當您嘗試在混合式部署中將信箱移至 Exchange Online 時, (存取遭拒) 錯誤
原始 KB 編號: 2975731
徵狀
假設您有 Microsoft Exchange Server 混合式部署。 如果您嘗試建立遠端移動移轉的移轉批次,或如果您嘗試在透過遠端 PowerShell 連線到 Exchange Online 時建立移動要求,您會收到類似下列的錯誤訊息:
對 'https://< ServerName>/EWS/mrsproxy.svc' 的呼叫失敗。 錯誤詳細數據:拒絕存取。
+ CategoryInfo : NotSpecified: (:) [New-MoveRequest], RemoteTransientException
+ FullyQualifiedErrorId : [Server=<Server,RequestId>=RequestId,TimeStamp=DateTime] [FailureCategory=Cmdlet-RemoteTransientException] 384B348,Microsoft.Exchange.Management.RecipientTasks.NewMoveRequest
+ PSComputerName: <ComputerName.outlook.com>
如果您接著執行 Cmdlet Test-MigrationServerAvailability ,您會收到類似下列的錯誤訊息:
RunspaceId: RunspaceId
結果:失敗
訊息:無法從自動探索回應判斷 ExchangeRemote 端點設定。 在伺服器>上找不到執行的 <MRSProxy。
ConnectionSettings :
SupportsCutover : False
ErrorDetail:內部錯誤:Microsoft.Exchange.Migration.MigrationRemoteEndpointSettings couldNotBeAutodiscoveredException:無法從自動探索響應判斷ExchangeRemote 端點設定。 找不到在 'Server>'< 執行的 MRSProxy。 >--- Microsoft.Exchange.Migration.MigrationServerConnectionFailedException:無法完成與伺服器 '<Server>' 的連線。 >--- Microsoft.Exchange.MailboxReplicationService.RemoteTransientException:呼叫 'https://< ServerName>/EWS/mrsproxy.svc' 失敗。 錯誤詳細數據:拒絕存取。 >--- Microsoft.E xchange。MailboxReplicationService.RemotePermanentException:存取遭到拒絕。--- Microsoft.Exchange.MailboxReplicationService.Mailbox ReplicationServiceFault 的內部例外狀況堆棧追蹤---結束。<>c__DisplayClass1。<>在 Microsoft.Exchange.MailboxReplicationServiceFault.ReconstructAndThrow (String serverName,VersionInformation serverVersion) Microsoft.Exchange.MailboxReplicationService.CommonU tils 上,在 Microsoft.Exchange.MailboxReplicationService.MailboxReplicationServiceFault.ReconstructAndThrow) 的 Microsoft.Exchange.MailboxReplicationService.Executi onContext.Execute (Action 作業b__0 () 。CallWCFService[ExceptionT] (Action serviceCall, String epAddress, Action'1 faultHandler, VersionInformation serverVersion) at Microsoft.Exchange.MailboxReplicationService.CommonU tils.CallService (Action serviceCall, String epAddress, VersionInformation serverVersion) at Microsoft.Exchange.Migration.MigrationExchangeProxyR pcClient.CanConnectToMrsProxy (Fqdn serverName, Microsoft.Exchange.Migration.DataAccessLayer.Exchang eRemoteMoveEndpoint.VerifyConnectivity () 的 Microsoft.Exchange.Migration.DataAccessLayer.Exchang eRemoteMoveEndpoint.VerifyConnectivity) --- 內部例外狀況堆棧追蹤---結束,發生 Guid mbxGuid、NetworkCredential 認證、LocalizedException& 錯誤。TestMigrationServerAvailability.InternalProcessEndpoint (BooleanfromAutoDiscover) --- 內部例外狀況堆棧追蹤---IsValid 的結尾: TrueIdentity :ObjectState : New
例如,當您執行下列命令時,會收到此錯誤訊息:
Test-MigrationServerAvailability -ExchangeRemoteMove -Autodiscover -EmailAddressusername@contoso.com -Credentials (Get-Credential)
此外,假設 Exchange 2013 或 Exchange 2016 混合式伺服器的電腦帳戶上未啟用繼承。 如果您啟用它,您稍後會發現它已停用。
原因
如果 Exchange 2013 或 Exchange 2016 混合式伺服器的電腦帳戶是一或多個受保護群組的成員,就會發生此問題。
解決方案
若要解決此問題,請遵循下列步驟:
確認您遇到此問題。 若要這樣做,請判斷 Exchange 2013 混合式伺服器的電腦帳戶是否將其
adminCount屬性設定為 1。若要尋找
adminCount屬性,請遵循下列步驟:- 找出 Active Directory 使用者和電腦,然後選取 [檢視>進階功能]。
- 展開執行中伺服器的網域 Exchange Server,然後展開 [計算機]。
- 找出 Exchange 2013 或 Exchange 2016 伺服器。 以滑鼠右鍵按下伺服器,然後選取 [ 屬性]。
- 找出 [屬性 編輯器] 索引標籤,然後找出 adminCount 屬性。
如果屬性設定為 1,這表示電腦帳戶是下列其中一個受保護群組的直接或間接成員:
- 系統管理員
- 帳戶操作員
- 伺服器操作員
- 列印運算子
- Backup Operators
- Domain Admins
- Schema Admins
- Enterprise Admins
- 憑證發行者
Exchange 2013 混合式伺服器的電腦帳戶應該只屬於下列安全組:
- 網域電腦
- Exchange 安裝
- 網域伺服器
- Exchange Server
- Exchange 信任的子系統
- Managed 可用性伺服器
將電腦帳戶上的屬性值
adminCount設定為 0。重新啟動伺服器。
其他相關資訊
受保護群組的成員不會繼承父容器的許可權。
Active Directory 網域服務 (AD DS) 會使用保護機制,確定已針對敏感性群組的成員正確設定訪問控制清單 (ACL) 。 此機制每小時會在主域控制器上執行一次, (PDC) 操作主機。 作業主機會比較屬於受保護群組成員之用戶帳戶上的 ACL,與下列物件上的 ACL:
CN=adminSDHolder,CN=System,DC=<Domain,DC>=<Com>
如果 ACL 不同,則會覆寫用戶物件上的 ACL,以反映物件 (的安全性設定 adminSDHolder ,) 停用 ACL 繼承。 如果帳戶移至已委派系統管理認證以修改用戶帳戶的容器或組織單位,此程式可防止未經授權的使用者修改這些帳戶。 請注意,當使用者從系統管理群組中移除時,程式不會反轉,而且必須手動變更。
如果您在 Microsoft 365 中將信箱移至 Exchange Online 時遇到問題,您可以執行疑難解答 Microsoft 365 信箱移轉工具。 此診斷是自動化的疑難解答工具。 如果您遇到已知問題,您會收到指出發生錯誤的訊息。 此訊息包含包含解決方案之文章的連結。 目前,只有 Internet Explorer 才支援此工具。
是否仍需要協助? 請造訪 Microsoft 社群或 Microsoft Q&A。