Veeam Backup-Problem mit MS 365-Postfächern durch EWS-Umstellung im März 2026

Veröffentlicht am 7. April 2026 von Günter Born

BugKurze Information an die Blog-Leserschaft, die Veeam Backup 365 einsetzen. Im November 2025 gab es schon mal Probleme beim Zusammenspiel zwischen Veeam Backup und Postfächern bei Microsoft 365. Nun hat mir ein Leser erneut das Veeam Backup-Problem bei Microsoft 365-Postfächern berichtet. Dieses Mal hat die ab Ende 2026 geplante EWS-Umstellung bei Exchange Online bereits ihre Schatten vorausgeworfen. Microsoft hat seine Code-Änderung am 27. März 2026 ausgerollt, was sich auf Veeam Backup auswirkt und zu Fehlern führt.

Rückblick: Das Veeam Backup Problem von November 2026

Blog-Leser Christian S. hatte mich im November per Mail kontaktiert und über Probleme mit Veeam Backup bei Microsoft 365-Postfach-Sicherungen berichtet. Seinerzeit führte eine Änderung von Microsoft bei Exchange Online dazu, dass Veeam Backup bei Microsoft 365-Postfächern teilweise nicht mehr funktionierte. Es gab seinerzeit sporadische Probleme bzw. Fehlermeldungen beim Sichern.

Ich hatte im Blog-Beitrag Probleme mit Veeam Backup und MS 365-Postfächern (Nov. 2025) berichtet und auch die damalige Ursache samt Möglichkeiten zur Beseitigung erläutert. Im Veeam-Forum gab es dazu die Diskussion Mailbox errors: The HTTP request was forbidden with client authentication scheme 'Anonymous'. Ein Nutzer von Veeam Backup schrieb dort, dass er seit dem 19. November 2025 krasse Fehlermeldungen bei Mailbox-Objekten bekomme, und der Error:

The HTTP request was forbidden with client authentication scheme 'Anonymous'.

gemeldet werde. Nach Untersuchungen von Veeam und Microsoft waren bestimmte Microsoft 365-Pläne erforderlich, um ein funktionierendes Backup mit Veeam-Software anfertigen zu können.  Es gab von Veeam dazu den Supportbeitrag KB4796: The HTTP request was forbidden with client authentication scheme vom 25. November 2025. So viel als Rückblick – wenn Microsoft "hustet", bekommt Veeam Backup "Schnupfen".

EWS-Umstellung verursacht erneut Veeam Backup-Problem

Wir schreiben inzwischen April 2026, und Leser Christian S. hat sich zum 2. April 2026 erneut per Mail gemeldet (danke dafür). In seiner Mail schrieb er: "Dieser Fehler [mit Veeam Backup und Microsoft 365 Postfächern] ist wieder da. Und diesmal durch eine Umstellung beim EWS."

Exchange Web Services (EWS) wird abgeschaltet

Der Hintergrund: Microsoft ist dabei, Exchange Web Services (EWS) in den Ruhestand zu schicken. EWS soll gegen Graph API getauscht werden. Dieser Vorgang beginnt im Oktober 2026 und endet mit einer vollständigen Abschaltung von EWS im Jahr 2027. Ich hatte dies im Beitrag Exchange Online: Zeitplan für das Ende von EWS veröffentlicht erwähnt. Und ich hatte u.a. im Beitrag EWS-Apps und deren Nutzung vor der EWS-Abschaltung identifizieren darüber berichtet, was Administratoren tun können.

Microsoft setzt im März 2026 das "EWS-Flag"

Da wäre eigentlich noch etwas Zeit, wir haben noch einige Monate bis zum Oktober 2026. Christian gab in seiner E-Mail aber an, dass "Sie" [die Entwickler von Microsoft] ein EWS-Flag eingebaut haben und dieses erstmal auf False gesetzt hätten. In einer Nachtrags-Mail auf diesen Text, den Christian vorab lesen konnte, schrieb er: "Ich muss meine Aussage mit dem Flag nochmal korrigieren. Der Flag scheint schon vorher dagewesen zu sein. Er funktioniert jetzt wohl nur richtig. Vorher reichte entweder Orga oder User auf True [zu setzen] um zu funktionieren. Jetzt muss beides auf True oder Null stehen. Betrifft nebenbei alles was per EWS auf Daten zugreift. Synology Active Backup for M365 schlägt genauso fehl."

