExchangeProxyR pcClient.CanConnectToMrsProxy(Fqdn serverName, Guid mbxGuid, NetworkCredential-Anmeldeinformationen, LocalizedException& Fehler) --- Ende der ablaufverfolgung des inneren Ausnahmestapels --- unter Microsoft.Exchange.Migration.DataAccessLayer.Exchange eRemoteMoveEndpoint.VerifyConnectivity() unter Microsoft.Exchange.Management.Migration.TestMigrationServerAvailability. InternalProcessEndpoint(BooleanfromAutoDiscover)--- Ende der internen Ausnahmestapelüberwachung ---IsValid : TrueIdentity :ObjectState : New
Sie erhalten beispielsweise diese Fehlermeldung, wenn Sie den folgenden Befehl ausführen:
Test-MigrationServerAvailability -ExchangeRemoteMove -Autodiscover -EmailAddressusername@contoso.com -Credentials (Get-Credential)
Nehmen Sie außerdem an, dass die Vererbung für das Computerkonto des Exchange 2013- oder Exchange 2016-Hybridservers nicht aktiviert ist. Wenn Sie sie aktivieren, stellen Sie später fest, dass sie deaktiviert wurde.
Ursache
Dieses Problem tritt auf, wenn das Computerkonto des Exchange 2013- oder Exchange 2016-Hybridservers Mitglied einer oder mehrerer geschützter Gruppen ist.
Lösung
Gehen Sie folgendermaßen vor, um dieses Problem zu beheben:
Vergewissern Sie sich, dass dieses Problem auftritt. Ermitteln Sie dazu, ob das -Attribut für das Computerkonto des Exchange 2013-Hybridservers auf 1 festgelegt ist
adminCount
.Führen Sie die folgenden Schritte aus, um das
adminCount
Attribut zu finden:- Suchen Sie nach Active Directory-Benutzer und -Computer, und wählen Sie dannErweiterte Featuresanzeigen> aus.
- Erweitern Sie die Domäne für den Server, auf dem Exchange Server ausgeführt wird, und erweitern Sie dann Computer.
- Suchen Sie den Exchange 2013- oder Exchange 2016-Server. Klicken Sie mit der rechten Maustaste auf den Server, und wählen Sie dann Eigenschaften aus.
- Suchen Sie die Registerkarte Attribut Editor, und suchen Sie dann nach dem Attribut adminCount.
Wenn das Attribut auf 1 festgelegt ist, bedeutet dies, dass das Computerkonto direkt oder indirekt Mitglied einer der folgenden geschützten Gruppen ist:
- Administratoren
- Kontooperatoren
- Serveroperatoren
- Druckoperatoren
- Sicherungs-Operatoren
- Domänen-Admins
- Schema-Admins
- Organisations-Admins
- Zertifikatverleger
Das Computerkonto für den Exchange 2013-Hybridserver sollte nur den folgenden Sicherheitsgruppen angehören:
- Domänencomputer
- Exchange-Installation
- Domänenserver
- Exchange-Server
- Vertrauenswürdiges Exchange-Teilsystem
- Verwaltete Verfügbarkeitsserver
Legen Sie den Wert des
adminCount
Attributs für das Computerkonto auf 0 fest.Starten Sie den Server neu.
Weitere Informationen
Mitglieder geschützter Gruppen erben keine Berechtigungen vom übergeordneten Container.
Active Directory Domain Services (AD DS) verwendet einen Schutzmechanismus, um sicherzustellen, dass Zugriffssteuerungslisten (Access Control Lists, ACLs) für Mitglieder vertraulicher Gruppen ordnungsgemäß festgelegt sind. Der Mechanismus wird einmal pro Stunde für die PDC-Vorgänge (Primary Domain Controller) master ausgeführt. Die Vorgänge master vergleicht die ACL für die Benutzerkonten, die Mitglieder geschützter Gruppen sind, mit der ACL für das folgende Objekt:
CN=adminSDHolder,CN=System,DC=<domain,DC>=<com>
Wenn sich die ACLs unterscheiden, wird die ACL für das Benutzerobjekt überschrieben, um die Sicherheitseinstellungen des Objekts widerzuspiegeln (und die adminSDHolder
ACL-Vererbung ist deaktiviert). Dieser Prozess schützt diese Konten vor änderungen durch nicht autorisierte Benutzer, wenn die Konten in einen Container oder eine Organisationseinheit verschoben werden, in der einem böswilligen Benutzer Administratoranmeldeinformationen zum Ändern von Benutzerkonten delegiert wurden. Beachten Sie folgendes: Wenn ein Benutzer aus der administrativen Gruppe entfernt wird, wird der Prozess nicht umgekehrt und muss manuell geändert werden.
Wenn beim Verschieben von Postfächern in Exchange Online in Microsoft 365 Probleme auftreten, können Sie das Tool zur Problembehandlung bei der Microsoft 365-Postfachmigration ausführen. Diese Diagnose ist ein automatisiertes Problembehandlungstool. Wenn ein bekanntes Problem auftritt, erhalten Sie eine Meldung, die angibt, was schiefgelaufen ist. Die Meldung enthält einen Link zu einem Artikel, der die Lösung enthält. Derzeit wird das Tool nur in Internet-Explorer unterstützt.
Benötigen Sie weitere Hilfe? Besuchen Sie die Microsoft Community oder die Microsoft Q&A.