Przepływ poczty do Exchange Online zatrzymuje się, a identyfikator zdarzenia 2004 jest rejestrowany na serwerze transportu hybrydowego
Oryginalny numer KB: 2888788
Problem
W przypadku wdrożenia hybrydowego lokalnych Microsoft Exchange Server i Microsoft Exchange Online na platformie Microsoft 365 występują następujące objawy:
Przepływ poczty do Exchange Online zatrzymuje się.
Następujące zdarzenie jest rejestrowane w dzienniku aplikacji lokalnego serwera transportu, który zawiera łącznik do środowiska platformy Microsoft 365:
Identyfikator zdarzenia: 2004
Nazwa dziennika: Aplikacja
Źródło: MSExchangeTransport
Data: <MM/DD/RR/RR><Godz.:Min:S><AM/PM>
Identyfikator zdarzenia: 2004
Kategoria zadania: SmtpSend
Poziom: informacje
Słowa kluczowe: klasyczne
Użytkownik: N/A
Komputer: exchange.contoso.comOpis:
Wyślij wychodzący łącznik do Office 365: dostarczanie komunikatów nie powiodło się. Komunikat o identyfikatorze <komunikatu MessageID> został potwierdzony z odpowiedzią SMTP 454 4.7.0 Nie można ustanowić odpowiedniego kanału TLS: UntrustedRoot: Odmowa dostępu.
Przyczyna
Ten problem może wystąpić, jeśli spełnione są wszystkie następujące warunki:
- Do usługi SMTP przypisano dwa certyfikaty zgodne z nazwą domeny lokalnego serwera transportu, który zawiera łącznik do środowiska platformy Microsoft 365.
- Jeden z certyfikatów został wystawiony przez urząd certyfikacji (CA), który jest zaufany przez usługę Windows Live, a drugi certyfikat został wystawiony przez niezaufany urząd certyfikacji (na przykład wewnętrzny główny urząd certyfikacji).
W tym scenariuszu serwer transportu exchange ustanawia sesję TLS (Transport Layer Security) do bramy chmury przy użyciu dostępnego certyfikatu SMTP. Jednak gdy serwer transportu exchange próbuje ustanowić sesję protokołu TLS przy użyciu certyfikatu z niezaufanego urzędu certyfikacji, brama w chmurze nie akceptuje połączenia.
Rozwiązanie
Usuń powiązanie usługi SMTP z certyfikatem wystawionym przez niezaufany urząd certyfikacji. Aby to zrobić, wykonaj następujące kroki.
Uzyskaj szczegółowe informacje o przypisanych usługach. Na przykład w powłoce zarządzania programu Exchange uruchom następujące polecenie cmdlet:
Get-ExchangeCertificate -Thumbprint <thumbprint of nontrusted CA> | fl friendlyname,servicesDane wyjściowe tego przykładu są następujące:
FriendlyName : Microsoft Exchange Services : IMAP, POP, IIS, SMTPUsuń powiązanie usługi SMTP. Na przykład w powłoce zarządzania programu Exchange uruchom następujące polecenie cmdlet:
Enable-ExchangeCertificate -Thumbprint <thumbprint of nontrusted certificate> -Services IIS, pop, imapSprawdź usługi przypisane do certyfikatu. Na przykład w powłoce zarządzania programu Exchange uruchom następujące polecenie cmdlet:
Get-ExchangeCertificate -Thumbprint <thumbprint of nontrusted CA> | fl friendlyname,servicesDane wyjściowe tego przykładu są następujące:
FriendlyName : Microsoft Exchange Services : IMAP, POP, IIS
Więcej informacji
Aby uzyskać więcej informacji na temat zaufanych głównych urzędów certyfikacji, zobacz Zaufane główne urzędy certyfikacji dla relacji zaufania federacji.
Nadal potrzebujesz pomocy? Przejdź do witryny Microsoft Community.
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla