Pimp Juice IT's questions

Sempre que bloqueio um remetente no aplicativo de desktop Outlook M365 clicando com o botão direito em um e-mail e selecionando "Bloquear remetente" para movê-lo para lixo eletrônico, ocorre um erro no AD/Entra Connect, indicando " direitos de acesso insuficientes para realizar a operação " .

Eu resolvo isso acessando Usuários e Computadores do AD, clicando com o botão direito em minha conta e navegando para: Properties> Securityguia > Advanced> Restore Defaults> Apply> OKe, em seguida, as sincronizações do AD/Entra Connect funcionam sem erros.

O problema está relacionado ao msExchBlackedSenderHashatributo. O problema parece afetar contas de usuários AD com acesso de administradores de domínio ou operadores de conta . No entanto, a resolução permanece consistente em todas as contas, exigindo a correção aplicada mencionada anteriormente.

Alguns detalhes técnicos

• AD local usando o Microsoft Azure AD Connect versão 2.2.1.0
• Níveis funcionais de floresta e domínio, ambos Windows Server 2016
• 4 controladores de domínio, nenhum dos quais é somente leitura em dois sites/sub-redes
• Ambiente híbrido Entra ID/Azure AD, todas as caixas de correio estão no M365/Exchange Online. Enquanto estamos no processo de descomissionamento do Exchange 2010, ainda há trabalho a ser feito. E-mails externos (recebidos para nosso domínio) são atualmente roteados diretamente para o M365.

Questões

• Existe uma configuração no Azure AD Connect, M365 ou no Active Directory local para evitar o erro de "direitos de acesso insuficientes" ao bloquear um remetente no Outlook M365, especialmente para contas com privilégios elevados, como Administradores de Domínio ou Operadores de Conta?

• Existe uma explicação técnica para a causa raiz deste problema e alguma clareza sobre por que ele representa um problema?

O servidor não conseguiu processar a solicitação devido a um erro interno

Encontrei a mensagem de erro abaixo ao executar os Get-ADPrincipalGroupMembershipcomandos da conta Powershell para determinadas contas de usuário no AD.

Pesquisei na Internet minuciosamente e não consegui encontrar muito, então continuei cavando, ativei o detalhado, o rastreamento, o teste, a comparação e assim por diante.

Finalmente encontrei a causa e uma solução (no meu caso), então queria postar isso aqui como uma pergunta e uma resposta, já que não consegui encontrar muito em outro lugar durante meu processo de solução de problemas.

Isso pode ajudar alguém a obter uma solução rápida e evitar algumas dores de cabeça se estiver trabalhando em algo urgente ou crítico.

Mensagem de erro completa do Powershell

PS C:\Users\User> Get-ADPrincipalGroupMembership <AccountName>
Get-ADPrincipalGroupMembership : The server was unable to process the request due to an 
internal error.  For more information about the error, either turn on 
IncludeExceptionDetailInFaults (either from ServiceBehaviorAttribute or from the 
<serviceDebug> configuration behavior) on the server in order to send the exception 
information back to the client, or turn on tracing as per the Microsoft .NET Framework 3.0 
SDK documentation and inspect the server trace logs.
At line:1 char:1
+ Get-ADPrincipalGroupMembership <AccountName>
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : NotSpecified: (<AccountName>:ADPrincipal) [Get-ADPrincipalGr 
   oupMembership], ADException
    + FullyQualifiedErrorId : The server was unable to process the request due to an inter 
   nal error.  For more information about the error, either turn on IncludeExceptionDetai  
  lInFaults (either from ServiceBehaviorAttribute or from the <serviceDebug> configurati   
 on behavior) on the server in order to send the exception information back to the clie    
nt, or turn on tracing as per the Microsoft .NET Framework 3.0 SDK documentation and i    
nspect the server trace logs.,Microsoft.ActiveDirectory.Management.Commands.GetADPrinc    
ipalGroupMembership