Udostępnij za pośrednictwem

(Odmowa dostępu) błąd podczas próby przeniesienia skrzynek pocztowych do Exchange Online we wdrożeniu hybrydowym

  • Artykuł
  • Dotyczy:
    Exchange Online

Oryginalny numer KB: 2975731

Symptomy

Załóżmy, że masz wdrożenie hybrydowe Microsoft Exchange Server. Jeśli spróbujesz utworzyć partię migracji na potrzeby migracji zdalnej lub spróbujesz utworzyć żądanie przeniesienia po nawiązaniu połączenia z Exchange Online za pośrednictwem zdalnego programu PowerShell, zostanie wyświetlony komunikat o błędzie podobny do następującego:

Wywołanie elementu "https://< ServerName>/EWS/mrsproxy.svc" nie powiodło się. Szczegóły błędu: odmowa dostępu.
+ CategoryInfo: NotSpecified: (:) [New-MoveRequest], RemoteTransientException
+ FullyQualifiedErrorId: [Server=<Server,RequestId>=RequestId,TimeStamp=DateTime] [FailureCategory=Cmdlet-RemoteTransientException] 384B348,Microsoft.Exchange.Management.RecipientTasks.NewMoveRequest
+ PSComputerName: <ComputerName.outlook.com>

Jeśli następnie uruchomisz Test-MigrationServerAvailability polecenie cmdlet, zostanie wyświetlony komunikat o błędzie podobny do następującego:

RunspaceId: RunspaceId
Wynik: Niepowodzenie
Komunikat: Nie można określić ustawień punktu końcowego Programu ExchangeRemote na podstawie odpowiedzi automatycznego wykrywania. Nie znaleziono programu MRSProxy uruchomionego na serwerze<>.
Connectionsettings:
SupportsCutover: False
ErrorDetail: błąd wewnętrzny:Microsoft.Exchange.Migration.MigrationRemoteEndpointSettings couldNotBeAutodiscoveredException: Nie można określić ustawień punktu końcowego TheExchangeRemote na podstawie odpowiedzi automatycznego wykrywania. Nie znaleziono programu MRSProxy uruchomionego na serwerze> .< >--- Microsoft.Exchange.Migration.MigrationServerConnectionFailedException:Nie można ukończyć połączenia z serwerem "<Server>". >--- Microsoft.Exchange.MailboxReplicationService.RemoteTransientException: wywołanie< polecenia "https:// ServerName>/EWS/mrsproxy.svc" nie powiodło się. Szczegóły błędu: odmowa dostępu.. >--- Microsoft.E xchange. MailboxReplicationService.RemotePermanentException: odmowa dostępu.--- Koniec --- śledzenia wewnętrznego stosu wyjątków w witrynie Microsoft.Exchange.MailboxReplicationService.Mailbox ReplicationServiceFault.<>c__DisplayClass1.<ReconstructAnd Throw>b__0() at Microsoft.Exchange.MailboxReplicationService.Executi onContext.Execute(Action operation) at Microsoft.Exchange.MailboxReplicationService.Mailbox ReplicationServiceFault.ReconstructAndThrow(String serverName, VersionInformation serverVersion) at Microsoft.Exchange.MailboxReplicationService.CommonU tils. CallWCFService[ExceptionT](Action serviceCall, String epAddress, Action'1 faultHandler, VersionInformation serverVersion) na kafelkach Microsoft.Exchange.MailboxReplicationService.CommonU. CallService(Action serviceCall, String epAddress, VersionInformation serverVersion) at Microsoft.Exchange.Migration.MigrationExchangeProxyR pcClient.CanConnectToMrsProxy(Nazwa serwera Fqdn, Guid mbxGuid, NetworkCredential credentials, LocalizedException& error) --- End of inner exception stack trace --- at Microsoft.Exchange.Migration.DataAccessLayer.Exchang eRemoteMoveEndpoint.VerifyConnectivity() at Microsoft.Exchange.Management.Migration.TestMigrationServerAvailability. InternalProcessEndpoint(BooleanfromAutoDiscover)--- koniec śledzenia wewnętrznego stosu wyjątków ---IsValid: TrueIdentity :ObjectState : New

Na przykład ten komunikat o błędzie jest wyświetlany po uruchomieniu następującego polecenia:

Test-MigrationServerAvailability -ExchangeRemoteMove -Autodiscover -EmailAddressusername@contoso.com -Credentials (Get-Credential)

Ponadto załóżmy, że dziedziczenie nie jest włączone na koncie komputera serwera hybrydowego programu Exchange 2013 lub Exchange 2016. Jeśli ją włączysz, później odkryjesz, że została wyłączona.

