E-maily odeslané z místního počítače do Exchange Online se jeví jako externí po spuštìní HCW

Původní číslo KB:   4052493

Příznaky

Zvažte následující příklad:

  • Spustíte Průvodce hybridní konfigurace v prostředí Exchange Serveru 2016 nebo Exchange Server 2013, které obsahuje server Edge.
  • Uživatel pošle e-mailovou zprávu z místního systému Exchange do účtu Exchange Online jiného uživatele. Oba uživatelé jsou ve vaší organizaci.

V tomto scénáři se na straně příjemce všimnete následujících problémů:

  • Zpráva vypadá jako externí.
  • Odesílatel se nepřevádí na příjemce v globálním adresáři (globální adresář).

Další příznaky, když nastane problém:

  • V konektoru Send pro posílání zpráv do Office 365 je k dispozici atribut odchozí na office 365 TlsCertificateName . Po výskytu problému se hodnota atributu nereplikuje na servery Edge.

  • Když spustíte start-edgesynchronization příkaz ze serveru poštovních schránek, zobrazí se v něm typ Konfigurace jako neúplný.Příklad výpisu:

    RunspaceId: RunspaceId
    Result: Incomplete
    Type: Configuration
    Name: userwap
    
  • V protokolech EdgeSync, které se nacházejí ve složce, se zaznamená následující chyba <ExchangeInstallation>\TransportRoles\Logs\EdgeSync .

    Datum a čas. 082Z, c76158dc155c4e2eab69305612c58890, 689, EdgeServerName. contoso. com, 50636, SyncEngine, nízká, hodnota v žádosti je neplatná. [ExDirectoryException]; Vnitřní výjimka: hodnota v požadavku je neplatná. [DirectoryOperationException], "nepovedlo se synchronizovat položku CN = odchozí do Office 365, CN = Connections, CN = Exchange Routing Group (DWBGZMFD01QNBJR), CN = Routing Groups, CN = Exchange Admin Group (FYDIBOHF23SPDLT), CN = Administrative,,, Groups

    Pokud chcete povolit protokoly EdgeSync, spusťte následující příkaz:

    Get-EdgeSyncServiceConfig | Set-EdgeSyncServiceConfig -LogLevel high -LogEnabled $true
    

Příčina

K tomuto problému dochází z následujících důvodů:

  • Limit je nastaven na 256 pro atribut MS-Exch-SMTP-TLS-Certificate , který je uložený ve schématu pro Adam na hraničních serverech.

  • Délka následujícího řetězce z certifikátu třetí strany je delší než 256 znaků:

    <I>Emitent <S> Název předmětu

    Chcete-li zjistit délku řetězce, spusťte následující příkaz:

    ("<I>$((Get-SendConnector 'outbound to office 365').tlscertificatename.certificateissuer)<S>$((Get-SendConnector 'outbound to office 365').tlscertificatename.certificatesubject)").length
    

Tento problém vyřešíte jednou z následujících metod:

Řešení 1: zvýšení limitu na 1024 na serveru Edge

  1. Otevřete okno Windows PowerShell pomocí možnosti Spustit jako správce .

  2. Nainstalujte sadu Remote Server Administration Toolkit spuštěním následujícího příkazu:

    Add-WindowsFeature RSAT-ADDS
    
  3. Importujte modul služby Active Directory spuštěním následujícího příkazu:

    Import-Module ActiveDirectory
    
  4. Pomocí následujícího příkazu ověřte hodnotu zakončení atributu TLSCertificateName:

    Get-ADObject -Filter {name -eq "ms-Exch-Smtp-TLS-Certificate"} -SearchBase ((get-ADRootDSE -Server localhost:50389).schemaNamingContext) -Server localhost:50389 -Properties * | Select-Object rangeupper
    
  5. Nastavte zakončení 1024 spuštěním následujícího příkazu:

    Get-ADObject -Filter {name -eq "ms-Exch-Smtp-TLS-Certificate"} -SearchBase ((get-ADRootDSE -Server localhost:50389).schemaNamingContext) -Server localhost:50389 -Properties * | Set-ADObject -Replace @{rangeupper=1024}
    
  6. Na serverech centrální dopravy nebo poštovních schránek spusťte následující příkaz a synchronizujte změny na serveru Edge:

    start-EdgeSynchronization
    

Řešení 2: Konfigurace odesílání konektoru použít plně kvalifikovaný název domény

Nakonfigurujte konektor pro odesílání a nepoužívejte atribut TlsCertificateName pro určení certifikátu, který se má používat při vyjednávání TLS. Místo toho použijte plně kvalifikovaný název domény pro výběr příslušného certifikátu třetí strany na základě postupu výběru certifikátu, který je popsán v části Výběr odchozích anonymních certifikátů TLS.

Pokud chcete nakonfigurovat konektor pro odesílání, aby používal plně kvalifikovaný název domény, postupujte takto:

  1. Zkontrolujte, že název domény, který bude nastavený jako plně kvalifikovaný název domény, je nastavený jako název subjektu nebo alternativní název certifikátu třetí strany.

  2. Chcete-li použít plně kvalifikovaný název domény, nastavte konektor pro odesílání a spusťte následující příkaz. Tento příkaz také vymaže atribut TlsCertificateName .

    Set-SendConnector "outbound to office 365" -Fqdn "Domain Note in step 1 of option 2" -TlsCertificateName:$null
    
  3. Na serverech centrální dopravy nebo poštovních schránek spusťte následující příkaz a synchronizujte změny na serveru Edge:

    start-EdgeSynchronization
    

Řešení 3: použití certifikátu, který nezpůsobuje překročení limitu

Používejte certifikát, který nezpůsobuje překročení limitu. Postupujte takto:

  1. Vytvořte certifikát, ve kterém je následující řetězec z certifikátu kratší než 256 znaků:

    <I>Emitent <S> Subject

  2. Importujte certifikát.

  3. Přidružte certifikát k příslušným službám.

  4. Spusťte znovu Průvodce hybridní konfigurací a použijte nový certifikát.