Compartilhar via

Erro (O acesso é negado) ao tentar mover caixas de correio para Exchange Online em uma implantação híbrida

  • Artigo
  • Aplica-se a:
    Exchange Online

Número de KB original: 2975731

Sintomas

Suponha que você tenha uma implantação híbrida Microsoft Exchange Server. Se você tentar criar um lote de migração para uma migração de movimento remoto ou se tentar criar uma solicitação de movimentação quando estiver conectado ao Exchange Online por meio do PowerShell remoto, receberá uma mensagem de erro que se assemelha ao seguinte:

A chamada para 'https://< ServerName>/EWS/mrsproxy.svc' falhou. Detalhes do erro: o acesso é negado.
+ CategoryInfo : NotSpecified: (:) [New-MoveRequest], RemoteTransientException
+ FullyQualifiedErrorId : [Server=<Server,RequestId>=RequestId,TimeStamp=DateTime] [FailureCategory=Cmdlet-RemoteTransientException] 384B348,Microsoft.Exchange.Management.RecipientTasks.NewMoveRequest
+ PSComputerName : <ComputerName.outlook.com>

Se você executar o Test-MigrationServerAvailability cmdlet, receberá uma mensagem de erro que se assemelha ao seguinte:

RunspaceId: RunspaceId
Resultado: falha
Mensagem : as configurações do ponto de extremidade ExchangeRemote não puderam ser determinadas a partir da resposta de descoberta automática. Nenhum MRSProxy foi encontrado em execução no <Server>.
Connectionsettings:
SupportsCutover : False
ErrorDetail : erro interno:Microsoft.Exchange.Migration.MigrationRemoteEndpointSettings couldNotBeAutodiscoveredException: as configurações do ponto de extremidade TheExchangeRemote não puderam ser determinadas a partir da resposta de descoberta automática. Nenhum MRSProxy foi encontrado em execução no '<Server>'. >--- Microsoft.Exchange.Migration.MigrationServerConnectionFailedException:A conexão com o servidor '<Server'não> pôde ser concluída. >--- Microsoft.Exchange.MailboxReplicationService.RemoteTransientException: falha na chamada para 'https://< ServerName>/EWS/mrsproxy.svc'. Detalhes do erro: o acesso é negado.. >--- microsoft.e xchange. MailboxReplicationService.RemotePermanentException: o acesso é negado.--- Fim do --- de rastreamento de pilha de exceção interna em Microsoft.Exchange.MailboxReplicationService.Mailbox ReplicationServiceFault.<>c__DisplayClass1.<ReconstructAnd Throw>b__0() at Microsoft.Exchange.MailboxReplicationService.Executi onContext.Execute(Action operation) at Microsoft.Exchange.MailboxReplicationService.Mailbox ReplicationServiceFault.ReconstructAndThrow(String serverName, VersionInformation serverVersion) at Microsoft.Exchange.MailboxReplicationService.CommonU tils. CallWCFService[ExceptionT](Action serviceCall, String epAddress, Action'1 faultHandler, VersionInformation serverVersion) em blocos Microsoft.Exchange.MailboxReplicationService.CommonU. CallService(Action serviceCall, String epAddress, VersionInformation serverVersion) em Microsoft.Exchange.Migration.MigrationExchangeProxyR pcClient.CanConnectToMrsProxy(Fqdn serverName, Guid mbxGuid, credenciais NetworkCredential, LocalizedException& error) --- End of inner exception stack trace --- at Microsoft.Exchange.Migration.DataAccessLayer.Exchang eRemoteMoveEndpoint.VerifyConnectivity() at Microsoft.Exchange.Management.Migration.TestMigrationServerAvailability. InternalProcessEndpoint(BooleanfromAutoDiscover)--- Fim do rastreamento de pilha de exceção interna ---IsValid : TrueIdentity :ObjectState : New

Por exemplo, você recebe essa mensagem de erro ao executar o seguinte comando:

Test-MigrationServerAvailability -ExchangeRemoteMove -Autodiscover -EmailAddressusername@contoso.com -Credentials (Get-Credential)

Além disso, suponha que a herança não esteja habilitada na conta de computador do servidor híbrido exchange 2013 ou Exchange 2016. Se você habilitá-lo, você descobrirá mais tarde que ele foi desabilitado.

Motivo

Esse problema ocorrerá se a conta de computador do servidor híbrido exchange 2013 ou Exchange 2016 for membro de um ou mais grupos protegidos.

Solução

Para resolver esse problema, siga estas etapas:

  1. Verifique se você está enfrentando esse problema. Para fazer isso, determine se a conta de computador do servidor híbrido do Exchange 2013 tem seu adminCount atributo definido como 1.

    Para localizar o adminCount atributo, siga estas etapas:

    1. Localize Usuários e Computadores do Active Directory e selecione Exibir>Recursos Avançados.
    2. Expanda o domínio para o servidor que está executando Exchange Server e expanda Computadores.
    3. Localize o servidor Exchange 2013 ou Exchange 2016. Clique com o botão direito do mouse no servidor e selecione Propriedades.
    4. Localize a guia Atributo Editor e localize o atributo adminCount.

    Se o atributo for definido como 1, isso significa que a conta do computador é um membro, direta ou indiretamente, de mais um dos seguintes grupos protegidos:

    • Administradores
    • Operadores de Conta
    • Operadores de Servidor
    • Operadores de Impressão
    • Operadores de backup
    • Admins de domínio
    • Administradores de esquemas
    • Admins corporativos
    • Cert Publishers

    A conta de computador do servidor híbrido do Exchange 2013 deve pertencer apenas aos seguintes grupos de segurança:

    • Computadores de Domínio
    • Instalação do Exchange
    • Servidores de Domínio
    • Exchange Servers
    • Subsistema confiável do Exchange
    • Servidores de Disponibilidade Gerenciada

  2. Defina o valor do adminCount atributo na conta do computador como 0.

  3. Reiniciar o servidor.

Mais informações

Membros de grupos protegidos não herdam permissões do contêiner pai.

Active Directory Domain Services (AD DS) usa um mecanismo de proteção para garantir que as ACLs (listas de controle de acesso) sejam definidas corretamente para membros de grupos confidenciais. O mecanismo é executado uma vez por hora nas operações do PDC (controlador de domínio primário) master. As operações master compara a ACL nas contas de usuário que são membros de grupos protegidos contra a ACL no seguinte objeto:

CN=adminSDHolder,CN=System,DC=<Domain,DC>=<Com>

Se as ACLs forem diferentes, a ACL no objeto de usuário será substituída para refletir as configurações de segurança do objeto (e a adminSDHolder herança ACL está desabilitada). Esse processo protege essas contas de serem modificadas por usuários não autorizados se as contas forem movidas para um contêiner ou uma unidade organizacional em que um usuário mal-intencionado tiver sido delegado credenciais administrativas para modificar contas de usuário. Lembre-se de que quando um usuário é removido do grupo administrativo, o processo não é revertido e deve ser alterado manualmente.

Se você tiver problemas ao mover caixas de correio para Exchange Online no Microsoft 365, poderá executar a ferramenta Solucionar problemas do Microsoft 365 Mailbox Migration. Esse diagnóstico é uma ferramenta automatizada de solução de problemas. Se você estiver enfrentando um problema conhecido, receberá uma mensagem informando o que deu errado. A mensagem inclui um link para um artigo que contém a solução. Atualmente, a ferramenta tem suporte apenas no Explorer da Internet.

Ainda precisa de ajuda? Acesse a Comunidade da Microsoft ou as Perguntas e Respostas da Microsoft.