K chybě dochází v EMS, EAC, ECP, OWA nebo Outlooku na webu na Exchange Serveru 2013 nebo Exchange Serveru 2016

Původní číslo KB:   2898571

Příznaky

Na serveru Microsoft Exchange Server 2013 nebo Exchange Server 2016 může docházet k jednomu nebo více následujícím problémům:

  • Při pokusu o spuštění prostředí Exchange Management Shell (EMS) se zobrazí chybová zpráva takto:

    VERBOSE: Connecting to Cas1.Fabrikam.com.
    New-PSSession : [cas1.fabrikam.com] Connecting to remote server cas1.fabrikam.com failed with the following error
    message : [Server=CAS1,RequestId=1694d4e1-3f45-4ff3-bfca-7ded20aaa838,TimeStamp=10/4/2013 2:15:34 PM] Access is
    denied.
    
    For more information, see the about_Remote_Troubleshooting Help topic.
    At line:1 char:1
    + New-PSSession -ConnectionURI "$connectionUri" -ConfigurationName Microsoft.Excha ...
    + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
        + CategoryInfo          : OpenError: (System.Manageme....RemoteRunspace:RemoteRunspace) [New-PSSession], PSRemotin
       gTransportException
        + FullyQualifiedErrorId : -2144108477,PSSessionOpenFailed
    
  • Při pokusu o přihlášení k Exchange Admin Center (EAC) nebo Exchange Control Panel (ECP), zobrazí se chybová zpráva, jako je tento:

    403 Chybaová zpráva o přístupu byla odmítnuta

    Kromě toho je zaznamenána následující událost v protokolu aplikace:

    Log Name:      Application
    Source:        MSExchange Control Panel
    Event ID:      4
    Task Category: General
    Level:         Error
    Keywords:      Classic
    User:          N/A
    Computer:      MBX1.Fabrikam.com
    Description:
    Current user: 'FAB\CAS1$'
    Request for URL 'https://mbx1.fabrikam.com:444/ecp/default.aspx(https://cas1.fabrikam.com/ecp/)' failed with the following error:
    Microsoft.Exchange.Configuration.Authorization.CmdletAccessDeniedException: The user "Fabrikam.com/Computers/CAS1" isn't assigned to any management roles.
    
  • Když se uživatelé pokusí přihlásit k Outlook Web Appu (OWA) nebo Outlooku na webu, zobrazí se jim chybová zpráva takto:

    Chybová zpráva o přihlášení owa

Příčina

K těmto problémům dochází, pokud je oprávnění "odepřít" účinné u ms-Exch-EPI-Token-Serialization uživatelského práva u objektu počítače, kterému je přiřazena role Exchange Serveru 2013 nebo Exchange Server 2016.

Poznámka

K tomuto problému obvykle dochází, pokud je objekt počítače přidán do skupiny, které je odepřeno ms-Exch-EPI-Token-Serialization uživatelské právo. Ve výchozím nastavení je následující skupiny odepřeno ms-Exch-EPI-Token-Serialization uživatelské právo:

  • Správci domény
  • Správci schémat
  • Podnikoví správci
  • Správa organizace

Řešení

Chcete-li tento problém vyřešit, odeberte objekt počítače ze skupiny s omezeným přístupem.

Poznámka

Chcete-li tento problém vyřešit, bude pravděpodobně nutné restartovat počítač, kterému je přiřazena role serveru Exchange Server.

Další informace

Pokud chcete zjistit členství ve skupinách pro počítač se systémem Exchange Server 2013 nebo Exchange Server 2016, otevřete příkazový řádek, zadejte následující příkaz a stiskněte Enter:

gpresult /scope computer /r

V tomto příkladu má počítač se serverem Exchange Server 2013 následující výchozí členství ve skupinách:

Výstup rutiny gpresult

V následujícím příkladu byl počítač přidán do skupiny Exchange Trusted Subsystem. Skupina "Exchange Trusted Subsystem" byla poté přidána do skupiny Domain Admins:

Výstup rutiny gpresult při vnořených skupinách

Chcete-li zobrazit všechny uživatele a skupiny, kterým byla odepřena oprávnění k objektu počítače serveru Exchange, spusťte následující rutinu:

Get-ADPermission -Identity <ExchangeComputerObject> | where {($_.ExtendedRights -like "ms-Exch-EPI-Token-Serialization") -and ($_.Deny -like "True")} | ft -autosize User,ExtendedRights