Sdílet prostřednictvím

Chyba (Přístup byl odepřen) při pokusu o přesunutí poštovních schránek do Exchange Online v hybridním nasazení

  • Článek
  • Platí pro:
    Exchange Online

Původní číslo KB: 2975731

Příznaky

Předpokládejme, že máte Microsoft Exchange Server hybridní nasazení. Pokud se pokusíte vytvořit dávku migrace pro vzdálenou migraci nebo pokud se pokusíte vytvořit žádost o přesunutí, když jste připojení k Exchange Online prostřednictvím vzdáleného PowerShellu, zobrazí se chybová zpráva podobná následující:

Volání https://< ServerName>/EWS/mrsproxy.svc selhalo. Podrobnosti o chybě: Přístup byl odepřen.
+ CategoryInfo: NotSpecified: (:) [New-MoveRequest], RemoteTransientException
+ FullyQualifiedErrorId: [Server=<Server,RequestId>=RequestId,TimeStamp=DateTime] [FailureCategory=Cmdlet-RemoteTransientException] 384B348,Microsoft.Exchange.Management.RecipientTasks.NewMoveRequest
+ PSComputerName: <Názevpočítače.outlook.com>

Pokud pak rutinu Test-MigrationServerAvailability spustíte, zobrazí se chybová zpráva podobná následující:

RunspaceId: RunspaceId
Výsledek: Neúspěšné
Zpráva: Nastavení koncového bodu ExchangeRemote nebylo možné určit z odpovědi automatické konfigurace. Na serveru> nebyla nalezena žádná spuštěná aplikace <MRSProxy.
Nastavení připojení:
SupportsCutover: False
ErrorDetail: Vnitřní chyba:Microsoft.Exchange.Migration.MigrationRemoteEndpointSettings couldNotBeAutodiscoveredException: Nastavení koncového boduExchangeRemote nebylo možné určit z odpovědi autodiscover. Na serveru> nebyla nalezena žádná spuštěná< aplikace MRSProxy. >--- Microsoft.Exchange.MigrationServerConnectionFailedException:Nelze dokončit připojení k serveru< Server>. >--- Microsoft.Exchange.MailboxReplicationService.RemoteTransientException: Volání https://< ServerName>/EWS/mrsproxy.svc se nezdařilo. Podrobnosti o chybě: Přístup byl odepřen. >--- Microsoft.E xchange. MailboxReplicationService.RemotePermanentException: Přístup byl odepřen.--- Konec trasování zásobníku vnitřních výjimek --- v Microsoft.Exchange.MailboxReplicationService.Mailbox ReplicationServiceFault.<>c__DisplayClass1.<ReconstructAnd Throw>b__0() at Microsoft.Exchange.MailboxReplicationService.Executi onContext.Execute(Action operation) at Microsoft.Exchange.MailboxReplicationService.Mailbox ReplicationServiceFault.ReconstructAndThrow(String serverName, VersionInformation serverVersion) at Microsoft.Exchange.MailboxReplicationService.CommonU tils. CallWCFService[ExceptionT](Action serviceCall, String epAddress, Action'1 faultHandler, VersionInformation serverVersion) at Microsoft.Exchange.MailboxReplicationService.CommonU tils. CallService(Action serviceCall, String epAddress, VersionInformation serverVersion) v Microsoft.Exchange.Migration.MigrationExchangeProxyR pcClient.CanConnectToMrsProxy(Fqdn serverName, Guid mbxGuid, přihlašovací údaje NetworkCredential, LocalizedException& chyba) --- Konec trasování zásobníku vnitřní výjimky --- na Webu Microsoft.Exchange.Migration.DataAccessLayer.Exchange eRemoteMoveEndpoint.VerifyConnectivity() v Microsoft.Exchange.Management.Migration.TestMigrationServerAvailability. InternalProcessEndpoint(BooleanfromAutoDiscover)--- Konec trasování zásobníku vnitřních výjimek ---IsValid: TrueIdentity :ObjectState : New

Tato chybová zpráva se například zobrazí při spuštění následujícího příkazu:

Test-MigrationServerAvailability -ExchangeRemoteMove -Autodiscover -EmailAddressusername@contoso.com -Credentials (Get-Credential)

Dále předpokládejme, že na účtu počítače hybridního serveru Exchange 2013 nebo Exchange 2016 není povolená dědičnost. Pokud ji povolíte, později zjistíte, že je zakázaná.

