Udostępnij za pośrednictwem


Nie można ustanowić połączenia protokołu TLS z zdalnym serwerem poczty w Exchange Online lub Exchange Server

Oryginalny numer KB: 3027536

Symptomy

Nie można ustanowić połączenia usługi Transport Layer Security (TLS) z serwerem poczty zdalnej przy użyciu następujących usług i aplikacji:

  • Microsoft Exchange Online
  • Microsoft Exchange Server 2016 r.
  • Microsoft Exchange Server 2013 r.
  • Microsoft Exchange Server 2010 r.

Na przykład w Exchange Server komunikaty są widoczne w kolejce komunikatów, które są w stanie Ponawianie próby.

Przyczyna

Ten problem występuje, jeśli w łańcuchu certyfikatów zdalnego serwera poczty jest używany algorytm niezabezpieczonej sygnatury. Gdy protokół TLS 1.2 jest włączony na serwerach, na których działa Exchange Server, podczas negocjacji protokołu TLS są wprowadzane dodatkowe kontrole zabezpieczeń. Oznacza to, że łańcuch certyfikacji serwera poczty zdalnej podlega kontroli pod kątem niezabezpieczonych algorytmów podpisu. Jeśli certyfikat w łańcuchu certyfikatów używa algorytmów skrótu MD5 lub MD2, negocjacje protokołu TLS nie powiedzie się.

Analiza łańcucha certyfikatów wysłanego przez zdalny serwer poczty pokazuje, że używany jest niezabezpieczony algorytm.

Rozwiązanie

Aby rozwiązać ten problem, zaktualizuj certyfikat na zdalnym serwerze poczty.

Więcej informacji

Aby obejść ten problem, można skonfigurować serwer zdalny, aby nie anonsować do momentu zaktualizowania certyfikatu. Jednak w tej konfiguracji żadne połączenie z serwerem nie zostanie zaszyfrowane.

Nadal potrzebujesz pomocy? Przejdź do witryny Społeczność Microsoft lub forów Microsoft Q&A.