Del via

(Ingen tilgang) når du prøver å flytte postbokser til Exchange Online i en hybriddistribusjon

  • Artikkel
  • Gjelder for:
    Exchange Online

Opprinnelig KB-nummer: 2975731

Symptomer

Anta at du har en Microsoft Exchange Server hybriddistribusjon. Hvis du prøver å opprette en overføringsgruppe for en ekstern overføring, eller hvis du prøver å opprette en overføringsforespørsel når du er koblet til Exchange Online via ekstern PowerShell, får du en feilmelding som ligner på følgende:

Kallet til https://< ServerName>/EWS/mrsproxy.svc mislyktes. Feildetaljer: Ingen tilgang.
+ CategoryInfo: NotSpecified: (:) [New-MoveRequest], RemoteTransientException
+ FullyQualifiedErrorId: [Server=<Server,RequestId>=RequestId,TimeStamp=DateTime] [FailureCategory=Cmdlet-RemoteTransientException] 384B348,Microsoft.Exchange.Management.RecipientTasks.NewMoveRequest
+ PSComputerName: <ComputerName.outlook.com>

Hvis du deretter kjører cmdleten Test-MigrationServerAvailability , får du en feilmelding som ligner på følgende:

RunspaceId: RunspaceId
Resultat: Mislyktes
Melding: Kan ikke fastslå innstillingene for ExchangeRemote-endepunktet fra autosøksvaret. Ingen MRSProxy ble funnet kjører på <serveren>.
ConnectionSettings :
SupportsCutover: False
ErrorDetail: intern feil:Microsoft.Exchange.Migration.MigrationRemoteEndpointSettings couldNotBeAutodiscoveredException: Endepunktinnstillingene for TheExchangeRemote kan ikke fastslås fra autosøksvaret. Ingen MRSProxy ble funnet kjører på '<Server>'. >--- Microsoft.Exchange.Migration.MigrationServerConnectionFailedException: Kan ikke fullføre tilkoblingen til serveren< Server>. >--- Microsoft.Exchange.MailboxReplicationService.RemoteTransientException: Kallet til https://< ServerName>/EWS/mrsproxy.svc mislyktes. Feildetaljer: Ingen tilgang.. >--- Microsoft.E xchange. MailboxReplicationService.RemotePermanentException: Access is denied.--- End of inner exception stack trace --- at Microsoft.Exchange.MailboxReplicationService.Mailbox ReplicationServiceFault.<>c__DisplayClass1.<ReconstructAnd Throw>b__0() at Microsoft.Exchange.MailboxReplicationService.Executi onContext.Execute(Action operation) at Microsoft.Exchange.MailboxReplicationService.Mailbox ReplicationServiceFault.ReconstructAndThrow(String serverName, VersionInformation serverVersion) at Microsoft.Exchange.MailboxReplicationService.CommonU tils. CallWCFService[ExceptionT](Action serviceCall, String epAddress, Action'1 faultHandler, VersionInformation serverVersion) på Microsoft.Exchange.MailboxReplicationService.CommonU-fliser. CallService(Action serviceCall, String epAddress, VersionInformation serverVersion) at Microsoft.Exchange.Migration.MigrationExchangeProxyR pcClient.CanConnectToMrsProxy(Fqdn serverName, Guid mbxGuid, NetworkCredential credentials, LocalizedException& error) --- End of inner exception stack trace --- at Microsoft.Exchange.Migration.DataAccessLayer.Exchang eRemoteMoveEndpoint.VerifyConnectivity() at Microsoft.Exchange.Management.Migration.TestMigrationServerAvailability. InternalProcessEndpoint(BooleanfromAutoDiscover)--- End of inner exception stack trace ---IsValid : TrueIdentity :ObjectState : New

Du får for eksempel denne feilmeldingen når du kjører følgende kommando:

Test-MigrationServerAvailability -ExchangeRemoteMove -Autodiscover -EmailAddressusername@contoso.com -Credentials (Get-Credential)

Anta i tillegg at arv ikke er aktivert på datamaskinkontoen til Exchange 2013- eller Exchange 2016-hybridserveren. Hvis du aktiverer den, oppdager du senere at den er deaktivert.

