Delen via

Fout (Toegang wordt geweigerd) wanneer u postvakken probeert te verplaatsen naar Exchange Online in een hybride implementatie

  • Artikel
  • Van toepassing op:
    Exchange Online

Origineel KB-nummer: 2975731

Symptomen

Stel dat u een Microsoft Exchange Server hybride implementatie hebt. Als u een migratiebatch probeert te maken voor een migratie op afstand of als u een verplaatsingsaanvraag probeert te maken wanneer u via externe PowerShell bent verbonden met Exchange Online, ontvangt u een foutbericht dat er ongeveer als volgt uitziet:

De aanroep naar 'https://< ServerName>/EWS/mrsproxy.svc' is mislukt. Foutdetails: toegang wordt geweigerd.
+ CategoryInfo : NotSpecified: (:) [New-MoveRequest], RemoteTransientException
+ FullyQualifiedErrorId : [Server=<Server,RequestId>=RequestId,TimeStamp=DateTime] [FailureCategory=Cmdlet-RemoteTransientException] 384B348,Microsoft.Exchange.Management.RecipientTasks.NewMoveRequest
+ PSComputerName : <ComputerName.outlook.com>

Als u vervolgens de Test-MigrationServerAvailability cmdlet uitvoert, ontvangt u een foutbericht dat er ongeveer als volgt uitziet:

RunspaceId: RunspaceId
Resultaat: mislukt
Bericht: de ExchangeRemote-eindpuntinstellingen kunnen niet worden bepaald op basis van het antwoord voor automatisch opsporen. Er is geen MRSProxy gevonden die wordt uitgevoerd op <server>.
ConnectionSettings :
SupportsCutover: False
ErrorDetail : interne fout:Microsoft.Exchange.Migration.MigrationRemoteEndpointSettings couldNotBeAutodiscoveredException: De eindpuntinstellingen van DeExchangeRemote kunnen niet worden bepaald op basis van het autodiscover-antwoord. Er is geen MRSProxy gevonden die wordt uitgevoerd op '<Server>'. >--- Microsoft.Exchange.MigrationServerConnectionFailedException:De verbinding met de server '<Server>' kan niet worden voltooid. >--- Microsoft.Exchange.MailboxReplicationService.RemoteTransientException: de aanroep naar 'https://< ServerName>/EWS/mrsproxy.svc' is mislukt. Foutdetails: Toegang wordt geweigerd.. >--- Microsoft.E xchange. MailboxReplicationService.RemotePermanentException: Toegang is denied.--- End of inner exception stack trace --- op Microsoft.Exchange.MailboxReplicationService.Mailbox ReplicationServiceFault.<>c__DisplayClass1.<ReconstructAnd Throw>b__0() at Microsoft.Exchange.MailboxReplicationService.Executi onContext.Execute(Action operation) at Microsoft.Exchange.MailboxReplicationService.Mailbox ReplicationServiceFault.ReconstructAndThrow(String serverName, VersionInformation serverVersion) at Microsoft.Exchange.MailboxReplicationService.CommonU tils. CallWCFService[ExceptionT](Action serviceCall, String epAddress, Action'1 faultHandler, VersionInformation serverVersion) at Microsoft.Exchange.MailboxReplicationService.CommonU tils. CallService(Action serviceCall, String epAddress, VersionInformation serverVersion) at Microsoft.Exchange.MigrationExchangeProxyR pcClient.CanConnectToMrsProxy(Fqdn serverName, Guid mbxGuid, NetworkCredential credentials, LocalizedException& error) --- End of inner exception stack trace --- at Microsoft.Exchange.Migration.DataAccessLayer.Exchange eRemoteMoveEndpoint.VerifyConnectivity() at Microsoft.Exchange.Management.Migration.TestMigrationServerAvailability. InternalProcessEndpoint(BooleanfromAutoDiscover)--- Einde van interne uitzonderingsstacktracering ---IsValid: TrueIdentity :ObjectState : Nieuw

Dit foutbericht wordt bijvoorbeeld weergegeven wanneer u de volgende opdracht uitvoert:

Test-MigrationServerAvailability -ExchangeRemoteMove -Autodiscover -EmailAddressusername@contoso.com -Credentials (Get-Credential)

Stel bovendien dat overname niet is ingeschakeld op het computeraccount van de hybride Exchange 2013- of Exchange 2016-server. Als u dit inschakelt, ontdekt u later dat het is uitgeschakeld.

