하이브리드 배포에서 사서함을 Exchange Online 이동하려고 할 때(액세스가 거부됨) 오류

  • 아티클
  • 적용 대상:
    Exchange Online

원래 KB 번호: 2975731

증상

Microsoft Exchange Server 하이브리드 배포가 있다고 가정합니다. 원격 이동 마이그레이션을 위한 마이그레이션 일괄 처리를 만들거나 원격 PowerShell을 통해 Exchange Online 연결할 때 이동 요청을 만들려고 하면 다음과 유사한 오류 메시지가 표시됩니다.

'https://< ServerName>/EWS/mrsproxy.svc'에 대한 호출이 실패했습니다. 오류 세부 정보: 액세스가 거부되었습니다.
+ CategoryInfo: NotSpecified: (:) [New-MoveRequest], RemoteTransientException
+ FullyQualifiedErrorId: [Server=<Server,RequestId>=RequestId,TimeStamp=DateTime] [FailureCategory=Cmdlet-RemoteTransientException] 384B348,Microsoft.Exchange.Management.RecipientTasks.NewMoveRequest
+ PSComputerName: <ComputerName.outlook.com>

그런 다음 cmdlet을 Test-MigrationServerAvailability 실행하면 다음과 유사한 오류 메시지가 표시됩니다.

RunspaceId: RunspaceId
결과: 실패
메시지: ExchangeRemote 엔드포인트 설정을 자동 검색 응답에서 확인할 수 없습니다. 서버>에서 <실행 중인 MRSProxy가 없습니다.
ConnectionSettings:
SupportsCutover: False
ErrorDetail: 내부 오류:Microsoft.Exchange.Migration.MigrationRemoteEndpointSettings couldNotBeAutodiscoveredException: Autodiscover 응답에서 TheExchangeRemote 엔드포인트 설정을 확인할 수 없습니다. 'Server>'<에서 실행 중인 MRSProxy가 없습니다. >--- Microsoft.Exchange.Migration.MigrationServerConnectionFailedException:서버 'Server>'<에 대한 연결을 완료할 수 없습니다. > Microsoft.Exchange.MailboxReplicationService.RemoteTransientException을 ---: 'https://< ServerName>/EWS/mrsproxy.svc'에 대한 호출이 실패했습니다. 오류 세부 정보: 액세스가 거부되었습니다. > microsoft.E xchange를 ---. MailboxReplicationService.RemotePermanentException: Access가 거부되었습니다.--- Microsoft.Exchange.MailboxReplicationService.Mailbox ReplicationServiceFault의 내부 예외 스택 추적 --- 끝입니다.<>c__DisplayClass1.<ReconstructAnd Throw>b__0() at Microsoft.Exchange.MailboxReplicationService.Executi onContext.Execute(Action operation) at Microsoft.Exchange.MailboxReplicationService.Mailbox ReplicationServiceFault.ReconstructAndThrow(String serverName, VersionInformation serverVersion) at Microsoft.Exchange.MailboxReplicationService.CommonU tils. Microsoft.Exchange.MailboxReplicationService.CommonU 타일에서 CallWCFService[ExceptionT](Action serviceCall, String epAddress, Action'1 faultHandler, VersionInformation serverVersion)를 호출합니다. Microsoft.Exchange.Migration.MigrationExchangeProxyR pcClient.CanConnectToMrsProxy(Fqdn serverName)의 CallService(Action serviceCall, String epAddress, VersionInformation serverVersion) Guid mbxGuid, NetworkCredential 자격 증명, LocalizedException& 오류) --- Microsoft.Exchange.Migration.DataAccessLayer.Exchang eRemoteMoveEndpoint.VerifyConnectivity() at Microsoft.Exchange.Management.Migration.TestMigrationServerAvailability에서 내부 예외 스택 추적 --- 종료합니다. InternalProcessEndpoint(BooleanfromAutoDiscover)--- 내부 예외 스택 추적의 끝 ---IsValid : TrueIdentity :ObjectState : New

예를 들어 다음 명령을 실행할 때 이 오류 메시지가 표시됩니다.

