傳送至 Exchange Online 停止的郵件流程,以及混合式傳輸伺服器上的事件標識碼 2004

  • 發行項
  • 適用於:
    Exchange Online

原始 KB 編號: 2888788

問題

在 Microsoft 365 的內部部署 Microsoft Exchange Server 和 Microsoft Exchange Online 混合式部署中,您會遇到下列徵兆:

  • 傳送至 Exchange Online 停止的郵件流程。

  • 下列事件會記錄在內部部署傳輸伺服器的應用程式記錄中,其中包含 Microsoft 365 環境的連接器:

    事件標識碼:2004
    記錄檔名稱:應用程式
    來源:MSExchangeTransport
    日期: <MM/DD/YY/YY><Hr:Min:Sec><AM/PM>
    事件標識碼:2004
    工作類別:SmtpSend
    層級:資訊
    關鍵詞:傳統
    使用者:N/A
    計算機:exchange.contoso.com

    描述:
    將連接器輸出傳送至 Office 365:訊息傳遞未成功。 訊息標識 <符為 MessageID> 的訊息已向 SMTP 回應 454 4.7.0 認可,但無法建立適當的 TLS 通道:UntrustedRoot:拒絕存取。

原因

如果下列所有條件都成立,就會發生此問題:

  • SMTP 服務已獲指派兩個憑證,其符合內部部署傳輸伺服器的功能變數名稱,該伺服器包含 Microsoft 365 環境的連接器。
  • 其中一個憑證是由證書頒發機構單位 (Windows Live 信任的 CA) 所簽發,另一個憑證是由不受信任的 CA (所發行,例如內部根 CA) 。

在此案例中,Exchange 傳輸伺服器會使用可用的 SMTP 憑證,建立雲端閘道的傳輸層安全性 (TLS) 工作階段。 不過,當 Exchange 傳輸伺服器嘗試使用來自不受信任 CA 的憑證來建立 TLS 會話時,雲端閘道不會接受連線。

解決方案

將 SMTP 服務解除系結至不受信任 CA 所簽發的憑證。 如果要執行這項操作,請依照下列步驟執行:

  1. 取得指派服務的詳細數據。 例如,在 Exchange 管理命令介面中,執行下列 Cmdlet:

    Get-ExchangeCertificate -Thumbprint <thumbprint of nontrusted CA> | fl friendlyname,services

    此範例的輸出如下所示:

    FriendlyName : Microsoft Exchange  
Services : IMAP, POP, IIS, SMTP

  2. 解除 SMTP 服務的系結。 例如,在 Exchange 管理命令介面中,執行下列 Cmdlet:

    Enable-ExchangeCertificate -Thumbprint <thumbprint of nontrusted certificate> -Services IIS, pop, imap

  3. 檢查指派給憑證的服務。 例如,在 Exchange 管理命令介面中,執行下列 Cmdlet:

    Get-ExchangeCertificate -Thumbprint <thumbprint of nontrusted CA> | fl friendlyname,services

    此範例的輸出如下所示:

    FriendlyName : Microsoft Exchange
Services : IMAP, POP, IIS

其他相關資訊

如需受信任根 CA 的詳細資訊,請 參閱同盟信任的信任跟證書授權單位

是否仍需要協助? 前往 Microsoft Community