Partager via


Erreur (L’accès est refusé) lorsque vous essayez de déplacer des boîtes aux lettres vers Exchange Online dans un déploiement hybride

Numéro de la base de connaissances d’origine : 2975731

Symptômes

Supposons que vous disposez d’un déploiement hybride Microsoft Exchange Server. Si vous essayez de créer un lot de migration pour une migration de déplacement à distance, ou si vous essayez de créer une demande de déplacement lorsque vous êtes connecté à Exchange Online par le biais de PowerShell distant, vous recevez un message d’erreur qui ressemble au suivant :

L’appel à « https://< ServerName>/EWS/mrsproxy.svc » a échoué. Détails de l’erreur : l’accès est refusé.
+ CategoryInfo : NotSpecified : (:) [New-MoveRequest], RemoteTransientException
+ FullyQualifiedErrorId : [Server=<Server,RequestId>=RequestId,TimeStamp=DateTime] [FailureCategory=Cmdlet-RemoteTransientException] 384B348,Microsoft.Exchange.Management.RecipientTasks.NewMoveRequest
+ PSComputerName : <ComputerName.outlook.com>

Si vous exécutez ensuite l’applet Test-MigrationServerAvailability de commande, vous recevez un message d’erreur semblable au suivant :

RunspaceId : RunspaceId
Résultat : Échec
Message : Les paramètres de point de terminaison ExchangeRemote n’ont pas pu être déterminés à partir de la réponse de découverte automatique. Aucun MRSProxy n’a été trouvé en cours d’exécution sur le <serveur>.
ConnectionSettings :
SupportsCutover : False
ErrorDetail : internal error :Microsoft.Exchange.Migration.MigrationRemoteEndpointSettings couldNotBeAutodiscoveredException : les paramètres du point de terminaisonExchangeRemote n’ont pas pu être déterminés à partir de la réponse de découverte automatique. Aucun MRSProxy n’a été trouvé en cours d’exécution sur « Serveur> ».< >--- Microsoft.Exchange.Migration.MigrationServerConnectionFailedException : La connexion au serveur «< Server> » n’a pas pu être établie. >--- Microsoft.Exchange.MailboxReplicationService.RemoteTransientException : l’appel à « https://< ServerName>/EWS/mrsproxy.svc » a échoué. Détails de l’erreur : L’accès est refusé. >--- Microsoft.E xchange. MailboxReplicationService.RemotePermanentException : l’accès est refusé.--- Fin de la trace de pile d’exceptions interne --- sur Microsoft.Exchange.MailboxReplicationService.Mailbox ReplicationServiceFault.<>c__DisplayClass1.<ReconstructAnd Throw>b__0() sur Microsoft.Exchange.MailboxReplicationService.Executi onContext.Execute(Action operation) à l’adresse Microsoft.Exchange.MailboxReplicationService.Mailbox ReplicationServiceFault.ReconstructAndThrow(String serverName, VersionInformation serverVersion) à l’adresse Microsoft.Exchange.MailboxReplicationService.CommonU tils. CallWCFService[ExceptionT](Action serviceCall, String epAddress, Action'1 faultHandler, VersionInformation serverVersion) à l’adresse Microsoft.Exchange.MailboxReplicationService.CommonU tils. CallService(Action serviceCall, String epAddress, VersionInformation serverVersion) sur Microsoft.Exchange.MigrationExchangeProxyR pcClient.CanConnectToMrsProxy(Fqdn serverName, Guid mbxGuid, Informations d’identification NetworkCredential, LocalizedException& error) --- Fin de la trace de pile d’exceptions interne --- sur Microsoft.Exchange.Migration.DataAccessLayer.Exchange eRemoteMoveEndpoint.VerifyConnectivity() sur Microsoft.Exchange.Management.Migration.TestMigrationServerAvailability. InternalProcessEndpoint(BooleanfromAutoDiscover)--- Fin de la trace de pile d’exceptions interne ---IsValid : TrueIdentity :ObjectState : New

Par exemple, vous recevez ce message d’erreur lorsque vous exécutez la commande suivante :

Test-MigrationServerAvailability -ExchangeRemoteMove -Autodiscover -EmailAddressusername@contoso.com -Credentials (Get-Credential)

En outre, supposons que l’héritage n’est pas activé sur le compte d’ordinateur du serveur hybride Exchange 2013 ou Exchange 2016. Si vous l’activez, vous découvrirez plus tard qu’il a été désactivé.

Cause

Ce problème se produit si le compte d’ordinateur du serveur hybride Exchange 2013 ou Exchange 2016 est membre d’un ou de plusieurs groupes protégés.

Résolution

Pour résoudre ce problème, procédez comme suit :

  1. Vérifiez que vous rencontrez ce problème. Pour ce faire, déterminez si l’attribut du compte d’ordinateur du serveur hybride Exchange 2013 est adminCount défini sur 1.

    Pour rechercher l’attribut adminCount , procédez comme suit :

    1. Recherchez Utilisateurs et ordinateurs Active Directory, puis sélectionnez Afficher les>fonctionnalités avancées.
    2. Développez le domaine du serveur qui exécute Exchange Server, puis développez Ordinateurs.
    3. Recherchez le serveur Exchange 2013 ou Exchange 2016. Cliquez avec le bouton droit sur le serveur, puis sélectionnez Propriétés.
    4. Recherchez l’onglet Rédacteur Attribut, puis recherchez l’attribut adminCount.

    Si l’attribut est défini sur 1, cela signifie que le compte d’ordinateur est membre, directement ou indirectement, d’un autre des groupes protégés suivants :

    • Administrateurs
    • Opérateurs de compte
    • Opérateurs de serveur
    • Opérateurs d’impression
    • Opérateurs de sauvegarde
    • Administrateurs du domaine
    • Administrateurs de schéma
    • Administrateurs d'entreprise
    • Éditeurs de certificats

    Le compte d’ordinateur du serveur hybride Exchange 2013 doit appartenir uniquement aux groupes de sécurité suivants :

    • Ordinateurs de domaine
    • Installation d’Exchange
    • Serveurs de domaine
    • Serveurs Exchange
    • Sous-système approuvé Exchange
    • Serveurs de disponibilité gérés
  2. Définissez la valeur de l’attribut adminCount sur le compte d’ordinateur sur 0.

  3. Redémarrez le serveur.

Informations supplémentaires

Les membres des groupes protégés n’héritent pas des autorisations du conteneur parent.

services de domaine Active Directory (AD DS) utilise un mécanisme de protection pour s’assurer que les listes de contrôle d’accès (ACL) sont correctement définies pour les membres des groupes sensibles. Le mécanisme s’exécute une fois par heure sur les opérations du contrôleur de domaine principal (PDC) master. Les opérations master comparent la liste de contrôle d’accès sur les comptes d’utilisateur membres de groupes protégés par rapport à la liste de contrôle d’accès sur l’objet suivant :

CN=adminSDHolder,CN=System,DC=<Domain,DC>=<Com>

Si les listes de contrôle d’accès diffèrent, la liste de contrôle d’accès de l’objet utilisateur est remplacée pour refléter les paramètres de sécurité de l’objet (et l’héritage de la adminSDHolder liste de contrôle d’accès est désactivé). Ce processus empêche ces comptes d’être modifiés par des utilisateurs non autorisés si les comptes sont déplacés vers un conteneur ou une unité d’organisation où un utilisateur malveillant a été délégué des informations d’identification administratives pour modifier les comptes d’utilisateur. N’oubliez pas que lorsqu’un utilisateur est supprimé du groupe d’administration, le processus n’est pas inversé et doit être modifié manuellement.

Si vous rencontrez des problèmes lorsque vous déplacez des boîtes aux lettres vers Exchange Online dans Microsoft 365, vous pouvez exécuter l’outil Résoudre les problèmes de migration de boîtes aux lettres Microsoft 365. Ce diagnostic est un outil de résolution des problèmes automatisé. Si vous rencontrez un problème connu, vous recevez un message indiquant ce qui s’est mal passé. Le message inclut un lien vers un article qui contient la solution. Actuellement, l’outil est pris en charge uniquement dans les Explorer Internet.

Encore besoin d’aide ? Accédez à Microsoft Community ou aux Questions et réponses Microsoft.