Partilhar via

Erro (Acesso negado) ao tentar mover caixas de correio para Exchange Online numa implementação híbrida

  • Artigo
  • Aplica-se a:
    Exchange Online

Número original da BDC: 2975731

Sintomas

Suponha que tem uma implementação híbrida Microsoft Exchange Server. Se tentar criar um lote de migração para uma migração de movimentação remota ou se tentar criar um pedido de movimentação quando estiver ligado ao Exchange Online através do PowerShell remoto, receberá uma mensagem de erro semelhante ao seguinte:

A chamada para "https://< ServerName>/EWS/mrsproxy.svc" falhou. Detalhes do erro: Acesso negado.
+ CategoryInfo: NotSpecified: (:) [New-MoveRequest], RemoteTransientException
+ FullyQualifiedErrorId: [Server=<Server,RequestId>=RequestId,TimeStamp=DateTime] [FailureCategory=Cmdlet-RemoteTransientException] 384B348,Microsoft.Exchange.Management.RecipientTasks.NewMoveRequest
+ PSComputerName: <ComputerName.outlook.com>

Se, em seguida, executar o Test-MigrationServerAvailability cmdlet, receberá uma mensagem de erro semelhante à seguinte:

RunspaceId: RunspaceId
Resultado: Falha
Mensagem: Não foi possível determinar as definições do ponto final do ExchangeRemote a partir da resposta de deteção automática. Não foi encontrado nenhum MRSProxy em execução no <Servidor>.
ConnectionSettings:
SupportsCutover: False
ErrorDetail: erro interno:Microsoft.Exchange.Migration.MigrationRemoteEndpointSettings couldNotBeAutodiscoveredException: Não foi possível determinar as definições do ponto final TheExchangeRemote a partir da resposta de deteção automática. Não foi encontrado nenhum MRSProxy em execução em "<Server>". >--- Microsoft.Exchange.Migration.MigrationServerConnectionFailedException: não foi possível concluir a ligação ao servidor "<Server>". >--- Microsoft.Exchange.MailboxReplicationService.RemoteTransientException: a chamada para "https://< ServerName>/EWS/mrsproxy.svc" falhou. Detalhes do erro: Acesso negado.. >--- Microsoft.E xchange. MailboxReplicationService.RemotePermanentException: Acesso negado.--- Fim do rastreio de pilha de exceções interna --- em Microsoft.Exchange.MailboxReplicationService.Mailbox ReplicationServiceFault.<>c__DisplayClass1.<ReconstructAnd Throw>b__0() em Microsoft.Exchange.MailboxReplicationService.Executi onContext.Execute(Action operation) em Microsoft.Exchange.MailboxReplicationService.Mailbox ReplicationServiceFault.ReconstructAndThrow(String serverName, VersionInformation serverVersion) em Microsoft.Exchange.MailboxReplicationService.CommonU tils. CallWCFService[ExceptionT](Action serviceCall, String epAddress, Action'1 faultHandler, VersionInformation serverVersion) em Microsoft.Exchange.MailboxReplicationService.CommonU tils. CallService(Action serviceCall, String epAddress, VersionInformation serverVersion) em Microsoft.Exchange.Migration.MigrationExchangeProxyR pcClient.CanConnectToMrsProxy(Fqdn serverName, Guid mbxGuid, credenciais NetworkCredential, LocalizedException& erro) --- Fim do rastreio interno da pilha de exceções --- em Microsoft.Exchange.Migration.DataAccessLayer.Exchang eRemoteMoveEndpoint.VerifyConnectivity() em Microsoft.Exchange.Management.Migration.TestMigrationServerAvailability. InternalProcessEndpoint(BooleanfromAutoDiscover)--- Fim do rastreio da pilha de exceções interna ---IsValid: TrueIdentity :ObjectState: New

Por exemplo, recebe esta mensagem de erro quando executa o seguinte comando:

Test-MigrationServerAvailability -ExchangeRemoteMove -Autodiscover -EmailAddressusername@contoso.com -Credentials (Get-Credential)

Além disso, suponha que a herança não está ativada na conta de computador do servidor híbrido exchange 2013 ou Exchange 2016. Se a ativar, irá descobrir mais tarde que foi desativada.

Causa

Este problema ocorre se a conta de computador do servidor híbrido exchange 2013 ou Exchange 2016 for membro de um ou mais grupos protegidos.

Resolução

Para resolver este problema, siga estes passos:

  1. Verifique se está a ter este problema. Para tal, determine se a conta de computador do servidor híbrido do Exchange 2013 tem o atributo adminCount definido como 1.

    Para localizar o adminCount atributo, siga estes passos:

    1. Localize Utilizadores e Computadores do Active Directory e, em seguida, selecione Ver>Funcionalidades Avançadas.
    2. Expanda o domínio do servidor que está a executar Exchange Server e, em seguida, expanda Computadores.
    3. Localize o servidor exchange 2013 ou Exchange 2016. Clique com o botão direito do rato no servidor e, em seguida, selecione Propriedades.
    4. Localize o separador Atributo Revisor e, em seguida, localize o atributo adminCount.

    Se o atributo estiver definido como 1, significa que a conta de computador é um membro, direta ou indiretamente, de mais um dos seguintes grupos protegidos:

    • Administradores
    • Operadores de Conta
    • Operadores de Servidor
    • Operadores de Impressão
    • Operadores de Cópia de Segurança
    • Administradores de Domínio
    • Administradores de Esquema
    • Administradores empresariais
    • Cert Publishers

    A conta de computador do servidor híbrido do Exchange 2013 deve pertencer apenas aos seguintes grupos de segurança:

    • Computadores de Domínio
    • Instalação do Exchange
    • Servidores de Domínio
    • Exchange Servers
    • Subsistema Fidedigno do Exchange
    • Servidores de Disponibilidade Gerida

  2. Defina o valor do adminCount atributo na conta de computador como 0.

  3. Reinicie o servidor.

Mais informações

Os membros de grupos protegidos não herdam permissões do contentor principal.

Active Directory Domain Services (AD DS) utiliza um mecanismo de proteção para garantir que as listas de controlo de acesso (ACLs) estão definidas corretamente para membros de grupos confidenciais. O mecanismo é executado uma vez por hora no mestre de operações do controlador de domínio primário (PDC). O mestre de operações compara a ACL nas contas de utilizador que são membros de grupos protegidos com a ACL no seguinte objeto:

CN=adminSDHolder,CN=System,DC=<Domain,DC>=<Com>

Se as ACLs forem diferentes, a ACL no objeto de utilizador é substituída para refletir as definições de segurança do adminSDHolder objeto (e a herança da ACL está desativada). Este processo protege estas contas de serem modificadas por utilizadores não autorizados se as contas forem movidas para um contentor ou uma unidade organizacional onde um utilizador malicioso tenha sido delegado credenciais administrativas para modificar contas de utilizador. Tenha em atenção que, quando um utilizador é removido do grupo administrativo, o processo não é invertido e tem de ser alterado manualmente.

Se tiver problemas ao mover caixas de correio para Exchange Online no Microsoft 365, pode executar a ferramenta de Resolução de Problemas de Migração de Caixas de Correio do Microsoft 365. Este diagnóstico é uma ferramenta de resolução de problemas automatizada. Se estiver a ter um problema conhecido, receberá uma mensagem a indicar o que correu mal. A mensagem inclui uma ligação para um artigo que contém a solução. Atualmente, a ferramenta só é suportada no Internet Explorer.

Ainda necessita de ajuda? Aceda à Comunidade Microsoft ou a Microsoft Questões & Respostas.