原始 KB 编号: 2888788
问题
在 Microsoft 365 中混合部署本地Microsoft Exchange Server和Microsoft Exchange Online时,遇到以下症状:
Exchange Online停止的邮件流。
以下事件记录在包含 Microsoft 365 环境的连接器的本地传输服务器的应用程序日志中:
事件 ID:2004
日志名称:应用程序
源:MSExchangeTransport
日期: <MM/DD/YY/YY><hr:min:sec><AM/PM>
事件 ID:2004
任务类别:SmtpSend
级别:信息
关键字:经典
用户:不适用
计算机:exchange.contoso.com说明:
发送连接器出站到Office 365:邮件传递不成功。 邮件 ID <为 MessageID> 的邮件已确认 SMTP 响应 454 4.7.0 未能建立适当的 TLS 通道:UntrustedRoot:访问被拒绝。
原因
如果满足以下所有条件,则可能会出现此问题:
- 为 SMTP 服务分配了两个证书,这些证书与包含 Microsoft 365 环境的连接器的本地传输服务器的域名相匹配。
- 其中一个证书由 Windows Live 信任的证书颁发机构 (CA) 颁发,另一个证书由不受信任的 CA ((如内部根 CA) )颁发。
在此方案中,Exchange 传输服务器使用可用的 SMTP 证书建立与云网关的传输层安全性 (TLS) 会话。 但是,当 Exchange 传输服务器尝试使用来自不受信任的 CA 的证书建立 TLS 会话时,云网关不接受连接。
解决方案
取消绑定由不受信任的 CA 颁发的证书上的 SMTP 服务。 为此,请按照下列步骤操作:
获取已分配服务的详细信息。 例如,在 Exchange 命令行管理程序中,运行以下 cmdlet:
Get-ExchangeCertificate -Thumbprint <thumbprint of nontrusted CA> | fl friendlyname,services此示例的输出如下所示:
FriendlyName : Microsoft Exchange Services : IMAP, POP, IIS, SMTP取消绑定 SMTP 服务。 例如,在 Exchange 命令行管理程序中,运行以下 cmdlet:
Enable-ExchangeCertificate -Thumbprint <thumbprint of nontrusted certificate> -Services IIS, pop, imap检查分配给证书的服务。 例如,在 Exchange 命令行管理程序中,运行以下 cmdlet:
Get-ExchangeCertificate -Thumbprint <thumbprint of nontrusted CA> | fl friendlyname,services此示例的输出如下所示:
FriendlyName : Microsoft Exchange Services : IMAP, POP, IIS
更多信息
有关受信任的根 CA 的详细信息,请参阅 联合信任的受信任的根证书颁发机构。
仍然需要帮助? 请转到 Microsoft 社区。