Virhe EMS-, EAC-, ECP-, OWA- tai Outlookin verkkoversiossa Exchange Server 2013:ssa tai Exchange Server 2016:ssa

Alkuperäinen KB-numero:   2898571

Oireet

Microsoft Exchange Server 2013:ssa tai Exchange Server 2016:ssa saattaa ilmetä vähintään yksi seuraavista ongelmista:

  • Kun yrität käynnistää Exchange Management Shellin (EMS), näyttöön tulee seuraavankaltainen virhesanoma:

    VERBOSE: Connecting to Cas1.Fabrikam.com.
    New-PSSession : [cas1.fabrikam.com] Connecting to remote server cas1.fabrikam.com failed with the following error
    message : [Server=CAS1,RequestId=1694d4e1-3f45-4ff3-bfca-7ded20aaa838,TimeStamp=10/4/2013 2:15:34 PM] Access is
    denied.
    
    For more information, see the about_Remote_Troubleshooting Help topic.
    At line:1 char:1
    + New-PSSession -ConnectionURI "$connectionUri" -ConfigurationName Microsoft.Excha ...
    + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
        + CategoryInfo          : OpenError: (System.Manageme....RemoteRunspace:RemoteRunspace) [New-PSSession], PSRemotin
       gTransportException
        + FullyQualifiedErrorId : -2144108477,PSSessionOpenFailed
    
  • Kun yrität kirjautua Exchange Admin Centeriin (EAC) tai Exchangen ohjauspaneeliin (ECP), näyttöön tulee seuraavankaltainen virhesanoma:

    403 Käyttö estetty -virhesanoma

    Lisäksi sovelluslokiin kirjataan seuraava tapahtuma:

    Log Name:      Application
    Source:        MSExchange Control Panel
    Event ID:      4
    Task Category: General
    Level:         Error
    Keywords:      Classic
    User:          N/A
    Computer:      MBX1.Fabrikam.com
    Description:
    Current user: 'FAB\CAS1$'
    Request for URL 'https://mbx1.fabrikam.com:444/ecp/default.aspx(https://cas1.fabrikam.com/ecp/)' failed with the following error:
    Microsoft.Exchange.Configuration.Authorization.CmdletAccessDeniedException: The user "Fabrikam.com/Computers/CAS1" isn't assigned to any management roles.
    
  • Kun käyttäjät yrittävät kirjautua Outlook Web Appiin (OWA) tai Outlookin verkkoversioon, he saavat seuraavankaltaisen virhesanoman:

    OWA-kirjautumisvirhesanoma

Syy

Nämä ongelmat ilmenevät, jos estämisoikeus on voimassa ms-Exch-EPI-Token-Serialization tietokoneessa, jolle on määritetty Exchange Server 2013- tai Exchange Server 2016 -rooli.

Huomautus

Yleensä tämä ongelma ilmenee, jos tietokoneobjekti lisätään ryhmään, joka on evännyt ms-Exch-EPI-Token-Serialization käyttöoikeuden. Oletusarvon mukaan seuraavilta ryhmiltä evätään ms-Exch-EPI-Token-Serialization käyttöoikeus:

  • Toimialueen järjestelmänvalvojat
  • Rakenteen järjestelmänvalvojat
  • Yrityksen ylläpitäjät
  • Organisaation hallinta

Ratkaisu

Voit ratkaista tämän ongelman poistamalla tietokoneobjektin rajoitetusta ryhmästä.

Huomautus

Voit ratkaista tämän ongelman käynnistämällä uudelleen tietokoneen, johon on määritetty Exchange Server -rooli.

Lisätietoja

Voit selvittää Exchange Server 2013- tai Exchange Server 2016 -tietokoneen ryhmäjäsenyyt avaamalla komentorivin, kirjoittamalla seuraavan komennon ja painamalla sitten Enter-näppäintä:

gpresult /scope computer /r

Tässä esimerkissä Exchange Server 2013 -tietokoneessa on seuraavat oletusryhmäjäsenyyksiä:

Gpresult-cmdlet-tulon tuloste

Seuraavassa esimerkissä tietokone lisättiin Exchangen luotettu alijärjestelmä -ryhmään. Exchangen luotettu alijärjestelmä -ryhmä lisättiin sitten Toimialueen järjestelmänvalvojat -ryhmään:

Gpresult-cmdlet-tulo, kun ryhmät ovat sisäkkäisiä

Voit tarkastella kaikkia käyttäjiä ja ryhmiä, joilta on evätty Exchange-tietokoneobjektin käyttöoikeudet, suorittamalla seuraavan cmdlet-objektin:

Get-ADPermission -Identity <ExchangeComputerObject> | where {($_.ExtendedRights -like "ms-Exch-EPI-Token-Serialization") -and ($_.Deny -like "True")} | ft -autosize User,ExtendedRights