Nach der Installation eines neuen Zertifikats auf dem Server können keine E-Mails in einer Hybridumgebung empfangen werden

Ursprüngliche KB-Nummer: 2989382

Symptome

Nachdem Sie ein neues Exchange-Zertifikat in einer Exchange Server Hybridumgebung installiert haben, treten die folgenden Symptome auf:

  • Sie können keine E-Mails aus dem Internet oder von Microsoft 365 empfangen, wenn Sie Transport Layer Security (TLS) verwenden.

  • Wenn Sie Telnet (z. B. telnet localhost 25) verwenden, um die SMTP-Kommunikation (Simple Mail Transfer Protocol) zu untersuchen, sehen Sie, dass der STARTTLS Befehl fehlt.

  • Wenn Sie das Anwendungsprotokoll in Ereignisanzeige untersuchen, wird ein Ereigniseintrag angezeigt, der dem folgenden ähnelt:

    Protokollname: Anwendung
    Quelle: MSExchangeFrontEndTransport
    Datum: MM/TT/JJJJ 0:00:00 AM
    Ereignis-ID: 12014
    Aufgabenkategorie: TransportService
    Ebene: Fehler
    Schlüsselwörter: Klassisch
    Benutzer: Nicht zutreffend
    Computer: <HybridServerName.contoso.com>
    Beschreibung:
    Microsoft Exchange konnte kein Zertifikat finden, das den Domänennamen <I>CN=Certificate Name, OU=<CertificateIssuer>, O=Certificate Provider, C=US<S>CN=mail.contoso.com, OU=IT, O=contoso, L=location, S=location, C=US im persönlichen Speicher auf dem lokalen Computer enthält.

  • Der Test zur Überprüfung der Konnektivität mit dem lokalen Server schlägt fehl, und Sie erhalten die folgende Fehlermeldung:

    450 4.4.101 Fehler beim Einrichten der Proxysitzung im Front-End. '451 4.4.0 Die primäre Ziel-IP-Adresse hat mit "451 5.7.3 STARTTLS is required to send mail" (451 5.7.3 STARTTLS ist zum Senden von E-Mails erforderlich) geantwortet. Es wurde versucht, ein Failover auf einen alternativen Host durchzuführen, aber dies war nicht erfolgreich. Entweder gibt es keine alternativen Hosts, oder die Übermittlung an alle alternativen Hosts ist fehlgeschlagen. Der letzte versuchte Endpunkt war <endpunkt>".

Ursache

Dieses Problem tritt auf, wenn die TlsCertificateName -Eigenschaft des Empfangsconnectors des Hybridservers falsche Zertifikatinformationen enthält, nachdem ein neues Exchange-Zertifikat installiert wurde und das alte Zertifikat, das für den Hybrid-E-Mail-Fluss verwendet wird, entfernt wird.

Die TlsCertificateName Eigenschaft wird ordnungsgemäß festgelegt, wenn der Hybridkonfigurations-Assistent (HCW) ausgeführt wird, nachdem ein neues Exchange-Zertifikat installiert wurde.

Wenn das HCW jedoch nicht ausgeführt wird oder wenn beim Ausführen des HCW aus einem anderen Grund ein Fehler auftritt, wird die TlsCertificateName Eigenschaft nicht aktualisiert, und das neue Exchange-Zertifikat wird nicht vom Empfangsconnector des Hybridservers verwendet.

In diesem Szenario ist der Befehl in der STARTTLS SMTP-Kommunikation nicht vorhanden, und der Nachrichtenfluss von Microsoft 365 schlägt fehl.

Lösung

Stellen Sie sicher, dass das neue Zertifikat für SMTP aktiviert ist. Wenn dies nicht der Fall ist, führen Sie den folgenden Befehl aus, um den SMTP-Dienst für das neu installierte Zertifikat zu aktivieren.

Enable-ExchangeCertificate <thumbprint> -services SMTP

Hinweis

Wählen Sie Nein aus, wenn Sie aufgefordert werden, das Standardzertifikat zu überschreiben. Andernfalls unterbricht EdgeSync und muss neu erstellt werden. Entfernen Sie dann die TlsCertificateName -Eigenschaft aus dem Empfangsconnector auf dem Hybridserver. Führen Sie dazu den folgenden Befehl aus:

Get-ReceiveConnector "ServerName\Default Frontend ReceiveConnector" | Set-ReceiveConnector -TlsCertificateName $null

Führen Sie den Hybridkonfigurations-Assistenten erneut aus, um den Empfangsconnector auf dem Hybridserver zu aktualisieren, der über die neu installierten Zertifikatinformationen verfügt.

Weitere Informationen

Weitere Informationen finden Sie unter Zertifikatanforderungen für Hybridbereitstellungen.

Benötigen Sie weitere Hilfe? Besuchen Sie die Microsoft Community oder die Exchange-TechNet-Foren.