De fout (Access is geweigerd) wanneer u postvakken probeert te verplaatsen naar Exchange Online in een hybride implementatie

Oorspronkelijk KB-nummer:   2975731

Symptomen

Stel dat u een hybride implementatie van Microsoft Exchange Server hebt. Als u een migratie batch maakt voor een migratie voor externe verplaatsing, of als u een verplaatsings verzoek probeert te maken wanneer u verbinding maakt met Exchange Online via externe PowerShell, wordt er een foutbericht weergegeven van de volgende strekking:

Het gesprek met ' https:// <ServerName> /EWS/mrsproxy.SVC ' mislukt. Details van fout: toegang geweigerd.
+ CategoryInfo: NotSpecified: (:) [New-MoveRequest], RemoteTransientException
+FullyQualifiedErrorId: [server = <Server> , aanvraag-aanvraagnaam, tijds DateTime tempel, tijdstempel] [FailureCategory = cmdlet-RemoteTransientException] 384B348, Microsoft. Exchange. Management. RecipientTasks. NewMoveRequest
+ PSComputerName: <ComputerName> . Outlook.com

Als u vervolgens de Test-MigrationServerAvailability cmdlet uitvoert, wordt een foutbericht weergegeven van de volgende strekking:

RunspaceId: RunspaceId
Resultaat: mislukt
Bericht: de instellingen voor het ExchangeRemote-eindpunt konden niet worden bepaald via het automatisch opsporen-antwoord. Er is geen MRSProxy meer gevonden <Server> .
ConnectionSettings :
SupportsCutover: onwaar
ErrorDetail: interne fout: Microsoft. Exchange. Migration. MigrationRemoteEndpointSettings couldNotBeAutodiscoveredException: TheExchangeRemote-eindpunt instellingen konden niet worden vastgesteld met het automatisch opsporen-antwoord. Er is geen MRSProxy gevonden, uitgevoerd op ' <Server> '. ---> Microsoft. Exchange. Migration. MigrationServerConnectionFailedException: de verbinding met de server ' <Server> ' kon niet worden voltooid. ---> Microsoft. Exchange. MailboxReplicationService. RemoteTransientException: de oproep naar ' https:// <ServerName> /EWS/mrsproxy.SVC ' is mislukt. Details van fout: toegang geweigerd... ---> Microsoft. E Xchange. MailboxReplicationService. RemotePermanentException: de toegang wordt geweigerd.---einde van de stack met uitzonderingen voor de interne uitzondering---op Microsoft. Exchange. MailboxReplicationService. mailbox ReplicationServiceFault. <>c__DisplayClass1. <ReconstructAnd Throw> b__0 () Microsoft.Exchange.MailboxReplicationService.ExeCuti onContext.Exebericht (actie actie) op Microsoft. Exchange. MailboxReplicationService. mailbox ReplicationServiceFault. ReconstructAndThrow (String servernaam, VersionInformation serverVersion) bij Microsoft. Exchange. MailboxReplicationService. CommonU tils. CallWCFService[uitzondering](Action serviceCall, String epAddress, Action`1 faultHandler, VersionInformation serverVersion) op Microsoft. Exchange. MailboxReplicationService. CommonU tils. CallService (Action serviceCall, String epAddress, VersionInformation serverVersion) bij Microsoft. Exchange. Migration. MigrationExchangeProxyR pcClient. CanConnectToMrsProxy (FQDN-servernaam, GUID mbxGuid, NetworkCredential Credential, LocalizedException& fout)---einde van binnenste stack met uitzonderings stacks---bij Microsoft. Exchange. Migration. DataAccessLayer. Exchange eRemoteMoveEndpoint. VerifyConnectivity () op Microsoft. Exchange. Management. Migration. TestMigrationServerAvailability. InternalProcessEndpoint (BooleanfromAutoDiscover)---einde van interne uitzondering-stacktracering---

Dit foutbericht wordt weergegeven wanneer u de volgende opdracht uitvoert:

Test-MigrationServerAvailability -ExchangeRemoteMove -Autodiscover -EmailAddressusername@contoso.com -Credentials (Get-Credential)

Daarnaast moet u ervan uitgaan dat de overname niet is ingeschakeld op het computeraccount van de hybride Exchange 2013-of Exchange 2016-server. Als u deze optie inschakelt, wordt u later ontdekt dat dit is uitgeschakeld.

