"550 5.7.64 TenantAttribution" při odesílání e-mailů prostřednictvím Exchange Online Protection

  • Článek
  • Platí pro:
    Exchange Online, Exchange Server 2016 Enterprise Edition, Exchange Server 2016 Standard Edition, Exchange Server 2013 Enterprise, Exchange Server 2013 Standard Edition, Exchange Server 2010 Enterprise, Exchange Server 2010 Standard

Původní číslo KB: 3212877

Problém

Zvažte následující příklad:

  • E-maily předáváte prostřednictvím Exchange Online Protection z místního prostředí Exchange nebo ze serveru SMTP Internetové informační služby (IIS).
  • Máte příchozí konektor, který je nastavený na místní a má povolené ověřování certifikátů.

V tomto scénáři se pošta nepřesílala prostřednictvím Exchange Online Protection. Zobrazí se také následující chybová zpráva:

550 5.7.64 TenantAttribution; Protokol SMTP odepření přenosového přístupu

Odesílatelé obdrží oznámení o nedoručení(NDR), které obsahuje tento kód chyby. Nebo se chyba zaprotokoluje v protokolech SMTP služby IIS nebo v části Odeslat protokoly konektoru.

Pokud jste navíc v Prohlížeč událostí povolili provozní protokolování CAPI2, zaprotokoluje se následující položka:

<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
 <System>
 <Provider Name="Microsoft-Windows-CAPI2" Guid="{5bbca4a8-b209-48dc-a8c7-b23d3e5216fb}" />
 <EventID>30</EventID>
 <Version>0</Version>
 <Level>2</Level>
 <Task>30</Task>
 <Opcode>0</Opcode>
 <Keywords>0x4000000000000001</Keywords>
 <TimeCreated SystemTime="2016-12-01T03:09:55.456180600Z" />
 <EventRecordID>3156</EventRecordID>
 <Correlation />
 <Execution ProcessID="544" ThreadID="1996" />
 <Channel>Microsoft-Windows-CAPI2/Operational</Channel>
 <Computer>CORP-SMTP1.ServerName.com</Computer>
 <Security UserID="S-1-5-18" />
 </System>
 <UserData>
 <CertVerifyCertificateChainPolicy>
 <Policy type="CERT_CHAIN_POLICY_SSL" constant="4" />
 <Certificate fileRef="EC53EBC94A796C42E5B4E5851F961874F013D94C.cer" subjectName="*.ServerName.com" />
 <CertificateChain chainRef="{8729A893-3D34-49D1-8030-8513DE8E8897}" />
 <Flags value="0" />
 <SSLAdditionalPolicyInfo authType="server">
 <IgnoreFlags value="280" SECURITY_FLAG_IGNORE_REVOCATION="true" SECURITY_FLAG_IGNORE_WRONG_USAGE="true" />
 </SSLAdditionalPolicyInfo>
 <Status chainIndex="0" elementIndex="-1" />
 <EventAuxInfo ProcessName="lsass.exe" impersonateToken="S-1-5-18" />
 <CorrelationAuxInfo TaskId="{AD28C3AB-7CFE-4CF0-A623-F6CAC805A73C}" SeqNumber="1" />
 <Result value="800B0109">A certificate chain processed, but terminated in a root certificate which is not trusted by the trust provider.</Result>
 </CertVerifyCertificateChainPolicy>
 </UserData>
</Event>

Příčina

K tomuto problému dochází, pokud místní server neodesílá požadovaný řetěz certifikátů během metody handshake protokolu TLS (Transport Layer Security) do Exchange Online.

Řešení

Chcete-li tento problém vyřešit, postupujte takto:

  1. Získejte seznam zprostředkujících certifikátů od vystavitele certifikátu třetí strany.

  2. Exportujte zprostředkující certifikáty z ovlivněného serveru.

    1. Na ovlivněném serveru otevřete modul snap-in Certifikáty.
    2. Vyberte Účet počítače a potom klikněte na Místní počítač.
    3. Ve stromu konzoly rozbalte položku Osobní a potom klikněte na Certifikát.
    4. Poklikejte na certifikát třetí strany, který je přidružený ke službě SMTP, a potom klikněte na kartu Cesta k certifikátu .
    5. V uvedené cestě k certifikátu vyberte zprostředkující certifikát, klikněte na Zobrazit certifikát a potom klikněte na Kopírovat do souboru na kartě Podrobnosti .
    6. Na stránce Formát souboru pro export vyberte binární soubor s kódováním DER X.509 (. CER) a potom klikněte na Další.
    7. Na stránce Soubor k exportu vyberte název souboru a cestu, klikněte na Další a potom klikněte na Dokončit.
    8. Pokud je v cestě k certifikátu více než jeden zprostředkující certifikát, opakujte kroky 2C až 2F pro každý zprostředkující certifikát v cestě.

  3. Importujte zprostředkující certifikáty, které jste exportovali v kroku 2, do zprostředkujících certifikačních autorit na odesílajícím serveru. Uděláte to tak, že v relaci Windows PowerShell se zvýšenými oprávněními spustíte následující příkaz:

    Get-ChildItem -Path c:\import\intermediateca.cer | Import-Certificate -CertStoreLocation cert:\LocalMachine\CA

Další informace

Stále potřebujete pomoc? Přejděte na web Microsoft Community.