Flusso di posta verso Exchange Online si arresta e l'ID evento 2004 viene registrato nel server di trasporto ibrido

  • Articolo
  • Si applica a:
    Exchange Online

Numero KB originale: 2888788

Problema

Si riscontrano i sintomi seguenti in una distribuzione ibrida di Microsoft Exchange Server e Microsoft Exchange Online locali in Microsoft 365:

  • Flusso di posta verso Exchange Online si arresta.

  • L'evento seguente viene registrato nel registro applicazioni del server di trasporto locale che contiene il connettore per l'ambiente Microsoft 365:

    ID evento: 2004
    Nome log: Applicazione
    Origine: MSExchangeTransport
    Data: <MM/DD/AA/AA><Hr:Min:Sec><AM/PM>
    ID evento: 2004
    Categoria attività: SmtpSend
    Livello: Informazioni
    Parole chiave: classico
    Utente: N/D
    Computer: exchange.contoso.com

    Descrizione:
    Inviare il connettore in uscita a Office 365: il recapito dei messaggi non è riuscito. Il messaggio con ID <messaggio MessageID> è stato riconosciuto con la risposta SMTP 454 4.7.0 Non è stato possibile stabilire il canale TLS appropriato: UntrustedRoot: Accesso negato.

Causa

Questo problema può verificarsi se tutte le condizioni seguenti sono vere:

  • Al servizio SMTP sono stati assegnati due certificati che corrispondono al nome di dominio del server di trasporto locale che contiene il connettore all'ambiente Microsoft 365.
  • Uno dei certificati è stato emesso da un'autorità di certificazione (CA) attendibile da Windows Live e l'altro certificato è stato emesso da una CA non attendibile (ad esempio una CA radice interna).

In questo scenario, il server di trasporto di Exchange stabilisce una sessione TLS (Transport Layer Security) nel gateway cloud usando il certificato SMTP disponibile. Tuttavia, quando il server di trasporto di Exchange tenta di stabilire una sessione TLS usando il certificato della CA non attendibile, il gateway cloud non accetta la connessione.

Soluzione

Annullare l'associazione del servizio SMTP nel certificato emesso dalla CA non attendibile. A tal fine, attenersi alla seguente procedura:

  1. Ottenere i dettagli dei servizi assegnati. Ad esempio, in Exchange Management Shell eseguire il cmdlet seguente:

    Get-ExchangeCertificate -Thumbprint <thumbprint of nontrusted CA> | fl friendlyname,services

    L'output di questo esempio è il seguente:

    FriendlyName : Microsoft Exchange  
Services : IMAP, POP, IIS, SMTP

  2. Annullare l'associazione del servizio SMTP. Ad esempio, in Exchange Management Shell eseguire il cmdlet seguente:

    Enable-ExchangeCertificate -Thumbprint <thumbprint of nontrusted certificate> -Services IIS, pop, imap

  3. Controllare i servizi assegnati al certificato. Ad esempio, in Exchange Management Shell eseguire il cmdlet seguente:

    Get-ExchangeCertificate -Thumbprint <thumbprint of nontrusted CA> | fl friendlyname,services

    L'output di questo esempio è il seguente:

    FriendlyName : Microsoft Exchange
Services : IMAP, POP, IIS

Ulteriori informazioni

Per altre informazioni sulle CA radice attendibili, vedere Autorità di certificazione radice attendibili per i trust federativi.

Ulteriore assistenza Visitare la community Microsoft.