Na serveru hybridního přenosu se zaprotokoluje tok pošty na Exchange Online a událost s ID 2004

Původní číslo KB:   2888788

Problém

V hybridním nasazení Microsoft Exchange serveru a Microsoft Exchange Online v Office 365 dochází k následujícím příznakům:

  • Ukončení pošty na Exchange Online se ukončí.

  • V protokolu aplikací místního přenosového serveru, který obsahuje konektor do prostředí Office 365, se zaznamená následující událost:

    ID události: 2004
    Název protokolu: aplikace
    Zdroj: MSExchangeTransport
    Datum: <MM/DD/YY/YY> <Hr:Min:Sec><AM/PM>
    ID události: 2004
    Kategorie úkolu: SmtpSend
    Úroveň: informace
    Klíčová slova: klasická
    Uživatel: není k dispozici
    Počítač: exchange.contoso.com

    Popis
    Odeslání konektoru na Office 365: doručení zprávy nebylo úspěšné. Zpráva s ID zprávy <MessageID> byla potvrzena s odpovědí SMTP 454 4.7.0 se nepodařilo vytvořit vhodný kanál TLS: UntrustedRoot: přístup odepřen.

Příčina

K tomuto problému může dojít, pokud platí všechny následující podmínky:

  • Službě SMTP bylo přiřazeno dva certifikáty, které odpovídají názvu domény místního přenosového serveru, který obsahuje konektor do prostředí Office 365.
  • Jeden z certifikátů byl vydán certifikačním úřadem, který je důvěryhodný pro Windows Live, a druhý certifikát byl vydán nedůvěryhodný certifikační úřad (například interní kořenový certifikační úřad).

V tomto scénáři server přenosu Exchange vytvoří relaci TLS (Transport Layer Security) s cloudovou branou pomocí dostupného certifikátu SMTP. Pokud se ale server přenosu Exchange pokusí vytvořit relaci TLS pomocí certifikátu od nedůvěryhodné certifikační autority, cloudová brána připojení nepřijme.

Řešení

Zrušte vazbu služby SMTP na certifikátu vydaného nedůvěryhodnou certifikační autoritou. Postupujte takto:

  1. Získejte podrobnosti o přiřazených službách. Například v prostředí Exchange Management Shell spusťte následující rutinu:

    Get-ExchangeCertificate -Thumbprint <thumbprint of nontrusted CA> | fl friendlyname,services
    

    Výstup tohoto příkladu je následující:

    FriendlyName : Microsoft Exchange  
    Services : IMAP, POP, IIS, SMTP
    
  2. Zrušte vazbu služby SMTP. Například v prostředí Exchange Management Shell spusťte následující rutinu:

    Enable-ExchangeCertificate -Thumbprint <thumbprint of nontrusted certificate> -Services IIS, pop, imap
    
  3. Zkontrolujte služby, které jsou k certifikátu přiřazené. Například v prostředí Exchange Management Shell spusťte následující rutinu:

    Get-ExchangeCertificate -Thumbprint <thumbprint of nontrusted CA> | fl friendlyname,services
    

    Výstup tohoto příkladu je následující:

    FriendlyName : Microsoft Exchange
    Services : IMAP, POP, IIS
    

Další informace

Další informace o důvěryhodných kořenových certifikačních autoritách najdete v tématu Důvěryhodné kořenové certifikační úřady pro federační vztahy důvěryhodnosti.

Stále potřebujete pomoc? Přejděte na web Microsoft Community.