Test-MigrationServerAvailability -ExchangeRemoteMove -Autodiscover -EmailAddressusername@contoso.com -Credentials (Get-Credential)

또한 Exchange 2013 또는 Exchange 2016 하이브리드 서버의 컴퓨터 계정에서 상속이 사용하도록 설정되지 않았다고 가정합니다. 사용하도록 설정하면 나중에 사용하지 않도록 설정되었음을 알게 됩니다.

원인

이 문제는 Exchange 2013 또는 Exchange 2016 하이브리드 서버의 컴퓨터 계정이 하나 이상의 보호된 그룹의 구성원인 경우에 발생합니다.

해결 방법

이 문제를 resolve 다음 단계를 수행합니다.

  1. 이 문제가 발생하는지 확인합니다. 이렇게 하려면 Exchange 2013 하이브리드 서버의 컴퓨터 계정에 특성이 adminCount1로 설정되어 있는지 확인합니다.

    특성을 찾으 adminCount 려면 다음 단계를 수행합니다.

    1. Active Directory 사용자 및 컴퓨터 찾은 다음고급 기능보기를> 선택합니다.
    2. Exchange Server 실행 중인 서버의 도메인을 확장한 다음 컴퓨터를 확장합니다.
    3. Exchange 2013 또는 Exchange 2016 서버를 찾습니다. 서버를 마우스 오른쪽 단추로 클릭한 다음 속성을 선택합니다.
    4. 특성 편집기 탭을 찾은 다음 adminCount 특성을 찾습니다.

    특성이 1로 설정된 경우 이는 컴퓨터 계정이 다음 보호된 그룹 중 하나 이상의 구성원임을 직접 또는 간접적으로 의미합니다.

    • 관리자
    • 계정 연산자
    • 서버 연산자
    • 인쇄 연산자
    • 백업 연산자
    • Domain Admins
    • Schema Admins
    • Enterprise Admins
    • 인증서 게시자

    Exchange 2013 하이브리드 서버의 컴퓨터 계정은 다음 보안 그룹에만 속해야 합니다.

    • 도메인 컴퓨터
    • Exchange 설치
    • 도메인 서버
    • Exchange Server
    • Exchange 신뢰할 수 있는 하위 시스템
    • 관리되는 가용성 서버

  2. 컴퓨터 계정의 adminCount 특성 값을 0으로 설정합니다.

  3. 서버를 다시 시작합니다.

추가 정보

보호된 그룹의 멤버는 부모 컨테이너에서 권한을 상속하지 않습니다.

AD DS(Active Directory Domain Services)는 보호 메커니즘을 사용하여 중요한 그룹의 멤버에 대해 ACL(액세스 제어 목록)이 올바르게 설정되었는지 확인합니다. 메커니즘은 master 주 도메인 컨트롤러(PDC) 작업에서 매시간 한 번씩 실행됩니다. master 작업은 보호된 그룹의 멤버인 사용자 계정의 ACL을 다음 개체의 ACL과 비교합니다.

CN=adminSDHolder,CN=System,DC=<Domain,DC>=<Com>

ACL이 다른 경우 개체의 보안 설정을 반영하도록 사용자 개체의 ACL을 adminSDHolder 덮어씁니다(ACL 상속은 사용하지 않도록 설정됨). 이 프로세스는 악의적인 사용자가 사용자 계정을 수정하기 위해 관리 자격 증명을 위임한 컨테이너 또는 조직 구성 단위로 계정을 이동하는 경우 권한이 없는 사용자가 이러한 계정을 수정하지 못하도록 보호합니다. 사용자가 관리 그룹에서 제거되면 프로세스가 취소되지 않으며 수동으로 변경해야 합니다.

Microsoft 365에서 사서함을 Exchange Online 이동할 때 문제가 발생하는 경우 Microsoft 365 사서함 마이그레이션 문제 해결 도구를 실행할 수 있습니다. 이 진단은 자동화된 문제 해결 도구입니다. 알려진 문제가 발생하는 경우 무엇이 잘못되었는지를 나타내는 메시지가 표시됩니다. 메시지에는 솔루션이 포함된 아티클에 대한 링크가 포함되어 있습니다. 현재 이 도구는 인터넷 Explorer만 지원됩니다.

아직 해결되지 않았습니까? Microsoft 커뮤니티 또는 Microsoft Q&A로 이동하세요.