Oorzaak

Dit probleem treedt op als het computeraccount van de hybride Exchange 2013- of Exchange 2016-server lid is van een of meer beveiligde groepen.

Oplossing

Voer de volgende stappen uit om dit probleem op te lossen:

  1. Controleer of u dit probleem ondervindt. U kunt dit doen door te bepalen of het kenmerk van het computeraccount van de hybride Exchange 2013-server is adminCount ingesteld op 1.

    Voer de volgende stappen uit om het adminCount kenmerk te vinden:

    1. Zoek Active Directory: gebruikers en computers en selecteergeavanceerde functies weergeven>.
    2. Vouw het domein uit voor de server waarop Exchange Server wordt uitgevoerd en vouw vervolgens Computers uit.
    3. Zoek de Exchange 2013- of Exchange 2016-server. Klik met de rechtermuisknop op de server en selecteer vervolgens Eigenschappen.
    4. Zoek het tabblad Kenmerk Editor en zoek vervolgens het kenmerk adminCount.

    Als het kenmerk is ingesteld op 1, betekent dit dat het computeraccount direct of indirect lid is van een van de volgende beveiligde groepen:

    • Beheerders
    • Accountoperators
    • Serveroperators
    • Afdrukoperators
    • Back-upoperators
    • Domain Admins
    • Schema Admins
    • Enterprise Admins
    • Certificaatuitgevers

    Het computeraccount voor de hybride Exchange 2013-server mag alleen deel uitmaken van de volgende beveiligingsgroepen:

    • Domeincomputers
    • Exchange Installeren
    • Domeinservers
    • Exchange-servers
    • Vertrouwd Exchange-subsysteem
    • Beheerde beschikbaarheidsservers

  2. Stel de waarde van het adminCount kenmerk in het computeraccount in op 0.

  3. Start de server opnieuw.

Meer informatie

Leden van beveiligde groepen nemen geen machtigingen over van de bovenliggende container.

Active Directory Domain Services (AD DS) maakt gebruik van een beveiligingsmechanisme om ervoor te zorgen dat toegangsbeheerlijsten (ACL's) correct zijn ingesteld voor leden van gevoelige groepen. Het mechanisme wordt één keer per uur uitgevoerd op de operations-master van de primaire domeincontroller (PDC). De operations-master vergelijkt de ACL op de gebruikersaccounts die lid zijn van beveiligde groepen met de ACL op het volgende object:

CN=adminSDHolder,CN=System,DC=<Domain,DC>=<Com>

Als de ACL's verschillen, wordt de ACL op het gebruikersobject overschreven om de beveiligingsinstellingen van het adminSDHolder object weer te geven (en ACL-overname is uitgeschakeld). Dit proces beschermt deze accounts tegen wijzigingen door onbevoegde gebruikers als de accounts worden verplaatst naar een container of een organisatie-eenheid waar een kwaadwillende gebruiker beheerdersreferenties heeft gekregen om gebruikersaccounts te wijzigen. Houd er rekening mee dat wanneer een gebruiker uit de beheergroep wordt verwijderd, het proces niet wordt teruggedraaid en handmatig moet worden gewijzigd.

Als u problemen ondervindt bij het verplaatsen van postvakken naar Exchange Online in Microsoft 365, kunt u het hulpprogramma Microsoft 365-postvakmigratie oplossen uitvoeren. Deze diagnose is een geautomatiseerd hulpprogramma voor probleemoplossing. Als u een bekend probleem ondervindt, ontvangt u een bericht waarin wordt aangegeven wat er is misgegaan. Het bericht bevat een koppeling naar een artikel dat de oplossing bevat. Momenteel wordt het hulpprogramma alleen ondersteund in Internet Explorer.

Meer hulp nodig? Ga naar Microsoft Community of de Veelgestelde vragen van Microsoft.