401 Fel om nekad åtkomst när du kör cmdleten Test-OAuthConnectivity

  • Artikel
  • Gäller för:
    Exchange Online, Exchange Server 2013 Enterprise, Exchange Server 2013 Standard Edition

Ursprungligt KB-nummer: 3090197

Symptom

När du kör cmdleten Test-OAuthConnectivity för att testa OAuth-autentisering för en användare misslyckas åtgärden och du får ett meddelande som liknar följande:

401 Åtkomst nekad

Orsak

Det här problemet kan inträffa om något av följande villkor är sant:

  • Tjänstens huvudnamn (SPN) som krävs för OAuth-autentisering saknas.
  • Du testar ett konto som inte synkroniseras mellan den lokala miljön och Microsoft Exchange Online.

Åtgärd

Åtgärda problemet genom att vidta någon av följande åtgärder, beroende på vad som är lämpligt för din situation.

Scenario 1 – SPN saknas

Obs!

Azure AD- och MSOnline PowerShell-modulerna är inaktuella från och med den 30 mars 2024. Mer information finns i utfasningsuppdateringen. Efter det här datumet är stödet för dessa moduler begränsat till migreringshjälp till Microsoft Graph PowerShell SDK och säkerhetskorrigeringar. De inaktuella modulerna fortsätter att fungera till och med den 30 mars 2025.

Vi rekommenderar att du migrerar till Microsoft Graph PowerShell för att interagera med Microsoft Entra ID (tidigare Azure AD). Vanliga migreringsfrågor finns i Vanliga frågor och svar om migrering. Observera: Version 1.0.x av MSOnline kan uppleva störningar efter den 30 juni 2024.

  1. Öppna Exchange Management Shell.

  2. Kör följande kommando:

    Get-IntraOrganizationConfiguration

    Observera de värden som returneras för OnPremisesDiscoveryEndPoint och OnPremisesWebServiceEndPoint.

  3. Kör följande kommando:

    (Get-MsolServicePrincipal -ServicePrincipalName "00000002-0000-0ff1-ce00-000000000000").ServicePrincipalNames

    Kontrollera om de domännamn som anges för slutpunkterna returneras.

  4. Om domännamnen inte returneras använder du cmdleten Set-MsolServicePrincipal för att lägga till dem.

    Följande kommando lägger till domänen mail.contoso.com .

    $AppId = (Get-MsolServicePrincipal -ServicePrincipalName "00000002-0000-0ff1-ce00-000000000000").AppPrincipalId
Set-MsolServicePrincipal -AppPrincipalId $AppId -ServicePrincipalNames @("mail.contoso.com")

Scenario 2 – Du använder ett konto som inte synkroniseras mellan den lokala miljön och Exchange Online

När du kör cmdleten Test-OAuthConnectivity kontrollerar du att du använder ett konto som är synkroniserat mellan den lokala miljön och Exchange Online. Du stöter till exempel på det här problemet om du använder ett lokalt administratörskonto.

I följande exempel är Fred ett användarkonto som synkroniseras mellan den lokala miljön och Exchange Online.

Test-OAuthConnectivity -Service EWS -TargetUri https://cas.contoso.com/ews/ -Mailbox "Fred"

Mer information

Behöver du fortfarande hjälp? Gå till Microsoft Community eller Microsoft Q&A.