Ошибка (доступ запрещен) при попытке переместить почтовые ящики в Exchange Online в гибридном развертывании

Исходный номер базы знаний: 2975731

Симптомы

Предположим, что у вас есть гибридное развертывание Microsoft Exchange Server. При попытке создать пакет для удалённой миграции или запрос на перемещение при подключении к Exchange Online через удалённый PowerShell, вы получите сообщение об ошибке, похожее на следующее:

Вызов к 'https://<ServerName>/EWS/mrsproxy.svc' не удался. Сведения об ошибке: доступ запрещен.
+ CategoryInfo : NotSpecified: (:) [New-MoveRequest], RemoteTransientException
+ FullyQualifiedErrorId: [Server=<Server>,RequestId=RequestId,TimeStamp=DateTime] [FailureCategory=Cmdlet-RemoteTransientException] 384B348,Microsoft.Exchange.Management.RecipientTasks.NewMoveRequest
+ PSComputerName : <ComputerName.outlook.com>

Если вы затем выполните командлет Test-MigrationServerAvailability, вы получите сообщение об ошибке, похожее на следующее:

RunspaceId: RunspaceId
Результат: неудача
Сообщение: Параметры конечной точки для ExchangeRemote не могут быть определены из ответа автообнаружения. На <Server> не найден MRSProxy.
ПараметрыПодключения:
SupportsCutover: False
ErrorDetail: внутренняя ошибка: Microsoft.Exchange.Migration.MigrationRemoteEndpointSettings не удалось определить настройки конечной точки TheExchangeRemote из ответа автообнаружения. На '<Server>' не был запущен MRSProxy. >--- Microsoft.Exchange.MigrationServerConnectionFailedException: не удалось завершить подключение к серверу "<Сервер>". >--- Microsoft.Exchange.MailboxReplicationService.RemoteTransientException: не удалось вызвать "https://< ServerName>/EWS/mrsproxy.svc". Сведения об ошибке: доступ запрещен.. >--- Microsoft.E xchange. MailboxReplicationService.RemotePermanentException: доступ запрещен.--- Конец трассировки внутреннего стека исключений --- в Microsoft.Exchange.MailboxReplicationService.Mailbox ReplicationServiceFault.<>c__DisplayClass1.<>Восстановить b__0() в Microsoft.Exchange.MailboxReplicationService.Executei onContext.Execute(Action operation) в Microsoft.Exchange.MailboxReplicationService.Mailbox ReplicationServiceFault.РеконструкторAndThrow(String serverName, VersionInformation serverVersion) в Microsoft.Exchange.MailboxReplicationService.CommonU tils. CallWCFService[ExceptionT](Action serviceCall, String epAddress, Action'1 faultHandler, VersionInformation serverVersion) в Microsoft.Exchange.MailboxReplicationService.CommonU tils. CallService(Action serviceCall, String epAddress, VersionInformation serverVersion) в Microsoft.Exchange.Migration.MigrationExchangeProxyR pcClient.CanConnectToMrsProxy(Fqdn serverName, Guid mbxGuid, NetworkCredential credentials, LocalizedException&error) --- Конец трассировки внутреннего стека исключений --- в Microsoft.Exchange.Migration.DataAccessLayer.Exchange eRemoteMoveEndpoint.VerifyConnectivity() в Microsoft.Exchange.Management.Migration.TestMigrationServerAvailability. InternalProcessEndpoint(BooleanfromAutoDiscover)--- Конец трассировки внутреннего стека исключений ---IsValid : TrueIdentity :ObjectState : New

Например, при выполнении следующей команды вы получите это сообщение об ошибке:

Test-MigrationServerAvailability -ExchangeRemoteMove -Autodiscover -EmailAddressusername@contoso.com -Credentials (Get-Credential)

Кроме того, предположим, что наследование не включено на учетной записи компьютера гибридного сервера Exchange 2013 или Exchange 2016. Если включить его, вы обнаружите, что он отключен.

Причина

Эта проблема возникает, если учетная запись компьютера гибридного сервера Exchange 2013 или Exchange 2016 является членом одной или нескольких защищенных групп.

Резолюция

Проблему можно устранить следующим способом.

1. Убедитесь, что у вас возникла эта проблема. Для этого определите, имеет ли учетная запись компьютера гибридного сервера Exchange 2013 значение adminCount1.

   Чтобы найти adminCount атрибут, выполните следующие действия.

   1. Найдите пользователей и компьютеры Active Directory, а затем выберите "Просмотреть>дополнительные функции".
   2. Разверните домен для сервера, на котором работает Exchange Server, а затем разверните Компьютеры.
   3. Найдите сервер Exchange 2013 или Exchange 2016. Щелкните правой кнопкой мыши сервер и выберите пункт "Свойства".
   4. Найдите вкладку редактора атрибутов и найдите атрибут adminCount .

   Если атрибут имеет значение 1, это означает, что учетная запись компьютера является членом, прямо или косвенно, из одной из следующих защищенных групп:

   • Администраторы
   • Операторы учетной записи
   • Операторы сервера
   • Операторы печати
   • Операторы резервного копирования
   • Администраторы домена
   • Администраторы схемы
   • Администраторы предприятия
   • Издатели сертификатов

   Учетная запись компьютера для гибридного сервера Exchange 2013 должна принадлежать только следующим группам безопасности:

   • Компьютеры в домене
   • Установка Exchange
   • Доменные серверы
   • Серверы Exchange
   • Группа безопасности Exchange Trusted Subsystem
   • Управляемые серверы доступности

2. Задайте для атрибута adminCount учетной записи компьютера значение 0.

3. Перезапустите сервер.

Дополнительные сведения

Члены защищенных групп не наследуют разрешения от родительского контейнера.

Доменные службы Active Directory (AD DS) используют механизм защиты, чтобы убедиться, что списки управления доступом (ACL) заданы правильно для членов конфиденциальных групп. Механизм запускается один раз каждый час на главном контроллере домена (PDC). Мастер операций сравнивает ACL в учетных записях пользователей, которые являются членами защищенных групп с ACL на следующем объекте:

CN=adminSDHolder,CN=System,DC=<Domain>,DC=<Com>

Если списки управления доступом отличаются, ACL объекта пользователя перезаписывается, чтобы отражать параметры безопасности объекта adminSDHolder (и наследование ACL отключено). Этот процесс защищает эти учетные записи от изменения несанкционированными пользователями, если учетные записи перемещаются в контейнер или подразделение, где злоумышленник был делегирован административными учетными данными для изменения учетных записей пользователей. Помните, что при удалении пользователя из административной группы процесс не изменяется и должен быть изменен вручную.

Если у вас возникают проблемы при перемещении почтовых ящиков в Exchange Online в Microsoft 365, вы можете запустить инструмент устранения неполадок миграции почтовых ящиков Microsoft 365. Эта диагностика — это средство автоматического устранения неполадок. Если у вас возникает известная проблема, вы получите сообщение о том, что пошло не так. Сообщение содержит ссылку на статью, содержащую решение. В настоящее время средство поддерживается только в Internet Explorer.

Все еще нужна помощь? Обратитесь к сообществу Майкрософт или просмотрите ответы Майкрософт на вопросы.