온-프레미스에서 Exchange Online 보낸 전자 메일은 HCW를 실행한 후 외부에 있는 것처럼 보입니다.

• 적용 대상:

  Exchange Server 2013 Standard Edition, Exchange Server 2013 Enterprise Edition, Exchange Server 2016 Standard Edition, Exchange Server 2016 Enterprise Edition

원래 KB 번호: 4052493

증상

다음과 같은 경우를 생각해볼 수 있습니다.

• Edge 서버를 포함하는 Exchange Server 2016 또는 Exchange Server 2013 환경에 대해 하이브리드 구성 마법사를 실행합니다.
• 사용자가 Exchange 온-프레미스에서 다른 사용자의 Exchange Online 계정으로 전자 메일 메시지를 보냅니다. 두 사용자 모두 organization 있습니다.

이 시나리오에서는 수신자 쪽에서 다음과 같은 문제를 확인할 수 있습니다.

• 메시지가 외부에 있는 것처럼 보입니다.
• 보낸 사람이 GAL(전역 주소 목록)의 받는 사람에게 resolve 않습니다.

문제가 발생할 때 추가 증상:

• Microsoft 365로 메시지를 보내는 송신 커넥터에는 Office 365 TLSCertificateName 특성에 대한 아웃바운드가 있습니다. 문제가 발생하면 특성 값이 Edge 서버에 복제되지 않습니다.

• 사서함 서버에서 명령을 실행 start-edgesynchronization 하면 출력에 구성 유형이 불완전으로 표시됩니다. 다음은 샘플 발췌문입니다.

  RunspaceId: RunspaceId
  Result: Incomplete
  Type: Configuration
  Name: userwap
  

• 다음 오류는 폴더에 있는 EdgeSync 로그에 <ExchangeInstallation>\TransportRoles\Logs\EdgeSync 기록됩니다.

  Date/Time.082Z,c76158dc155c4e2eab69305612c58890,689,,EdgeServerName.contoso.com,50636,SyncEngine,Low,A 값이 잘못되었습니다. [ExDirectoryException]; 내부 예외: 요청의 값이 잘못되었습니다. [DirectoryOperationException],"CN=Outbound 항목을 Office 365,CN=Connections,CN=Exchange 라우팅 그룹(DWBGZMFD01QNBJR),CN=라우팅 그룹,CN과 동기화하지 못했습니다. =Exchange 관리 그룹(FYDIBOHF23SPDLT),CN=관리 그룹,CN=ExchangeOrgName,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=domain,DC=com",,,

  EdgeSync 로그를 사용하도록 설정하려면 다음 명령을 실행합니다.

  Get-EdgeSyncServiceConfig | Set-EdgeSyncServiceConfig -LogLevel high -LogEnabled $true
  

원인

이 문제는 다음과 같은 이유로 발생합니다.

• Edge 서버의 ADAM 스키마에 저장된 ms-Exch-Smtp-TLS-Certificate 특성의 경우 상한은 256으로 설정됩니다.

• 타사 인증서에서 다음 문자열의 길이는 256자를 초과합니다.

  <I>발급자<S>주체 이름

  문자열의 길이를 확인하려면 다음 명령을 실행합니다.

  ("<I>$((Get-SendConnector 'outbound to Office 365').tlscertificatename.certificateissuer)<S>$((Get-SendConnector 'outbound to Office 365').tlscertificatename.certificatesubject)").length
  

이 문제를 해결하려면 다음 방법 중 하나를 사용합니다.

해결 방법 1: Edge 서버에서 한도를 1024로 늘입니다.

1. 관리자 권한으로 실행 옵션을 사용하여 Windows PowerShell 창을 엽니다.

2. 다음 명령을 실행하여 원격 서버 관리 도구 키트를 설치합니다.

   Add-WindowsFeature RSAT-ADDS
   

3. 다음 명령을 실행하여 Active Directory 모듈을 가져옵니다.

   Import-Module ActiveDirectory
   

4. 다음 명령을 실행하여 TLSCertificateName 특성의 상한 값을 확인합니다.

   Get-ADObject -Filter {name -eq "ms-Exch-Smtp-TLS-Certificate"} -SearchBase ((get-ADRootDSE -Server localhost:50389).schemaNamingContext) -Server localhost:50389 -Properties * | Select-Object rangeupper
   

5. 다음 명령을 실행하여 1024 상한을 설정합니다.

   Get-ADObject -Filter {name -eq "ms-Exch-Smtp-TLS-Certificate"} -SearchBase ((get-ADRootDSE -Server localhost:50389).schemaNamingContext) -Server localhost:50389 -Properties * | Set-ADObject -Replace @{rangeupper=1024}
   

6. HUB 전송 또는 사서함 서버에서 다음 명령을 실행하여 변경 내용을 Edge 서버와 동기화합니다.

   start-EdgeSynchronization
   

해결 방법 2: 송신 커넥터 FQDN 사용 구성

TLS 협상 중에 사용할 인증서를 지정하기 위해 TLSCertificateName 특성을 사용하지 않도록 송신 커넥터를 구성합니다. 대신 FQDN을 사용하여 아웃바운드 익명 TLS 인증서 선택에 설명된 인증서 선택 절차에 따라 적절한 타사 인증서를 선택합니다.

FQDN을 사용하도록 송신 커넥터를 구성하려면 다음 단계를 수행합니다.

1. FQDN으로 설정될 도메인 이름이 타사 인증서의 주체 이름 또는 주체 대체 이름으로 설정되어 있는지 확인합니다.

2. 다음 명령을 실행하여 FQDN을 사용하도록 송신 커넥터를 설정합니다. 이 명령은 TLSCertificateName 특성도 지웁니다.

   Set-SendConnector "outbound to Office 365" -Fqdn "Domain Note in step 1 of option 2" -TlsCertificateName:$null
   

3. HUB 전송 또는 사서함 서버에서 다음 명령을 실행하여 변경 내용을 Edge 서버와 동기화합니다.

   start-EdgeSynchronization
   

해결 방법 3: 한도를 초과하지 않는 인증서 사용

한도를 초과하지 않는 인증서를 사용합니다. 이렇게 하려면 다음과 같이 하십시오.

1. 인증서의 다음 문자열이 256자 미만인 인증서를 만듭니다.

   <I>발급자<S>SubjectName

2. 인증서를 가져옵니다.

3. 인증서를 해당 서비스와 연결합니다.

4. 하이브리드 구성 마법사를 다시 실행하여 새 인증서를 사용합니다.