Oorzaak

Dit probleem doet zich voor als het computeraccount van de Exchange 2013-of Exchange 2016 hybride server lid is van een of meer beveiligde groepen.

Oplossing

Ga als volgt te werk om dit probleem op te lossen:

  1. Controleer of dit probleem zich voordoet. Als u dit wilt doen, controleert u of het computeraccount van de hybride server van Exchange 2013 is adminCount ingesteld op 1.

    adminCountVoer de volgende stappen uit om het kenmerk te zoeken:

    1. Zoek Active Directory: gebruikers en computers en selecteer vervolgens View > geavanceerde functies weergeven.
    2. Vouw het domein uit voor de server waarop Exchange Server wordt uitgevoerd en vouw vervolgens computers uit.
    3. Ga naar de Exchange 2013-of Exchange 2016-server. Klik met de rechtermuisknop op de server en selecteer Eigenschappen.
    4. Ga naar het tabblad kenmerk editor en zoek het kenmerk adminCount .

    Als het kenmerk is ingesteld op 1, betekent dit dat het computeraccount een lid direct of indirect van een van de volgende beveiligde groepen moet zijn:

    • Beheer
    • Account operators
    • Server operators
    • Afdruk operatoren
    • Back-upoperators
    • Domeinbeheerders
    • Schema beheerders
    • Beheerders van bedrijven
    • Certificaatuitgevers

    Het computeraccount voor de hybride server voor Exchange 2013 moet alleen bij de volgende beveiligingsgroepen horen:

    • Domein computers
    • Exchange installeren
    • Domein servers
    • Exchange-servers
    • Vertrouwd subsysteem van Exchange
    • Begeleide beschikbaarheids servers
  2. Stel de waarde van het adminCount kenmerk van het computeraccount in op 0.

  3. Start de server opnieuw op.

Meer informatie

Leden van beveiligde groepen overnemen geen machtigingen van de bovenliggende container.

Active Directory Domain Services (AD DS) van Active Directory Domain Services (AD DS) Hiermee wordt gebruikgemaakt van een beveiligingsmechanisme, zodat u zeker weet dat de toegangsbeheerlijsten (Acl's) correct zijn ingesteld voor leden van gevoelige groepen. Het mechanisme loopt één keer per uur op de primaire Domain Controller (PDC) operations-master. De ACL vergelijkt de ACL van de gebruikersaccounts die lid zijn van beveiligde groepen op de ACL-indeling van het volgende object:

CN = adminSDHolder, CN = System, DC = <Domain> , DC =<Com>

Als de Acl's verschillen, wordt de ACL voor het gebruikersobject overschreven overeenkomstig de beveiligingsinstellingen van het adminSDHolder object (en de overname van ACL is uitgeschakeld). Dit proces beschermt de accounts door onbevoegde gebruikers als de accounts worden verplaatst naar een container of een organisatie-eenheid waarvan een kwaadwillende gebruiker beheerdersreferenties heeft gewijzigd voor het wijzigen van gebruikersaccounts. Houd er rekening mee dat wanneer een gebruiker wordt verwijderd uit de beheergroep, het proces niet is omgekeerd en moet handmatig worden gewijzigd.

Als u problemen ondervindt wanneer u postvakken verplaatst naar Exchange Online in Office 365, kunt u het hulpprogramma voor het migreren van postvakken van Office 365 uitvoeren. Deze diagnostische gegevens zijn een geautomatiseerde tool voor probleemoplossing. Als u een bekend probleem ondervindt, wordt er een bericht weergegeven met de mededeling dat er een fout is opgetreden. Het bericht bevat een koppeling naar een artikel dat de oplossing bevat. Op dit moment wordt het hulpprogramma alleen ondersteund in Internet Explorer.

Meer hulp nodig? Ga naar de Microsoft-Community of de microsoft Q&A.