Errore (Accesso negato) quando si tenta di spostare le cassette postali in Exchange Online in una distribuzione ibrida

Numero KB originale: 2975731

Sintomi

Si supponga di avere una distribuzione ibrida Microsoft Exchange Server. Se si tenta di creare un batch di migrazione per una migrazione di spostamento remoto o se si tenta di creare una richiesta di spostamento quando si è connessi a Exchange Online tramite PowerShell remoto, viene visualizzato un messaggio di errore simile al seguente:

La chiamata a 'https://< ServerName>/EWS/mrsproxy.svc' non è riuscita. Dettagli errore: accesso negato.
+ CategoryInfo : NotSpecified: (:) [New-MoveRequest], RemoteTransientException
+ FullyQualifiedErrorId : [Server=<Server,RequestId>=RequestId,TimeStamp=DateTime] [FailureCategory=Cmdlet-RemoteTransientException] 384B348,Microsoft.Exchange.Management.RecipientTasks.NewMoveRequest
+ PSComputerName : <ComputerName.outlook.com>

Se quindi si esegue il Test-MigrationServerAvailability cmdlet, viene visualizzato un messaggio di errore simile al seguente:

RunspaceId : RunspaceId
Risultato: non riuscito
Messaggio: non è stato possibile determinare le impostazioni dell'endpoint ExchangeRemote dalla risposta di individuazione automatica. Non è stato trovato ALCUN MRSProxy in esecuzione nel <server>.
ConnectionSettings :
SupportsCutover: False
ErrorDetail: errore interno:Microsoft.Exchange.Migration.MigrationRemoteEndpointSettings couldNotBeAutodiscoveredException: Impossibile determinare le impostazioni dell'endpoint di ExchangeRemote dalla risposta di individuazione automatica. Non è stato trovato ALCUN MRSProxy in esecuzione in '<Server>'. >--- Microsoft.Exchange.Migration.MigrationServerConnectionFailedException:Impossibile completare la connessione al server '<Server>'. >--- Microsoft.Exchange.MailboxReplicationService.RemoteTransientException: la chiamata a 'https://< ServerName>/EWS/mrsproxy.svc' non è riuscita. Dettagli errore: accesso negato. >--- Microsoft.E xchange. MailboxReplicationService.RemotePermanentException: accesso negato.--- Fine della traccia dello stack di eccezioni interne --- in Microsoft.Exchange.MailboxReplicationService.Mailbox ReplicationServiceFault.<>c__DisplayClass1.<ReconstructAnd Throw>b__0() at Microsoft.Exchange.MailboxReplicationService.Executi onContext.Execute(Action operation) at Microsoft.Exchange.MailboxReplicationService.Mailbox ReplicationServiceFault.ReconstructAndThrow(String serverName, VersionInformation serverVersion) at Microsoft.Exchange.MailboxReplicationService.CommonU tils. CallWCFService[ExceptionT](Action serviceCall, String epAddress, Action'1 faultHandler, VersionInformation serverVersion) in Microsoft.Exchange.MailboxReplicationService.CommonU tils. CallService(Action serviceCall, String epAddress, VersionInformation serverVersion) at Microsoft.Exchange.Migration.MigrationExchangeProxyR pcClient.CanConnectToMrsProxy(Fqdn serverName, Guid mbxGuid, NetworkCredential credentials, LocalizedException& error) --- End of inner exception stack trace --- at Microsoft.Exchange.Migration.DataAccessLayer.Exchang eRemoteMoveEndpoint.VerifyConnectivity() at Microsoft.Exchange.Management.Migration.TestMigrationServerAvailability. InternalProcessEndpoint(BooleanfromAutoDiscover)--- Fine della traccia dello stack di eccezioni interna ---IsValid : TrueIdentity :ObjectState : New

Ad esempio, si riceve questo messaggio di errore quando si esegue il comando seguente:

Test-MigrationServerAvailability -ExchangeRemoteMove -Autodiscover -EmailAddressusername@contoso.com -Credentials (Get-Credential)

Si supponga inoltre che l'ereditarietà non sia abilitata nell'account computer del server ibrido di Exchange 2013 o Exchange 2016. Se lo si abilita, si scoprirà in seguito che è stato disabilitato.

