Erro (O acesso é negado) ao tentar mover caixas de correio para Exchange Online em uma implantação híbrida
Número de KB original: 2975731
Sintomas
Suponha que você tenha uma implantação híbrida Microsoft Exchange Server. Se você tentar criar um lote de migração para uma migração de movimento remoto ou se tentar criar uma solicitação de movimentação quando estiver conectado ao Exchange Online por meio do PowerShell remoto, receberá uma mensagem de erro que se assemelha ao seguinte:
A chamada para 'https://< ServerName>/EWS/mrsproxy.svc' falhou. Detalhes do erro: o acesso é negado.
+ CategoryInfo : NotSpecified: (:) [New-MoveRequest], RemoteTransientException
+ FullyQualifiedErrorId : [Server=<Server,RequestId>=RequestId,TimeStamp=DateTime] [FailureCategory=Cmdlet-RemoteTransientException] 384B348,Microsoft.Exchange.Management.RecipientTasks.NewMoveRequest
+ PSComputerName : <ComputerName.outlook.com>
Se você executar o Test-MigrationServerAvailability
cmdlet, receberá uma mensagem de erro que se assemelha ao seguinte:
RunspaceId: RunspaceId
Resultado: falha
Mensagem : as configurações do ponto de extremidade ExchangeRemote não puderam ser determinadas a partir da resposta de descoberta automática. Nenhum MRSProxy foi encontrado em execução no <Server>.
Connectionsettings:
SupportsCutover : False
ErrorDetail : erro interno:Microsoft.Exchange.Migration.MigrationRemoteEndpointSettings couldNotBeAutodiscoveredException: as configurações do ponto de extremidade TheExchangeRemote não puderam ser determinadas a partir da resposta de descoberta automática. Nenhum MRSProxy foi encontrado em execução no '<Server>'. >--- Microsoft.Exchange.Migration.MigrationServerConnectionFailedException:A conexão com o servidor '<Server'não> pôde ser concluída. >--- Microsoft.Exchange.MailboxReplicationService.RemoteTransientException: falha na chamada para 'https://< ServerName>/EWS/mrsproxy.svc'. Detalhes do erro: o acesso é negado.. >--- microsoft.e xchange. MailboxReplicationService.RemotePermanentException: o acesso é negado.--- Fim do --- de rastreamento de pilha de exceção interna em Microsoft.Exchange.MailboxReplicationService.Mailbox ReplicationServiceFault.<>c__DisplayClass1.<ReconstructAnd Throw>b__0() at Microsoft.Exchange.MailboxReplicationService.Executi onContext.Execute(Action operation) at Microsoft.Exchange.MailboxReplicationService.Mailbox ReplicationServiceFault.ReconstructAndThrow(String serverName, VersionInformation serverVersion) at Microsoft.Exchange.MailboxReplicationService.CommonU tils. CallWCFService[ExceptionT](Action serviceCall, String epAddress, Action'1 faultHandler, VersionInformation serverVersion) em blocos Microsoft.Exchange.MailboxReplicationService.CommonU. CallService(Action serviceCall, String epAddress, VersionInformation serverVersion) em Microsoft.Exchange.Migration.MigrationExchangeProxyR pcClient.CanConnectToMrsProxy(Fqdn serverName, Guid mbxGuid, credenciais NetworkCredential, LocalizedException& error) --- End of inner exception stack trace --- at Microsoft.Exchange.Migration.DataAccessLayer.Exchang eRemoteMoveEndpoint.VerifyConnectivity() at Microsoft.Exchange.Management.Migration.TestMigrationServerAvailability. InternalProcessEndpoint(BooleanfromAutoDiscover)--- Fim do rastreamento de pilha de exceção interna ---IsValid : TrueIdentity :ObjectState : New
Por exemplo, você recebe essa mensagem de erro ao executar o seguinte comando:
Test-MigrationServerAvailability -ExchangeRemoteMove -Autodiscover -EmailAddressusername@contoso.com -Credentials (Get-Credential)
Além disso, suponha que a herança não esteja habilitada na conta de computador do servidor híbrido exchange 2013 ou Exchange 2016. Se você habilitá-lo, você descobrirá mais tarde que ele foi desabilitado.
Motivo
Esse problema ocorrerá se a conta de computador do servidor híbrido exchange 2013 ou Exchange 2016 for membro de um ou mais grupos protegidos.
Solução
Para resolver esse problema, siga estas etapas:
Verifique se você está enfrentando esse problema. Para fazer isso, determine se a conta de computador do servidor híbrido do Exchange 2013 tem seu
adminCount
atributo definido como 1.Para localizar o
adminCount
atributo, siga estas etapas:- Localize Usuários e Computadores do Active Directory e selecione Exibir>Recursos Avançados.
- Expanda o domínio para o servidor que está executando Exchange Server e expanda Computadores.
- Localize o servidor Exchange 2013 ou Exchange 2016. Clique com o botão direito do mouse no servidor e selecione Propriedades.
- Localize a guia Atributo Editor e localize o atributo adminCount.
Se o atributo for definido como 1, isso significa que a conta do computador é um membro, direta ou indiretamente, de mais um dos seguintes grupos protegidos:
- Administradores
- Operadores de Conta
- Operadores de Servidor
- Operadores de Impressão
- Operadores de backup
- Admins de domínio
- Administradores de esquemas
- Admins corporativos
- Cert Publishers
A conta de computador do servidor híbrido do Exchange 2013 deve pertencer apenas aos seguintes grupos de segurança:
- Computadores de Domínio
- Instalação do Exchange
- Servidores de Domínio
- Exchange Servers
- Subsistema confiável do Exchange
- Servidores de Disponibilidade Gerenciada
Defina o valor do
adminCount
atributo na conta do computador como 0.Reiniciar o servidor.
Mais informações
Membros de grupos protegidos não herdam permissões do contêiner pai.
Active Directory Domain Services (AD DS) usa um mecanismo de proteção para garantir que as ACLs (listas de controle de acesso) sejam definidas corretamente para membros de grupos confidenciais. O mecanismo é executado uma vez por hora nas operações do PDC (controlador de domínio primário) master. As operações master compara a ACL nas contas de usuário que são membros de grupos protegidos contra a ACL no seguinte objeto:
CN=adminSDHolder,CN=System,DC=<Domain,DC>=<Com>
Se as ACLs forem diferentes, a ACL no objeto de usuário será substituída para refletir as configurações de segurança do objeto (e a adminSDHolder
herança ACL está desabilitada). Esse processo protege essas contas de serem modificadas por usuários não autorizados se as contas forem movidas para um contêiner ou uma unidade organizacional em que um usuário mal-intencionado tiver sido delegado credenciais administrativas para modificar contas de usuário. Lembre-se de que quando um usuário é removido do grupo administrativo, o processo não é revertido e deve ser alterado manualmente.
Se você tiver problemas ao mover caixas de correio para Exchange Online no Microsoft 365, poderá executar a ferramenta Solucionar problemas do Microsoft 365 Mailbox Migration. Esse diagnóstico é uma ferramenta automatizada de solução de problemas. Se você estiver enfrentando um problema conhecido, receberá uma mensagem informando o que deu errado. A mensagem inclui um link para um artigo que contém a solução. Atualmente, a ferramenta tem suporte apenas no Explorer da Internet.
Ainda precisa de ajuda? Acesse a Comunidade da Microsoft ou as Perguntas e Respostas da Microsoft.