尝试将邮箱移动到混合部署中的Exchange Online时, (访问被拒绝) 错误
原始 KB 编号: 2975731
症状
假设你有一个Microsoft Exchange Server混合部署。 如果尝试为远程移动迁移创建迁移批处理,或者在通过远程 PowerShell 连接到 Exchange Online 时尝试创建移动请求,将收到类似于以下内容的错误消息:
对“https://< ServerName>/EWS/mrsproxy.svc”的调用失败。 错误详细信息:拒绝访问。
+ CategoryInfo: NotSpecified: (:) [New-MoveRequest], RemoteTransientException
+ FullyQualifiedErrorId :[Server=<Server,RequestId>=RequestId,TimeStamp=DateTime] [FailureCategory=Cmdlet-RemoteTransientException] 384B348,Microsoft.Exchange.Management.RecipientTasks.NewMoveRequest
+ PSComputerName:<ComputerName.outlook.com>
如果随后运行 cmdlet Test-MigrationServerAvailability
,则会收到类似于以下内容的错误消息:
RunspaceId: RunspaceId
结果:失败
消息:无法通过自动发现响应确定 ExchangeRemote 终结点设置。 在服务器>中找不到正在运行的 <MRSProxy。
ConnectionSettings :
SupportsCutover : False
ErrorDetail:内部错误:Microsoft.Exchange.Migration.MigrationRemoteEndpointSettings 可能NotBeAutodiscoveredException:无法从自动发现响应中确定ExchangeRemote 终结点设置。 在“服务器>”<中未找到正在运行的 MRSProxy。 >--- Microsoft.Exchange.Migration.MigrationServerConnectionFailedException:无法完成与服务器“Server>”<的连接。 >--- Microsoft.Exchange.MailboxReplicationService.RemoteTransientException:对“https://< ServerName>/EWS/mrsproxy.svc”的调用失败。 错误详细信息:访问被拒绝。。 >--- Microsoft.E xchange。MailboxReplicationService.RemotePermanentException:访问被拒绝。--- Microsoft.Exchange.MailboxReplicationService.Mailbox ReplicationServiceFault 处结束内部异常堆栈跟踪---。<>c__DisplayClass1。<在 Microsoft.Exchange.MailboxReplicationService.Executi onContext.Execute (Action 操作) Microsoft.Exchange.MailboxReplicationService.Mailbox ReplicationServiceFault.ReconstructAndThrow (String serverName、VersionInformation serverVersion) microsoft.Exchange.MailboxReplicationService.CommonU tils 处引发>b__0 () 。CallWCFService[ExceptionT] (Action serviceCall、String epAddress、Action'1 faultHandler、VersionInformation serverVersion) microsoft.Exchange.MailboxReplicationService.CommonU tils。CallService (Action serviceCall、String epAddress、VersionInformation serverVersion) at Microsoft.Exchange.MigrationExchangeProxyR pcClient.CanConnectToMrsProxy (Fqdn serverName, Guid mbxGuid、NetworkCredential 凭据、LocalizedException& 错误) --- Microsoft.Exchange.Migration.DataAccessLayer.Exchange eRemoteMoveEndpoint.VerifyConnectivity () microsoft.Exchange.Management.Migration 处结束内部异常堆栈 ---跟踪。TestMigrationServerAvailability.InternalProcessEndpoint (BooleanfromAutoDiscover) --- 结束的内部异常堆栈跟踪---IsValid : TrueIdentity :ObjectState : New
例如,在运行以下命令时收到此错误消息:
Test-MigrationServerAvailability -ExchangeRemoteMove -Autodiscover -EmailAddressusername@contoso.com -Credentials (Get-Credential)
此外,假设未在 Exchange 2013 或 Exchange 2016 混合服务器的计算机帐户上启用继承。 如果启用它,稍后会发现它已被禁用。
原因
如果 Exchange 2013 或 Exchange 2016 混合服务器的计算机帐户是一个或多个受保护组的成员,则会出现此问题。
解决方案
若要解决此问题,请按照下列步骤操作:
验证是否遇到此问题。 为此,请确定 Exchange 2013 混合服务器的计算机帐户是否将其
adminCount
属性设置为 1。若要查找 属性
adminCount
,请执行以下步骤:- 找到Active Directory 用户和计算机,然后选择“查看>高级功能”。
- 展开运行Exchange Server服务器的域,然后展开“计算机”。
- 找到 Exchange 2013 或 Exchange 2016 服务器。 右键单击服务器,然后选择“ 属性”。
- 找到“属性编辑器”选项卡,然后找到 adminCount 属性。
如果 属性设置为 1,则表示计算机帐户直接或间接地属于以下一个受保护组:
- 管理员
- 帐户操作员
- 服务器操作员
- 打印运算符
- Backup Operators
- Domain Admins
- Schema Admins
- Enterprise Admins
- 证书发布服务器
Exchange 2013 混合服务器的计算机帐户应仅属于以下安全组:
- 域计算机
- Exchange 安装
- 域服务器
- Exchange Servers
- Exchange 受信任子系统
- 托管可用性服务器
将计算机帐户上 属性的值
adminCount
设置为 0。重新启动服务器。
更多信息
受保护组的成员不会从父容器继承权限。
Active Directory 域服务 (AD DS) 使用保护机制来确保为敏感组的成员正确设置访问控制列表 (ACL) 。 该机制每小时在主域控制器上运行一次, (PDC) 操作主机。 操作主机将作为受保护组成员的用户帐户上的 ACL 与以下对象的 ACL 进行比较:
CN=adminSDHolder,CN=System,DC=<Domain,DC>=<Com>
如果 ACL 不同,则会覆盖用户对象的 ACL 以反映对象 (的安全设置 adminSDHolder
,) 禁用 ACL 继承。 如果将帐户移动到容器或组织单位(其中已委派恶意用户管理凭据来修改用户帐户),则此过程可防止未经授权的用户修改这些帐户。 请注意,从管理组中删除用户时,该过程不会逆转,必须手动更改。
如果在 Microsoft 365 中将邮箱移动到Exchange Online时遇到问题,可以运行 Microsoft 365 邮箱迁移疑难解答工具。 此诊断是一种自动故障排除工具。 如果遇到已知问题,则会收到一条消息,指出出了问题所在。 该消息包含指向包含解决方案的文章的链接。 目前,该工具仅在 Internet Explorer 中受支持。
仍然需要帮助? 前往 Microsoft 社区或 Microsoft 问答。