Ошибка (Доступ запрещен) при попытке переместить почтовые ящики в Exchange Online в гибридном развертывании

• Применяется к:

  Exchange Online

Исходный номер базы знаний: 2975731

Симптомы

Предположим, что у вас есть Microsoft Exchange Server гибридное развертывание. При попытке создать пакет миграции для удаленной миграции или при попытке создать запрос на перемещение при подключении к Exchange Online с помощью удаленного PowerShell появляется сообщение об ошибке следующего вида:

Сбой вызова https://< ServerName>/EWS/mrsproxy.svc. Сведения об ошибке: доступ запрещен.
+ CategoryInfo : NotSpecified: (:) [New-MoveRequest], RemoteTransientException
+ FullyQualifiedErrorId: [Server=<Server,RequestId>=RequestId,TimeStamp=DateTime] [FailureCategory=Cmdlet-RemoteTransientException] 384B348,Microsoft.Exchange.Management.RecipientTasks.NewMoveRequest
+ PSComputerName : <ComputerName.outlook.com>

При выполнении командлета Test-MigrationServerAvailability появляется сообщение об ошибке, похожее на следующее:

RunspaceId: RunspaceId
Результат: сбой
Сообщение. Не удалось определить параметры конечной точки ExchangeRemote из ответа автообнаружения. MrSProxy не найден, запущенный на сервере<>.
ConnectionSettings :
SupportsCutover: false
ErrorDetail: внутренняя ошибка:Microsoft.Exchange.Migration.MigrationRemoteEndpointSettings couldNotBeAutodiscoveredException: параметры конечной точки TheExchangeRemote не удалось определить из ответа автообнаружения. MrSProxy не найден работающий на сервере<>. >--- Microsoft.Exchange.Migration.MigrationServerConnectionFailedException:Не удалось завершить подключение к серверу Server<>. >--- Microsoft.Exchange.MailboxReplicationService.RemoteTransientException: сбой вызова https://< ServerName>/EWS/mrsproxy.svc. Сведения об ошибке: доступ запрещен.. >--- Microsoft.E xchange. MailboxReplicationService.RemotePermanentException: access is denied.--- End of inner exception stack trace --- в Microsoft.Exchange.MailboxReplicationService.Mailbox ReplicationServiceFault.<>c__DisplayClass1.<ReconstructAnd Throw>b__0() в Microsoft.Exchange.MailboxReplicationService.Executei onContext.Execute(Action operation) в Microsoft.Exchange.MailboxReplicationService.Mailbox ReplicationServiceFault.ReconstructAndThrow(String serverName, VersionInformation serverVersion) в Microsoft.Exchange.MailboxReplicationService.CommonU tils. CallWCFService[ExceptionT](Action serviceCall, String epAddress, Action'1 faultHandler, VersionInformation serverVersion) в Microsoft.Exchange.MailboxReplicationService.CommonU tils. CallService(Action serviceCall, String epAddress, VersionInformation serverVersion) at Microsoft.Exchange.MigrationExchangeProxyR pcClient.CanConnectToMrsProxy(Fqdn serverName, Guid mbxGuid, учетные данные NetworkCredential, LocalizedException& error) --- Конец трассировки внутреннего стека исключений --- в Microsoft.Exchange.Exchange eRemoteMoveEndpoint.VerifyConnectivity() в Microsoft.Exchange.Management.Migration.TestMigrationServerAvailability. InternalProcessEndpoint(BooleanfromAutoDiscover)--- Конец трассировки внутреннего стека исключений ---IsValid : TrueIdentity :ObjectState : New

Например, это сообщение об ошибке появляется при выполнении следующей команды:

Test-MigrationServerAvailability -ExchangeRemoteMove -Autodiscover -EmailAddressusername@contoso.com -Credentials (Get-Credential)

Кроме того, предположим, что наследование не включено в учетной записи компьютера гибридного сервера Exchange 2013 или Exchange 2016. Если вы включите его, вы обнаружите, что он был отключен.

Причина

Эта проблема возникает, если учетная запись компьютера гибридного сервера Exchange 2013 или Exchange 2016 входит в одну или несколько защищенных групп.

Разрешение

Чтобы устранить эту проблему, выполните следующие действия.

1. Убедитесь, что у вас возникла эта проблема. Для этого определите, имеет ли для учетной записи компьютера гибридного сервера Exchange 2013 атрибут adminCount1.

   Чтобы найти adminCount атрибут, выполните следующие действия.

   1. Найдите Пользователи и компьютеры Active Directory, а затем выберите Просмотреть>дополнительные функции.
   2. Разверните домен для сервера, на котором выполняется Exchange Server, а затем разверните узел Компьютеры.
   3. Найдите сервер Exchange 2013 или Exchange 2016. Щелкните сервер правой кнопкой мыши и выберите Свойства.
   4. Найдите вкладку Атрибут Редактор, а затем найдите атрибут adminCount.

   Если атрибут имеет значение 1, это означает, что учетная запись компьютера прямо или косвенно является членом еще одной из следующих защищенных групп:

   • Администраторы
   • Операторы учетных записей
   • Операторы сервера
   • Операторы печати
   • Операторы архивации
   • Администраторы домена
   • Администраторы схемы
   • Администраторы предприятия
   • Издатели сертификатов

   Учетная запись компьютера для гибридного сервера Exchange 2013 должна принадлежать только следующим группам безопасности:

   • Компьютеры домена
   • Установка Exchange
   • Серверы домена
   • Серверы Exchange
   • Группа безопасности Exchange Trusted Subsystem
   • Управляемые серверы доступности

2. Задайте для атрибута adminCount значение 0 для учетной записи компьютера.

3. Перезапустите сервер.

Дополнительная информация

Члены защищенных групп не наследуют разрешения от родительского контейнера.

доменные службы Active Directory (AD DS) использует механизм защиты, чтобы убедиться, что списки управления доступом (ACL) правильно заданы для членов конфиденциальных групп. Механизм выполняется один раз в час на операциях основного контроллера домена (PDC) master. Операции master сравнивает список ACL в учетных записях пользователей, являющихся членами защищенных групп, с ACL в следующем объекте:

CN=adminSDHolder,CN=System,DC=<Domain,DC>=<Com>

Если списки ACL отличаются, список ACL для пользовательского объекта перезаписывается, чтобы отразить параметры adminSDHolder безопасности объекта (и наследование ACL отключено). Этот процесс защищает эти учетные записи от изменения неавторизованными пользователями при перемещении учетных записей в контейнер или подразделение организации, где злоумышленнику были делегированы административные учетные данные для изменения учетных записей пользователей. Имейте в виду, что при удалении пользователя из административной группы процесс не отменяется и должен быть изменен вручную.

Если при перемещении почтовых ящиков в Exchange Online в Microsoft 365 возникают проблемы, можно запустить средство устранения неполадок с миграцией почтовых ящиков Microsoft 365. Эта диагностика представляет собой автоматизированное средство устранения неполадок. Если у вас возникла известная проблема, вы получите сообщение с сообщением о том, что пошло не так. Сообщение содержит ссылку на статью, содержащую решение. В настоящее время средство поддерживается только в Обозреватель Интернета.

Требуется дополнительная помощь? Обратитесь к сообществу Майкрософт или просмотрите ответы Майкрософт на вопросы.