Von Microsoft gibt es den Supportbeitrag The way to control EWS usage in Exchange Online is changing vom 20. Februar 2026. Dort liest man in einer nachträgen Einblendung:

Update 3/31/2026: This change has now been fully rolled out. If your EWS applications have access problems, please verify your tenant and mailbox level EWS settings.

Und genau dieses Änderung hat bei Veeam Backup 365 beim Sichern von Microsoft 365-Postfächern zugeschlagen.

Es gibt ab Ende März 2026 Probleme

Dazu hat Christian auf den Thread Mailbox errors: The HTTP request was forbidden with client authentication scheme 'Anonymous'. im Veeam-Forum verwiesen. Dort gibt es seit dem 30. März 2026 eine Diskussion, dass die Nutzer von Veeam Backup vor dem eigentlichen Stichtag der EWS-Abschaltung den oben erwähnten HTTP 403 Forbidden-Fehler beim Sichern von Microsoft 365-Postfächern mit Veeam Backup 365 erhalten und das Backup scheitert.

Veeam löst das im Support-Beitrag auf

Veeam hat seinen alten Support-Beitrag The HTTP request was forbidden with client authentication scheme zum 1. April 2026 aktualisiert. Dort heißt es:

It was confirmed on March 27th, 2026, that Microsoft recently applied a patch to correct how Exchange Online enforces Exchange Web Services (EWS) access. Previously, some environments were able to access mailboxes via EWS even when it was not explicitly enabled (i.e., $Null status). After Microsoft corrected this behavior, EWS must now be explicitly enabled at both the organization and mailbox levels for backups to succeed.

Veeam Backup-Administratoren müssen nun also auf die Microsoft-Umstellung reagieren und bei Exchange Online das EWS-Flag umsetzen. Um die Ursache des obigen Problems zu beheben, sollen Administratoren den EWS-Zugriff in Exchange Online überprüfen und  ggf. so konfigurieren, dass er sowohl auf Organisations- als auch auf Postfachebene ausdrücklich aktiviert ist. Diese ließe sich laut Veeam mit folgenden PowerShell-Befehlen bewerkstelligen:

#Get the organization's EwsEnabled state.
Get-OrganizationConfig | Fl EwsEnabled
#Get all mailboxes where EwsEnabled state is not set to $true.
Get-CASMailbox -ResultSize Unlimited | Where-Object { $_.EwsEnabled -ne $true } | Select-Object Identity, PrimarySmtpAddress, EwsEnabled

Wenn die Ausgabe für Organisationen oder Mailboxen nicht ausdrücklich auf True gesetzt gemeldet wird, muss der Zugriff über EWS mit den folgenden Befehlen aktiviert werden:

#Set the organization's EwsEnabled state to $true.
Set-OrganizationConfig -EwsEnabled $true
#Bulk set EwsEnabled to $true for all mailboxes where it is not already set to $true.
Get-CASMailbox -ResultSize Unlimited | Where-Object { $_.EwsEnabled -ne $true } | Set-CASMailbox -EwsEnabled $true

Falls gewünscht, können Postfächer mit dem folgenden Befehl individuell angepasst werden:

#Granularly set a single mailbox's EwsEnabled state to $true
Set-CASMailbox mailbox@address.com -EwsEnabled $true

Es kann bis zu 24 Stunden dauern, bis die neuen Werte übernommen werden und wirksam werden. Danach ist der Sicherungsauftrag noch einmal zu überprüfen. Ist jemand von diesem Problem betroffen? War das im Vorfeld bekannt bzw. klar?

Dieser Beitrag wurde unter Backup, Datenträger, Mail, Problem, Software abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros. Kommentare abseits des Themas bitte unter Diskussion. Kommentare, die gegen die Regeln verstoßen, werden rigoros gelöscht.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.