(Åtkomst nekas) när du försöker flytta postlådor till Exchange Online i en hybriddistribution

  • Artikel
  • Gäller för:
    Exchange Online

Ursprungligt KB-nummer: 2975731

Symptom

Anta att du har en Microsoft Exchange Server hybriddistribution. Om du försöker skapa en migreringsbatch för en fjärrflyttningsmigrering, eller om du försöker skapa en flyttbegäran när du är ansluten till Exchange Online via fjärr-PowerShell, får du ett felmeddelande som liknar följande:

Anropet till "https://< ServerName>/EWS/mrsproxy.svc" misslyckades. Felinformation: Åtkomst nekas.
+ CategoryInfo: NotSpecified: (:) [New-MoveRequest], RemoteTransientException
+ FullyQualifiedErrorId: [Server=<Server,RequestId>=RequestId,TimeStamp=DateTime] [FailureCategory=Cmdlet-RemoteTransientException] 384B348,Microsoft.Exchange.Management.RecipientTasks.NewMoveRequest
+ PSComputerName: <ComputerName.outlook.com>

Om du sedan kör cmdleten Test-MigrationServerAvailability får du ett felmeddelande som liknar följande:

RunspaceId: RunspaceId
Resultat: Misslyckades
Meddelande: Det gick inte att fastställa inställningarna för ExchangeRemote-slutpunkten från autodiscover-svaret. Det gick inte att hitta någon MRSProxy som kördes på <servern>.
ConnectionSettings:
SupportsCutover : False
ErrorDetail: internal error:Microsoft.Exchange.Migration.MigrationRemoteEndpointSettings couldNotBeAutodiscoveredException: Slutpunktsinställningarna förExchangeRemote kunde inte fastställas från autodiscover-svaret. Det gick inte att hitta någon MRSProxy som kördes på "<Server>". >--- Microsoft.Exchange.Migration.MigrationServerConnectionFailedException:Anslutningen till servern "<Server>" kunde inte slutföras. >--- Microsoft.Exchange.MailboxReplicationService.RemoteTransientException: Anropet till "https://< ServerName>/EWS/mrsproxy.svc" misslyckades. Felinformation: Åtkomst nekas.. >--- Microsoft.E xchange. MailboxReplicationService.RemotePermanentException: Åtkomst nekas.--- Slut på spårning av inre undantagsstack --- på Microsoft.Exchange.MailboxReplicationService.Mailbox ReplicationServiceFault.<>c__DisplayClass1.<ReconstructAnd Throw>b__0() at Microsoft.Exchange.MailboxReplicationService.Executi onContext.Execute(Action operation) at Microsoft.Exchange.MailboxReplicationService.Mailbox ReplicationServiceFault.ReconstructAndThrow(String serverName, VersionInformation serverVersion) på Microsoft.Exchange.MailboxReplicationService.CommonU tils. CallWCFService[ExceptionT](Action serviceCall, String epAddress, Action'1 faultHandler, VersionInformation serverVersion) på Microsoft.Exchange.MailboxReplicationService.CommonU tils. CallService(Action serviceCall, String epAddress, VersionInformation serverVersion) på Microsoft.Exchange.Migration.MigrationExchangeProxyR pcClient.CanConnectToMrsProxy(Fqdn serverName, Guid mbxGuid, NetworkCredential credentials, LocalizedException& error) --- End of inner exception stack trace --- at Microsoft.Exchange.Migration.DataAccessLayer.Exchange eRemoteMoveEndpoint.VerifyConnectivity() at Microsoft.Exchange.Management.Migration.TestMigrationServerAvailability. InternalProcessEndpoint(BooleanfromAutoDiscover)--- Slut på spårning av inre undantagsstack ---IsValid : TrueIdentity :ObjectState : New

Du får till exempel det här felmeddelandet när du kör följande kommando:

Test-MigrationServerAvailability -ExchangeRemoteMove -Autodiscover -EmailAddressusername@contoso.com -Credentials (Get-Credential)

Anta dessutom att arv inte är aktiverat på datorkontot för Exchange 2013- eller Exchange 2016-hybridservern. Om du aktiverar det upptäcker du senare att det har inaktiverats.

Orsak

Det här problemet uppstår om datorkontot för Exchange 2013- eller Exchange 2016-hybridservern är medlem i en eller flera skyddade grupper.

Åtgärd

Lös problemet genom att följa dessa steg:

  1. Kontrollera att du har det här problemet. Det gör du genom att avgöra om datorkontot för Exchange 2013-hybridservern har sitt adminCount attribut inställt på 1.

    Följ dessa steg för att adminCount hitta attributet:

    1. Leta upp Active Directory - användare och datorer och välj sedan Visa>avancerade funktioner.
    2. Expandera domänen för den server som kör Exchange Server och expandera sedan Datorer.
    3. Leta upp Exchange 2013- eller Exchange 2016-servern. Högerklicka på servern och välj sedan Egenskaper.
    4. Leta upp fliken Attribut Editor och leta sedan upp attributet adminCount.

    Om attributet är inställt på 1 innebär det att datorkontot är medlem, direkt eller indirekt, i ytterligare en av följande skyddade grupper:

    • Administratörer
    • Kontoansvariga
    • Serveroperatorer
    • Utskriftsoperatorer
    • Operatorer för säkerhetskopiering
    • Domain Admins
    • Schema Admins
    • Enterprise Admins
    • Certifikatutgivare

    Datorkontot för Exchange 2013-hybridservern ska endast tillhöra följande säkerhetsgrupper:

    • Domändatorer
    • Exchange-installation
    • Domänservrar
    • Exchange-servrar
    • Exchange Trusted Subsystem
    • Hanterade tillgänglighetsservrar

  2. Ange värdet för adminCount attributet på datorkontot till 0.

  3. Starta om servern.

Mer information

Medlemmar i skyddade grupper ärver inte behörigheter från den överordnade containern.

Active Directory Domain Services (AD DS) använder en skyddsmekanism för att se till att åtkomstkontrollistor (ACL: er) är korrekt inställda för medlemmar i känsliga grupper. Mekanismen körs en gång i timmen på den primära domänkontrollantens (PDC) operations master. Åtgärdshanteraren jämför ACL:en på användarkontona som är medlemmar i skyddade grupper med ACL:en i följande objekt:

CN=adminSDHolder,CN=System,DC=<Domain,DC>=<Com>

Om ACL:erna skiljer sig åt skrivs ACL:en för användarobjektet över för att återspegla säkerhetsinställningarna för adminSDHolder objektet (och ACL-arv är inaktiverat). Den här processen skyddar dessa konton från att ändras av obehöriga användare om kontona flyttas till en container eller en organisationsenhet där en obehörig användare har delegerats administrativa autentiseringsuppgifter för att ändra användarkonton. Tänk på att när en användare tas bort från den administrativa gruppen ångras inte processen och måste ändras manuellt.

Om du får problem när du flyttar postlådor till Exchange Online i Microsoft 365 kan du köra verktyget Felsöka migrering av postlådor i Microsoft 365. Den här diagnostiken är ett automatiserat felsökningsverktyg. Om du har ett känt problem får du ett meddelande om vad som gick fel. Meddelandet innehåller en länk till en artikel som innehåller lösningen. För närvarande stöds verktyget endast i Internet Explorer.

Behöver du fortfarande hjälp? Gå till Microsoft Community eller Microsoft Q&A.