Causa

Questo problema si verifica se l'account computer del server ibrido Exchange 2013 o Exchange 2016 è membro di uno o più gruppi protetti.

Risoluzione

Per risolvere il problema, seguire la procedura seguente:

  1. Verificare che si stia verificando questo problema. A tale scopo, determinare se l'attributo dell'account computer del server ibrido di Exchange 2013 è adminCount impostato su 1.

    Per trovare l'attributo adminCount , seguire questa procedura:

    1. Individuare Utenti e computer di Active Directory e quindi selezionare Visualizza>funzionalità avanzate.
    2. Espandere il dominio per il server che esegue Exchange Server, quindi espandere Computer.
    3. Individuare il server Exchange 2013 o Exchange 2016. Fare clic con il pulsante destro del mouse sul server e quindi scegliere Proprietà.
    4. Individuare la scheda Attributo Editor e quindi individuare l'attributo adminCount.

    Se l'attributo è impostato su 1, significa che l'account computer è un membro, direttamente o indirettamente, di uno dei gruppi protetti seguenti:

    • Amministratori
    • Operatori account
    • Operatori server
    • Operatori di stampa
    • Backup Operators
    • Domain Admins
    • Amministratori schema
    • Amministratori Enterprise
    • Editori di certificati

    L'account computer per il server ibrido di Exchange 2013 deve appartenere solo ai gruppi di sicurezza seguenti:

    • Computer di dominio
    • Installazione di Exchange
    • Server di dominio
    • Exchange Server
    • Sottosistema attendibile di Exchange
    • Server di disponibilità gestiti
  2. Impostare il valore dell'attributo adminCount sull'account computer su 0.

  3. Riavviare il server.

Ulteriori informazioni

I membri dei gruppi protetti non ereditano le autorizzazioni dal contenitore padre.

Active Directory Domain Services (AD DS) usa un meccanismo di protezione per assicurarsi che gli elenchi di controllo di accesso (ACL) siano impostati correttamente per i membri di gruppi sensibili. Il meccanismo viene eseguito una volta ogni ora nel master operazioni del controller di dominio primario . Il master operazioni confronta l'ACL negli account utente membri dei gruppi protetti con l'ACL nell'oggetto seguente:

CN=adminSDHolder,CN=System,DC=<Domain,DC>=<Com>

Se gli elenchi di controllo di accesso sono diversi, l'ACL nell'oggetto utente viene sovrascritto in modo da riflettere le impostazioni di sicurezza dell'oggetto e l'ereditarietà adminSDHolder ACL è disabilitata. Questo processo protegge questi account da modifiche da parte di utenti non autorizzati se gli account vengono spostati in un contenitore o in un'unità organizzativa in cui un utente malintenzionato ha ricevuto credenziali amministrative delegate per modificare gli account utente. Tenere presente che quando un utente viene rimosso dal gruppo amministrativo, il processo non viene invertito e deve essere modificato manualmente.

Se si verificano problemi durante lo spostamento delle cassette postali in Exchange Online in Microsoft 365, è possibile eseguire lo strumento Risoluzione dei problemi relativi alla migrazione delle cassette postali di Microsoft 365. Questa diagnostica è uno strumento di risoluzione dei problemi automatizzato. Se si verifica un problema noto, viene visualizzato un messaggio che indica gli errori. Il messaggio include un collegamento a un articolo che contiene la soluzione. Attualmente, lo strumento è supportato solo in Internet Explorer.

Ulteriore assistenza Visitare la community Microsoft o Domande e risposte Microsoft.