(Se deniega el acceso) al intentar mover buzones a Exchange Online en una implementación híbrida

  • Artículo
  • Se aplica a:
    Exchange Online

Número de KB original: 2975731

Síntomas

Supongamos que tiene una implementación híbrida Microsoft Exchange Server. Si intenta crear un lote de migración para una migración de movimiento remoto o si intenta crear una solicitud de movimiento cuando está conectado a Exchange Online a través de PowerShell remoto, recibirá un mensaje de error similar al siguiente:

Error en la llamada a "https://< ServerName>/EWS/mrsproxy.svc". Detalles del error: se deniega el acceso.
+ CategoryInfo : NotSpecified: (:) [New-MoveRequest], RemoteTransientException
+ FullyQualifiedErrorId : [Server=<Server,RequestId>=RequestId,TimeStamp=DateTime] [FailureCategory=Cmdlet-RemoteTransientException] 384B348,Microsoft.Exchange.Management.RecipientTasks.NewMoveRequest
+ PSComputerName : <ComputerName.outlook.com>

Si luego ejecuta el Test-MigrationServerAvailability cmdlet, recibirá un mensaje de error similar al siguiente:

RunspaceId: RunspaceId
Resultado: error
Mensaje: La configuración del punto de conexión de ExchangeRemote no se pudo determinar a partir de la respuesta de detección automática. No se encontró mrsproxy en ejecución en el <servidor>.
ConnectionSettings :
SupportsCutover : False
ErrorDetail: error interno:Microsoft.Exchange.Migration.MigrationRemoteEndpointSettings couldNotBeAutodiscoveredException: La configuración del punto de conexión deExchangeRemote no se pudo determinar a partir de la respuesta de detección automática. No se encontró MRSProxy en ejecución en "Server>"<. >--- Microsoft.Exchange.Migration.MigrationServerConnectionFailedException:No se pudo completar la conexión al servidor "Server>"<. >--- Microsoft.Exchange.MailboxReplicationService.RemoteTransientException: error en la llamada a "https://< ServerName>/EWS/mrsproxy.svc". Detalles del error: se deniega el acceso. >--- Microsoft.E xchange. MailboxReplicationService.RemotePermanentException: el acceso se deniega.--- --- de seguimiento de la pila de excepciones internas en Microsoft.Exchange.MailboxReplicationService.Mailbox ReplicationServiceFault.<>c__DisplayClass1.<ReconstructAnd Throw>b__0() en Microsoft.Exchange.MailboxReplicationService.Executi onContext.Execute(Action operation) at Microsoft.Exchange.MailboxReplicationService.Mailbox ReplicationServiceFault.ReconstructAndThrow(String serverName, VersionInformation serverVersion) en Microsoft.Exchange.MailboxReplicationService.CommonU tils. CallWCFService[ExceptionT](Action serviceCall, String epAddress, Action'1 faultHandler, VersionInformation serverVersion) en Microsoft.Exchange.MailboxReplicationService.CommonU tils. CallService(Action serviceCall, String epAddress, VersionInformation serverVersion) en Microsoft.Exchange.Migration.MigrationExchangeProxyR pcClient.CanConnectToMrsProxy(Fqdn serverName, Guid mbxGuid, NetworkCredential credentials, LocalizedException& error) --- Fin del seguimiento de pila de excepciones internas --- en Microsoft.Exchange.Migration.DataAccessLayer.Exchang eRemoteMoveEndpoint.VerifyConnectivity() en Microsoft.Exchange.Management.Migration.TestMigrationServerAvailability. InternalProcessEndpoint(BooleanfromAutoDiscover)--- Final del seguimiento de la pila de excepciones internas ---IsValid : TrueIdentity :ObjectState : New

Por ejemplo, recibirá este mensaje de error al ejecutar el siguiente comando:

Test-MigrationServerAvailability -ExchangeRemoteMove -Autodiscover -EmailAddressusername@contoso.com -Credentials (Get-Credential)

Además, suponga que la herencia no está habilitada en la cuenta de equipo del servidor híbrido de Exchange 2013 o Exchange 2016. Si lo habilita, más adelante descubrirá que se ha deshabilitado.

Causa

Este problema se produce si la cuenta de equipo del servidor híbrido de Exchange 2013 o Exchange 2016 es miembro de uno o varios grupos protegidos.

Solución

Para resolver este problema, siga estos pasos:

  1. Compruebe que está experimentando este problema. Para ello, determine si la cuenta de equipo del servidor híbrido de Exchange 2013 tiene su adminCount atributo establecido en 1.

    Para buscar el adminCount atributo, siga estos pasos:

    1. Busque Usuarios y equipos de Active Directory y, a continuación, seleccione Ver>características avanzadas.
    2. Expanda el dominio del servidor que ejecuta Exchange Server y, a continuación, expanda Equipos.
    3. Busque el servidor de Exchange 2013 o Exchange 2016. Haga clic con el botón derecho en el servidor y, a continuación, seleccione Propiedades.
    4. Busque la pestaña Atributo Editor y, a continuación, busque el atributo adminCount.

    Si el atributo se establece en 1, esto significa que la cuenta de equipo es un miembro, directa o indirectamente, de uno más de los siguientes grupos protegidos:

    • Administradores
    • Operadores de cuenta
    • Operadores de servidor
    • Operadores de impresión
    • Operadores de copia de seguridad
    • Administradores de dominio
    • Administradores del esquema
    • Administradores de la empresa
    • Publicadores de certificados

    La cuenta de equipo del servidor híbrido de Exchange 2013 debe pertenecer solo a los siguientes grupos de seguridad:

    • Equipos de dominio
    • Instalación de Exchange
    • Servidores de dominio
    • Servidores de Exchange
    • Subsistema de confianza de Exchange
    • Servidores de disponibilidad administrada

  2. Establezca el valor del adminCount atributo en la cuenta de equipo en 0.

  3. Reinicie el servidor.

Más información

Los miembros de grupos protegidos no heredan permisos del contenedor primario.

Servicios de dominio de Active Directory (AD DS) usa un mecanismo de protección para asegurarse de que las listas de control de acceso (ACL) se establecen correctamente para los miembros de grupos confidenciales. El mecanismo se ejecuta una vez cada hora en el maestro de operaciones del controlador de dominio principal (PDC). El maestro de operaciones compara la ACL de las cuentas de usuario que son miembros de grupos protegidos con la ACL del objeto siguiente:

CN=adminSDHolder,CN=System,DC=<Domain,DC>=<Com>

Si las ACL difieren, la ACL del objeto de usuario se sobrescribe para reflejar la configuración de seguridad del adminSDHolder objeto (y la herencia de ACL está deshabilitada). Este proceso protege a estas cuentas de ser modificadas por usuarios no autorizados si las cuentas se mueven a un contenedor o a una unidad organizativa donde se han delegado credenciales administrativas a un usuario malintencionado para modificar las cuentas de usuario. Tenga en cuenta que cuando se quita un usuario del grupo administrativo, el proceso no se invierte y debe cambiarse manualmente.

Si experimenta problemas al mover buzones a Exchange Online en Microsoft 365, puede ejecutar la herramienta de migración de buzones de Microsoft 365. Este diagnóstico es una herramienta de solución de problemas automatizada. Si experimenta un problema conocido, recibirá un mensaje que indica qué ha ido mal. El mensaje incluye un vínculo a un artículo que contiene la solución. Actualmente, la herramienta solo se admite en Internet Explorer.

¿Aún necesita ayuda? Vaya a Microsoft Community o a las preguntas frecuentes de Microsoft.