Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Ursprüngliche KB-Nummer: 2888788
Problem
Bei einer Hybridbereitstellung von lokalen Microsoft Exchange Server und Microsoft Exchange Online in Microsoft 365 treten die folgenden Symptome auf:
Der Nachrichtenfluss an Exchange Online wird beendet.
Das folgende Ereignis wird im Anwendungsprotokoll des lokalen Transportservers aufgezeichnet, der den Connector für Ihre Microsoft 365-Umgebung enthält:
Ereignis-ID: 2004
Protokollname: Anwendung
Quelle: MSExchangeTransport
Datum: <MM/TT/JJ/JJH><:Min:Sec><AM/PM>
Ereignis-ID: 2004
Aufgabenkategorie: SmtpSend
Ebene: Informationen
Schlüsselwörter: Klassisch
Benutzer: Nicht zutreffend
Computer: exchange.contoso.comBeschreibung:
Connector ausgehend an Office 365 senden: Die Nachrichtenübermittlung war nicht erfolgreich. Die Nachricht mit der Nachrichten-ID <MessageID> wurde mit der SMTP-Antwort 454 4.7.0 Konnte keinen geeigneten TLS-Kanal einrichten: UntrustedRoot: Access Denied bestätigt.
Ursache
Dieses Problem kann auftreten, wenn alle folgenden Bedingungen erfüllt sind:
- Dem SMTP-Dienst wurden zwei Zertifikate zugewiesen, die dem Domänennamen des lokalen Transportservers entsprechen, der den Connector für Ihre Microsoft 365-Umgebung enthält.
- Eines der Zertifikate wurde von einer Zertifizierungsstelle ausgestellt, die von Windows Live als vertrauenswürdig eingestuft wird, und das andere Zertifikat wurde von einer nicht vertrauenswürdigen Zertifizierungsstelle (z. B. einer internen Stammzertifizierungsstelle) ausgestellt.
In diesem Szenario richtet der Exchange-Transportserver mithilfe des verfügbaren SMTP-Zertifikats eine TLS-Sitzung (Transport Layer Security) mit dem Cloudgateway ein. Wenn der Exchange-Transportserver jedoch versucht, eine TLS-Sitzung mithilfe des Zertifikats der nicht vertrauenswürdigen Zertifizierungsstelle einzurichten, akzeptiert das Cloudgateway die Verbindung nicht.
Lösung
Heben Sie die Bindung des SMTP-Diensts an dem Zertifikat auf, das von der nicht vertrauenswürdigen Zertifizierungsstelle ausgestellt wurde. Gehen Sie dazu wie folgt vor:
Rufen Sie die Details der zugewiesenen Dienste ab. Führen Sie beispielsweise in der Exchange-Verwaltungsshell das folgende Cmdlet aus:
Get-ExchangeCertificate -Thumbprint <thumbprint of nontrusted CA> | fl friendlyname,servicesDie Ausgabe dieses Beispiels lautet wie folgt:
FriendlyName : Microsoft Exchange Services : IMAP, POP, IIS, SMTPHeben Sie die Bindung des SMTP-Diensts auf. Führen Sie beispielsweise in der Exchange-Verwaltungsshell das folgende Cmdlet aus:
Enable-ExchangeCertificate -Thumbprint <thumbprint of nontrusted certificate> -Services IIS, pop, imapÜberprüfen Sie die Dienste, die dem Zertifikat zugewiesen sind. Führen Sie beispielsweise in der Exchange-Verwaltungsshell das folgende Cmdlet aus:
Get-ExchangeCertificate -Thumbprint <thumbprint of nontrusted CA> | fl friendlyname,servicesDie Ausgabe dieses Beispiels lautet wie folgt:
FriendlyName : Microsoft Exchange Services : IMAP, POP, IIS
Weitere Informationen
Weitere Informationen zu vertrauenswürdigen Stammzertifizierungsstellen finden Sie unter Vertrauenswürdige Stammzertifizierungsstellen für Verbundvertrauensstellungen.
Benötigen Sie weitere Hilfe? Navigieren Sie zu Microsoft Community.