Příčina

K tomuto problému dochází, pokud je účet počítače hybridního serveru Exchange 2013 nebo Exchange 2016 členem jedné nebo více chráněných skupin.

Řešení

Pokud chcete tento problém vyřešit, postupujte takto:

  1. Ověřte, že k tomuto problému dochází. Uděláte to tak, že určíte, jestli má účet počítače hybridního serveru Exchange 2013 nastavený atribut adminCountna hodnotu 1.

    Pokud chcete najít adminCount atribut, postupujte takto:

    1. Vyhledejte Uživatelé a počítače služby Active Directory a pak vyberte Zobrazit>rozšířené funkce.
    2. Rozbalte doménu serveru, na kterém běží Exchange Server, a potom rozbalte Položku Počítače.
    3. Vyhledejte server Exchange 2013 nebo Exchange 2016. Klikněte pravým tlačítkem na server a pak vyberte Vlastnosti.
    4. Vyhledejte kartu Atribut Editor a pak vyhledejte atribut adminCount.

    Pokud je atribut nastaven na hodnotu 1, znamená to, že účet počítače je přímo nebo nepřímo členem jedné z následujících chráněných skupin:

    • Správci
    • Operátory účtů
    • Serverové operátory
    • Operátory tisku
    • Backup Operators
    • Správci domény
    • Správci schématu
    • Podnikoví správci
    • Vydavatelé certifikátů

    Účet počítače pro hybridní server Exchange 2013 by měl patřit pouze do následujících skupin zabezpečení:

    • Počítače domény
    • Instalace Exchange
    • Doménové servery
    • Servery Exchange
    • Exchange Trusted Subsystem
    • Spravované servery dostupnosti

  2. Nastavte hodnotu atributu adminCount v účtu počítače na 0.

  3. Restartujte server.

Další informace

Členové chráněných skupin nedědí oprávnění z nadřazeného kontejneru.

Active Directory Domain Services (AD DS) používá mechanismus ochrany, který zajišťuje správné nastavení seznamů řízení přístupu (ACL) pro členy citlivých skupin. Mechanismus se na hlavním serveru operací primárního řadiče domény (PDC) spouští jednou za hodinu. Hlavní operační server porovnává seznam ACL u uživatelských účtů, které jsou členy chráněných skupin, s seznamem ACL u následujícího objektu:

CN=adminSDHolder,CN=System,DC=<Domain,DC>=<Com>

Pokud se seznamy ACL liší, seznam ACL u objektu uživatele se přepíše tak, aby odrážel nastavení zabezpečení objektu adminSDHolder (a dědičnost seznamu ACL je zakázaná). Tento proces chrání tyto účty před změnou neoprávněnými uživateli, pokud se účty přesunou do kontejneru nebo organizační jednotky, ve které byly uživateli se zlými úmysly delegovány přihlašovací údaje správce pro úpravy uživatelských účtů. Mějte na paměti, že když je uživatel odebrán ze skupiny pro správu, proces není obrácený a musí se změnit ručně.

Pokud při přesouvání poštovních schránek do Exchange Online v Microsoftu 365 narazíte na problémy, můžete spustit nástroj Řešení potíží s migrací poštovních schránek Microsoftu 365. Tato diagnostika je automatizovaný nástroj pro řešení potíží. Pokud dochází ke známému problému, zobrazí se zpráva s informacemi o tom, co se pokazilo. Zpráva obsahuje odkaz na článek, který obsahuje řešení. V současné době je nástroj podporován pouze v Internet Exploreru.

Stále potřebujete pomoc? Přejděte na Komunitu společnosti Microsoft nebo Dotazy a odpovědi společnosti Microsoft.