在 Exchange Server 2013 或 Exchange Server 2016 中的 EMS、EAC、ECP、OWA 或 Outlook 網頁上發生錯誤

原始 KB 編號:  2898571

徵狀

在 Microsoft Exchange Server 2013 或 Exchange Server 2016 中,您可能會遇到下列一或多項問題:

  • 當您嘗試啟動 Exchange 管理命令介面(EMS)時,收到如下的錯誤訊息:

    VERBOSE: Connecting to Cas1.Fabrikam.com.
    New-PSSession : [cas1.fabrikam.com] Connecting to remote server cas1.fabrikam.com failed with the following error
    message : [Server=CAS1,RequestId=1694d4e1-3f45-4ff3-bfca-7ded20aaa838,TimeStamp=10/4/2013 2:15:34 PM] Access is
    denied.
    
    For more information, see the about_Remote_Troubleshooting Help topic.
    At line:1 char:1
    + New-PSSession -ConnectionURI "$connectionUri" -ConfigurationName Microsoft.Excha ...
    + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
        + CategoryInfo          : OpenError: (System.Manageme....RemoteRunspace:RemoteRunspace) [New-PSSession], PSRemotin
       gTransportException
        + FullyQualifiedErrorId : -2144108477,PSSessionOpenFailed
    
  • 當您嘗試登入 Exchange 系統管理中心(EAC)或 Exchange 控制台(ECP)時,會收到類似如下的錯誤訊息:

    403拒絕存取錯誤訊息

    此外,下列事件會記錄在應用程式記錄檔中:

    Log Name:      Application
    Source:        MSExchange Control Panel
    Event ID:      4
    Task Category: General
    Level:         Error
    Keywords:      Classic
    User:          N/A
    Computer:      MBX1.Fabrikam.com
    Description:
    Current user: 'FAB\CAS1$'
    Request for URL 'https://mbx1.fabrikam.com:444/ecp/default.aspx(https://cas1.fabrikam.com/ecp/)' failed with the following error:
    Microsoft.Exchange.Configuration.Authorization.CmdletAccessDeniedException: The user "Fabrikam.com/Computers/CAS1" isn't assigned to any management roles.
    
  • 當使用者嘗試登入 Outlook Web App (OWA)或網頁上的 Outlook 時,他們會收到類似以下的錯誤訊息:

    OWA 登入錯誤訊息

原因

如果在 ms-Exch-EPI-Token-Serialization 已指派 Exchange server 2013 或 Exchange server 2016 角色的電腦物件上,「拒絕」許可權是有效的,就會發生這些問題。

注意

一般來說,當電腦物件新增至拒絕使用者權利的群組時,就會發生此問題 ms-Exch-EPI-Token-Serialization 。 根據預設,下列群組會拒絕 ms-Exch-EPI-Token-Serialization 使用者權利:

  • Domain Admins
  • Schema Admins
  • Enterprise Admins
  • 組織管理

解決方案

若要解決此問題,請從受限制的群組中移除電腦物件。

注意

若要解決此問題,您可能必須重新開機已指派 Exchange Server role 的電腦。

詳細資訊

若要判斷執行 Exchange Server 2013 或 Exchange Server 2016 之電腦的群組成員資格,請開啟命令提示字元,輸入下列命令,然後按 Enter:

gpresult /scope computer /r

在此範例中,執行 Exchange Server 2013 的電腦具有下列預設群組成員資格:

Gpresult Cmdlet 的輸出

在下列範例中,電腦已新增至「Exchange 信任子系統」群組。 然後將「Exchange 信任子系統」群組新增至「網域管理員」群組:

在嵌套群組時,gpresult Cmdlet 的輸出

若要查看所有被拒絕的 Exchange 電腦物件使用權限的使用者和群組,請執行下列 Cmdlet:

Get-ADPermission -Identity <ExchangeComputerObject> | where {($_.ExtendedRights -like "ms-Exch-EPI-Token-Serialization") -and ($_.Deny -like "True")} | ft -autosize User,ExtendedRights