E-mailberichten die worden verzonden vanaf on-premises naar Exchange Online lijken extern na de uitvoering van HCW

Oorspronkelijk KB-nummer:   4052493

Symptomen

Neem het volgende scenario:

  • U voert de wizard hybride configuratie uit op een Exchange Server 2016-of Exchange Server 2013-omgeving met een Edge-server.
  • Een gebruiker verzendt een e-mailbericht van Exchange on-premises naar het Exchange Online-account van een andere gebruiker. Beide gebruikers deel uitmaken van uw organisatie.

In dit scenario ziet u de volgende problemen op de ontvanger van de ontvanger:

  • Het bericht lijkt extern.
  • De afzender heeft geen oplossing voor een geadresseerde in de Global Address List (GAL).

Extra problemen wanneer het probleem optreedt:

  • Er is een uitgaand to office 365 - TLSCertificateName kenmerk in de connector voor verzenden waarmee berichten worden verzonden naar Office 365. Als het probleem zich voordoet, wordt de waarde van het kenmerk niet gerepliceerd naar de Edge-servers.

  • Wanneer u de start-edgesynchronization opdracht vanaf de postvakserver uitvoert, wordt in de uitvoer het configuratie type als onvolledig weergegeven. Hieronder ziet u een voorbeeld van een fragment:

    RunspaceId: RunspaceId
    Result: Incomplete
    Type: Configuration
    Name: userwap
    
  • De volgende fout is vastgelegd in de EdgeSync-logboeken die zich bevinden in de <ExchangeInstallation>\TransportRoles\Logs\EdgeSync map.

    Datum/tijd. 082Z, c76158dc155c4e2eab69305612c58890, 689, EdgeServerName. contoso. com, 50636, SyncEngine, laag, een waarde in de aanvraag ongeldig is. [ExDirectoryException]; Binnenste uitzondering: een waarde in de aanvraag is ongeldig. [DirectoryOperationException], "kon invoer niet synchroniseren van de invoer CN = uitgaand naar Office 365, CN = verbindingen, CN = Exchange-routeringsgroep (DWBGZMFD01QNBJR), CN = routeringsgroepen, CN = Exchange Administrative Group (FYDIBOHF23SPDLT), CN = ExchangeOrgName, CN = Microsoft Exchange, CN = Domain, DC = com",,,

    Voer de volgende opdracht uit om de EdgeSync-Logboeken in te schakelen:

    Get-EdgeSyncServiceConfig | Set-EdgeSyncServiceConfig -LogLevel high -LogEnabled $true
    

Oorzaak

Dit probleem doet zich voor de volgende oorzaken voor:

  • De Cap wordt ingesteld op 256 voor het MS-prijskoers-SMTP-TLS-certificaat kenmerk dat is opgeslagen in het schema voor ADAM op de Edge-servers.

  • De lengte van de volgende tekenreeks in het certificaat van een derde partij is meer dan 256 tekens:

    <I>Uitgever <S> Naam onderwerp

    Als u de lengte van de tekenreeks wilt bepalen, voert u de volgende opdracht uit:

    ("<I>$((Get-SendConnector 'outbound to office 365').tlscertificatename.certificateissuer)<S>$((Get-SendConnector 'outbound to office 365').tlscertificatename.certificatesubject)").length
    

Gebruik een van de volgende methoden om dit probleem op te lossen.

Oplossing 1: de GLB ophogen tot 1024 op de Edge-Server

  1. Open een Windows PowerShell-venster met de optie uitvoeren als Administrator .

  2. Installeer de Remote Server Administration Toolkit door de volgende opdracht uit te voeren:

    Add-WindowsFeature RSAT-ADDS
    
  3. Importeer de Active Directory-module door de volgende opdracht uit te voeren:

    Import-Module ActiveDirectory
    
  4. Controleer de Cap-waarde voor de Attribute TLSCertificateName door de volgende opdracht uit te voeren:

    Get-ADObject -Filter {name -eq "ms-Exch-Smtp-TLS-Certificate"} -SearchBase ((get-ADRootDSE -Server localhost:50389).schemaNamingContext) -Server localhost:50389 -Properties * | Select-Object rangeupper
    
  5. Voer de volgende opdracht uit om de 1024-Cap in te stellen:

    Get-ADObject -Filter {name -eq "ms-Exch-Smtp-TLS-Certificate"} -SearchBase ((get-ADRootDSE -Server localhost:50389).schemaNamingContext) -Server localhost:50389 -Properties * | Set-ADObject -Replace @{rangeupper=1024}
    
  6. Voer de volgende opdracht uit om de wijzigingen op de Edge-server te synchroniseren op de HUB-en-Postvak servers:

    start-EdgeSynchronization
    

Oplossing 2: connector voor verzenden configureren gebruiken

Configureer de connector voor verzenden niet om het TLSCertificateName -kenmerk te gebruiken voor het opgeven van het certificaat dat moet worden gebruikt tijdens de TLS-onderhandeling. In plaats daarvan kunt u een FQDN selecteren op basis van de certificaatselectie procedure die wordt beschreven in de selectie van uitgaande, anonieme TLS-certificaten.

Voer de volgende stappen uit als u de connector voor verzenden moet configureren om de FQDN te gebruiken:

  1. Zorg ervoor dat de domeinnaam die wordt ingesteld als de FQDN, wordt ingesteld als de naam van het onderwerp of de alternatieve naam van het certificaat van derden.

  2. Voer de volgende opdracht uit om de FQDN via de connector verzenden in te stellen. Met deze opdracht wist u ook het kenmerk TLSCertificateName .

    Set-SendConnector "outbound to office 365" -Fqdn "Domain Note in step 1 of option 2" -TlsCertificateName:$null
    
  3. Voer de volgende opdracht uit om de wijzigingen op de Edge-server te synchroniseren op de HUB-en-Postvak servers:

    start-EdgeSynchronization
    

Oplossing 3: certificaat gebruiken dat geen limiet veroorzaakt

Gebruik een certificaat dat geen limiet veroorzaakt. Ga hiervoor als volgt te werk:

  1. Maak een certificaat waarin de volgende reeks van het certificaat kleiner is dan 256 tekens:

    <I>Uitgever <S> Onderwerpnaam

  2. Importeer het certificaat.

  3. Koppel het certificaat aan de betreffende services.

  4. Voer de wizard hybride configuratie opnieuw uit om het nieuwe certificaat te gebruiken.