Przyczyna

Ten problem występuje, jeśli konto komputera serwera hybrydowego programu Exchange 2013 lub Exchange 2016 jest członkiem co najmniej jednej grupy chronionej.

Rozwiązanie

Aby rozwiązać ten problem, wykonaj następujące kroki:

  1. Sprawdź, czy występuje ten problem. W tym celu ustal, czy konto komputera serwera hybrydowego programu Exchange 2013 ma swój adminCount atrybut ustawiony na 1.

    Aby znaleźć adminCount atrybut, wykonaj następujące kroki:

    1. Znajdź Użytkownicy i komputery usługi Active Directory, a następnie wybierz pozycję Wyświetl>funkcje zaawansowane.
    2. Rozwiń domenę serwera z systemem Exchange Server, a następnie rozwiń pozycję Komputery.
    3. Znajdź serwer programu Exchange 2013 lub Exchange 2016. Kliknij prawym przyciskiem myszy serwer, a następnie wybierz pozycję Właściwości.
    4. Znajdź kartę Atrybut Redaktor, a następnie znajdź atrybut adminCount.

    Jeśli atrybut jest ustawiony na 1, oznacza to, że konto komputera jest członkiem, bezpośrednio lub pośrednio, jednej z następujących grup chronionych:

    • Administratorzy
    • Operatory kont
    • Operatory serwera
    • Operatory drukowania
    • Operatory kopii zapasowych
    • Domain Admins
    • Schema Admins
    • Enterprise Admins
    • Wydawcy certyfikatów

    Konto komputera dla serwera hybrydowego programu Exchange 2013 powinno należeć tylko do następujących grup zabezpieczeń:

    • Komputery domeny
    • Instalacja programu Exchange
    • Serwery domeny
    • Serwery exchange
    • Zaufany podsystem programu Exchange
    • Zarządzane serwery dostępności

  2. Ustaw wartość atrybutu adminCount na koncie komputera na 0.

  3. Uruchom ponownie serwer.

Więcej informacji

Członkowie grup chronionych nie dziedziczą uprawnień z kontenera nadrzędnego.

Active Directory Domain Services (AD DS) używa mechanizmu ochrony, aby upewnić się, że listy kontroli dostępu (ACL) są poprawnie ustawione dla członków grup poufnych. Mechanizm działa jeden raz na godzinę na głównym serwerze operacji podstawowego kontrolera domeny (PDC). Wzorzec operacji porównuje listę ACL na kontach użytkowników, które są członkami grup chronionych z listą ACL w następującym obiekcie:

CN=adminSDHolder,CN=System,DC=<Domain,DC>=<Com>

Jeśli listy ACL różnią się, lista ACL obiektu użytkownika jest zastępowana w celu odzwierciedlenia ustawień zabezpieczeń obiektu adminSDHolder (a dziedziczenie listy ACL jest wyłączone). Ten proces chroni te konta przed modyfikowaniem przez nieautoryzowanych użytkowników, jeśli konta zostaną przeniesione do kontenera lub jednostki organizacyjnej, w której złośliwy użytkownik został delegowany poświadczenia administracyjne w celu zmodyfikowania kont użytkowników. Należy pamiętać, że gdy użytkownik zostanie usunięty z grupy administracyjnej, proces nie zostanie odwrócony i musi zostać zmieniony ręcznie.

Jeśli podczas przenoszenia skrzynek pocztowych do Exchange Online na platformie Microsoft 365 występują problemy, możesz uruchomić narzędzie Rozwiązywanie problemów z migracją skrzynki pocztowej platformy Microsoft 365. Ta diagnostyka jest zautomatyzowanym narzędziem do rozwiązywania problemów. Jeśli występuje znany problem, zostanie wyświetlony komunikat z informacją o tym, co poszło nie tak. Komunikat zawiera link do artykułu zawierającego rozwiązanie. Obecnie narzędzie jest obsługiwane tylko w programie Internet Explorer.

Nadal potrzebujesz pomocy? Przejdź do witryny Społeczność Microsoft lub forów Microsoft Q&A.