Udostępnij za pośrednictwem

Wiadomości e-mail wysyłane ze środowiska lokalnego do usługi Exchange Online wydają się być zewnętrzne po uruchomieniu rozwiązania HCW

  • Dotyczy: Exchange Server 2013 Standard Edition, Exchange Server 2013 Enterprise Edition, Exchange Server 2016 Standard Edition, Exchange Server 2016 Enterprise Edition

Oryginalny numer KB: 4052493

Symptomy

Rozważmy następujący scenariusz:

  • Kreator konfiguracji hybrydowej jest uruchamiany w środowisku programu Exchange Server 2016 lub Exchange Server 2013 obejmującym serwer edge.
  • Użytkownik wysyła wiadomość e-mail z lokalnego programu Exchange do konta usługi Exchange Online innego użytkownika. Obaj użytkownicy znajdują się w organizacji.

W tym scenariuszu zauważysz następujące problemy po stronie odbiorcy:

  • Komunikat wydaje się być zewnętrzny.
  • Nadawca nie rozpoznaje adresata na globalnej liście adresów (GAL).

Dodatkowe objawy występujące w przypadku wystąpienia problemu:

  • Istnieje atrybut Outbound to Office 365 TLSCertificateName w łączniku Wyślij, który wysyła komunikaty do platformy Microsoft 365. W przypadku wystąpienia problemu wartość atrybutu nie jest replikowana do serwerów usługi Edge.

  • Po uruchomieniu start-edgesynchronization polecenia z serwera skrzynki pocztowej dane wyjściowe zawierają wartość Typ konfiguracji jako Niekompletne. Poniżej przedstawiono fragment przykładu:

    RunspaceId: RunspaceId
Result: Incomplete
Type: Configuration
Name: userwap

  • Następujący błąd jest rejestrowany w dziennikach programu EdgeSync, które znajdują się w folderze <ExchangeInstallation>\TransportRoles\Logs\EdgeSync .

    Date/Time.082Z,c76158dc155c4e2eab69305612c58890,689,EdgeServerName.contoso.com,50636,SyncEngine,Low,Wartość w żądaniu jest nieprawidłowa. [ExDirectoryException]; Wyjątek wewnętrzny: wartość w żądaniu jest nieprawidłowa. [DirectoryOperationException],"Nie można zsynchronizować wpisu CN=Outbound z usługą Office 365,CN=Connections,CN=Exchange Routing Group (DWBGZMFD01QNBJR),CN=Routing Groups,CN=Exchange Administrative Group (FYDIBOHF23SPDLT),CN=Administrative Groups,CN=ExchangeOrgName,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=domain,DC=com",,,

    Aby włączyć dzienniki EdgeSync, uruchom następujące polecenie:

    Get-EdgeSyncServiceConfig | Set-EdgeSyncServiceConfig -LogLevel high -LogEnabled $true

Przyczyna

Ten problem występuje z następujących powodów:

  • Limit jest ustawiony na 256 dla atrybutu ms-Exch-Smtp-TLS-Certificate , który jest przechowywany w schemacie programu ADAM na serwerach brzegowych.

  • Długość następującego ciągu z certyfikatu innej firmy wynosi więcej niż 256 znaków:

    <Nazwa podmiotu I>Wystawca S><

    Aby określić długość ciągu, uruchom następujące polecenie:

    ("<I>$((Get-SendConnector 'outbound to Office 365').tlscertificatename.certificateissuer)<S>$((Get-SendConnector 'outbound to Office 365').tlscertificatename.certificatesubject)").length

Aby rozwiązać ten problem, zastosuj jedną z następujących metod:

Rozwiązanie 1: Zwiększ limit do 1024 na serwerze edge

  1. Otwórz okno programu Windows PowerShell przy użyciu opcji Uruchom jako administrator .

  2. Zainstaluj zestaw narzędzi administracji zdalnej serwera, uruchamiając następujące polecenie:

    Add-WindowsFeature RSAT-ADDS

  3. Zaimportuj moduł usługi Active Directory, uruchamiając następujące polecenie:

    Import-Module ActiveDirectory

  4. Sprawdź wartość limitu atrybutu TLSCertificateName, uruchamiając następujące polecenie:

    Get-ADObject -Filter {name -eq "ms-Exch-Smtp-TLS-Certificate"} -SearchBase ((get-ADRootDSE -Server localhost:50389).schemaNamingContext) -Server localhost:50389 -Properties * | Select-Object rangeupper

  5. Ustaw limit 1024, uruchamiając następujące polecenie:

    Get-ADObject -Filter {name -eq "ms-Exch-Smtp-TLS-Certificate"} -SearchBase ((get-ADRootDSE -Server localhost:50389).schemaNamingContext) -Server localhost:50389 -Properties * | Set-ADObject -Replace @{rangeupper=1024}

  6. Na serwerach transportu lub skrzynki pocztowej centrum uruchom następujące polecenie, aby zsynchronizować zmiany z serwerem usługi Edge:

    start-EdgeSynchronization

Rozwiązanie 2. Konfigurowanie łącznika wysyłania przy użyciu nazwy FQDN

Skonfiguruj łącznik Wyślij, aby nie używać atrybutu TLSCertificateName do określania certyfikatu, który ma być używany podczas negocjacji protokołu TLS. Zamiast tego użyj nazwy FQDN, aby wybrać odpowiedni certyfikat innej firmy na podstawie procedury wyboru certyfikatu opisanej w artykule Wybór wychodzących anonimowych certyfikatów TLS.

Aby skonfigurować łącznik Wyślij do używania nazwy FQDN, wykonaj następujące kroki:

  1. Upewnij się, że nazwa domeny, która zostanie ustawiona jako nazwa FQDN, jest ustawiona jako nazwa podmiotu lub alternatywna nazwa podmiotu certyfikatu innej firmy.

  2. Ustaw łącznik Wyślij, aby używał nazwy FQDN, uruchamiając następujące polecenie. To polecenie powoduje również wyczyszczenie atrybutu TLSCertificateName .

    Set-SendConnector "outbound to Office 365" -Fqdn "Domain Note in step 1 of option 2" -TlsCertificateName:$null

  3. Na serwerach transportu lub skrzynki pocztowej centrum uruchom następujące polecenie, aby zsynchronizować zmiany z serwerem usługi Edge:

    start-EdgeSynchronization

Rozwiązanie 3. Użyj certyfikatu, który nie powoduje przekroczenia limitu

Użyj certyfikatu, który nie powoduje przekroczenia limitu. W tym celu wykonaj następujące kroki:

  1. Utwórz certyfikat, w którym następujący ciąg z certyfikatu ma mniej niż 256 znaków:

    <Nazwa podmiotu wystawcyI><>

  2. Zaimportuj certyfikat.

  3. Skojarz certyfikat z odpowiednimi usługami.

  4. Ponownie uruchom Kreatora konfiguracji hybrydowej, aby użyć nowego certyfikatu.