Årsak

Dette problemet oppstår hvis datamaskinkontoen til exchange 2013- eller Exchange 2016-hybridserveren er medlem av én eller flere beskyttede grupper.

Løsning

Følg disse trinnene for å løse dette problemet:

  1. Kontroller at du opplever dette problemet. Dette gjør du ved å finne ut om datamaskinkontoen til exchange 2013-hybridserveren har adminCount attributtet satt til 1.

    Følg disse trinnene for å finne attributtet adminCount :

    1. Finn Active Directory-brukere og -datamaskiner, og velg deretter Vis>avanserte funksjoner.
    2. Utvid domenet for serveren som kjører Exchange Server, og utvid deretter Datamaskiner.
    3. Finn Exchange 2013- eller Exchange 2016-serveren. Høyreklikk på serveren, og velg deretter Egenskaper.
    4. Finn attributtet Redaktør fanen, og finn deretter adminCount-attributtet.

    Hvis attributtet er satt til 1, betyr dette at datamaskinkontoen er et medlem, direkte eller indirekte, av én av følgende beskyttede grupper:

    • Administratorer
    • Kontooperatorer
    • Serveroperatorer
    • Utskriftsoperatorer
    • Sikkerhetskopioperatorer
    • Domeneadministratorer
    • Skjemaadministratorer
    • Bedriftsadministratorer
    • Sertifikatutgivere

    Datamaskinkontoen for exchange 2013-hybridserveren skal bare tilhøre følgende sikkerhetsgrupper:

    • Domenedatamaskiner
    • Exchange-installasjon
    • Domeneservere
    • Exchange-servere
    • Exchange-klarert delsystem
    • Servere for administrert tilgjengelighet

  2. Angi verdien for attributtet adminCount på datamaskinkontoen til 0.

  3. Start serveren på nytt.

Mer informasjon

Medlemmer av beskyttede grupper arver ikke tillatelser fra den overordnede beholderen.

Active Directory Domain Services (AD DS) bruker en beskyttelsesmekanisme for å sikre at tilgangskontrollister (ACLer) er riktig angitt for medlemmer av sensitive grupper. Mekanismen kjører én gang i timen på den primære operasjonsoriginalen for domenekontroller (PDC). Operasjonsoriginalen sammenligner ACL på brukerkontoene som er medlemmer av beskyttede grupper mot ACL på følgende objekt:

CN=adminSDHolder,CN=System,DC=<Domain,DC>=<com>

Hvis tilgangskontrollistene er forskjellige, overskrives ACL på brukerobjektet for å gjenspeile sikkerhetsinnstillingene for adminSDHolder objektet (og ACL-arv er deaktivert). Denne prosessen beskytter disse kontoene mot å bli endret av uautoriserte brukere hvis kontoene flyttes til en beholder eller en organisasjonsenhet der en ondsinnet bruker har blitt delegert administrativ legitimasjon for å endre brukerkontoer. Vær oppmerksom på at når en bruker fjernes fra den administrative gruppen, reverseres ikke prosessen og må endres manuelt.

Hvis du opplever problemer når du flytter postbokser til Exchange Online i Microsoft 365, kan du kjøre verktøyet Feilsøk overføring av Postboks for Microsoft 365. Dette diagnoseverktøyet er et automatisert feilsøkingsverktøy. Hvis du opplever et kjent problem, får du en melding om hva som gikk galt. Meldingen inneholder en kobling til en artikkel som inneholder løsningen. Verktøyet støttes for øyeblikket bare i Internet Explorer.

Trenger du fremdeles hjelp? Gå til Microsoft Community eller Microsoft Q&A.