(アクセスが拒否されました) ハイブリッド展開でメールボックスをExchange Onlineに移動しようとするとエラーが発生する

  • [アーティクル]
  • 適用対象:
    Exchange Online

元の KB 番号: 2975731

現象

Microsoft Exchange Server ハイブリッドデプロイがあるとします。 リモート移動移行の移行バッチを作成しようとした場合、またはリモート PowerShell を介してExchange Onlineに接続しているときに移動要求を作成しようとすると、次のようなエラー メッセージが表示されます。

'https://< ServerName>/EWS/mrsproxy.svc' の呼び出しに失敗しました。 エラーの詳細: アクセスが拒否されました。
+ CategoryInfo : NotSpecified: (:) [New-MoveRequest], RemoteTransientException
+ 完全修飾ErrorId : [Server=<Server,RequestId>=RequestId,TimeStamp=DateTime] [FailureCategory=コマンドレット-RemoteTransientException] 384B348,Microsoft.Exchange.Management.RecipientTasks.NewMoveRequest
+ PSComputerName : <ComputerName.outlook.com>

その後、コマンドレットを Test-MigrationServerAvailability 実行すると、次のようなエラー メッセージが表示されます。

RunspaceId : RunspaceId
結果: 失敗しました
メッセージ: ExchangeRemote エンドポイント設定を自動検出応答から判断できませんでした。 サーバー>で<実行されている MRSProxy が見つかりませんでした。
ConnectionSettings :
SupportsCutover : False
ErrorDetail: 内部エラー:Microsoft.Exchange.MigrationRemoteEndpointSettings couldNotBeAutodiscoveredException: 自動検出応答からExchangeRemoteエンドポイント設定を決定できませんでした。 'Server>'< で実行されている MRSProxy が見つかりませんでした。 >--- Microsoft.Exchange.Migration.MigrationServerConnectionFailedException:サーバー 'Server>'< への接続を完了できませんでした。 >--- Microsoft.Exchange.MailboxReplicationService.RemoteTransientException: 'https://< ServerName>/EWS/mrsproxy.svc' の呼び出しに失敗しました。 エラーの詳細: アクセスが拒否されました。. Microsoft.E xchange を---> します。MailboxReplicationService.RemotePermanentException: Access は拒否されます。--- Microsoft.Exchange.MailboxReplicationService.Mailbox ReplicationServiceFault で内部例外スタック トレースの---の終了。<>c__DisplayClass1。<RestoreAnd Throw>b__0() at Microsoft.Exchange.MailboxReplicationService.Executi onContext.Execute(Action operation) at Microsoft.Exchange.MailboxReplicationService.Mailbox ReplicationServiceFault.ReconstructAndThrow(String serverName, VersionInformation serverVersion) at Microsoft.Exchange.MailboxReplicationService.CommonU tils.CallWCFService[ExceptionT](Action serviceCall, String epAddress, Action'1 faultHandler, VersionInformation serverVersion) at Microsoft.Exchange.MailboxReplicationService.CommonU tils.CallService(Action serviceCall, String epAddress, VersionInformation serverVersion) at Microsoft.Exchange.MigrationExchangeProxyR pcClient.CanConnectToMrsProxy(Fqdn serverName, Guid mbxGuid、NetworkCredential 資格情報、LocalizedException& エラー) --- Microsoft.Exchange.Migration.DataAccessLayer.Exchange eRemoteMoveEndpoint.VerifyConnectivity() の Microsoft.Exchange.Management.Migration.TestMigrationServerAvailability で---内部例外スタック トレースの終了。InternalProcessEndpoint(BooleanfromAutoDiscover)--- 内部例外スタック トレース ---IsValid : TrueIdentity :ObjectState : New

たとえば、次のコマンドを実行すると、このエラー メッセージが表示されます。

Test-MigrationServerAvailability -ExchangeRemoteMove -Autodiscover -EmailAddressusername@contoso.com -Credentials (Get-Credential)

さらに、Exchange 2013 または Exchange 2016 ハイブリッド サーバーのコンピューター アカウントで継承が有効になっていないとします。 有効にすると、後で無効になっていることが分かっています。

原因

この問題は、Exchange 2013 または Exchange 2016 ハイブリッド サーバーのコンピューター アカウントが 1 つ以上の保護されたグループのメンバーである場合に発生します。

解決方法

この問題を解決するには、次の手順を実行します。

  1. この問題が発生していることを確認します。 これを行うには、Exchange 2013 ハイブリッド サーバーのコンピューター アカウントの属性が adminCount1 に設定されているかどうかを判断します。

    属性を見つけるには、次の adminCount 手順に従います。

    1. [Active Directory ユーザーとコンピューター] を見つけて、[高度な機能表示>] を選択します。
    2. Exchange Serverを実行しているサーバーのドメインを展開し、[コンピューター] を展開します。
    3. Exchange 2013 または Exchange 2016 サーバーを見つけます。 サーバーを右クリックし、[プロパティ] を選択 します
    4. [属性エディター] タブを見つけて、adminCount 属性を見つけます。

    属性が 1 に設定されている場合、これは、コンピューター アカウントが、次の保護されたグループのうちの 1 つ以上のメンバーであることを意味します。

    • 管理者
    • アカウントオペレーター
    • サーバー演算子
    • 印刷演算子
    • Backup Operators
    • Domain Admins
    • Schema Admins
    • エンタープライズの管理者
    • 証明書発行元

    Exchange 2013 ハイブリッド サーバーのコンピューター アカウントは、次のセキュリティ グループにのみ属している必要があります。

    • ドメイン コンピューター
    • Exchange インストール
    • ドメイン サーバー
    • Exchange サーバー
    • Exchange Trusted Subsystem
    • 可用性管理サーバー

  2. コンピューター アカウントの属性の adminCount 値を 0 に設定します。

  3. サーバーを再起動します。

詳細

保護されたグループのメンバーは、親コンテナーからアクセス許可を継承しません。

Active Directory Domain Services (AD DS) では、保護メカニズムを使用して、機密性の高いグループのメンバーに対してアクセス制御リスト (ACL) が正しく設定されていることを確認します。 このメカニズムは、プライマリ ドメイン コントローラー (PDC) 操作マスターで 1 時間ごとに 1 回実行されます。 操作マスターは、保護されたグループのメンバーであるユーザー アカウントの ACL を、次のオブジェクトの ACL と比較します。

CN=adminSDHolder,CN=System,DC=<Domain,DC>=<Com>

ACL が異なる場合、ユーザー オブジェクトの ACL は上書きされ、オブジェクトのセキュリティ設定が adminSDHolder 反映されます (ACL の継承は無効になっています)。 このプロセスは、悪意のあるユーザーが管理資格情報を委任されたコンテナーまたは組織単位にアカウントを移動してユーザー アカウントを変更した場合に、承認されていないユーザーによってこれらのアカウントが変更されないように保護します。 ユーザーが管理グループから削除された場合、プロセスは取り消されず、手動で変更する必要があることに注意してください。

Microsoft 365 のExchange Onlineにメールボックスを移動するときに問題が発生した場合は、Microsoft 365 メールボックス移行のトラブルシューティング ツールを実行できます。 この診断は、自動化されたトラブルシューティング ツールです。 既知の問題が発生している場合は、問題が発生したことを示すメッセージが表示されます。 メッセージには、ソリューションを含むアーティクルへのリンクが含まれています。 現在、このツールはインターネット エクスプローラーでのみサポートされています。

さらにヘルプが必要ですか? 「Microsoft コミュニティ」または「Microsoft Q&A」にアクセスしてください。