E-mailberichten die van on-premises naar Exchange Online worden verzonden, lijken extern te zijn na het uitvoeren van HCW

  • Artikel
  • Van toepassing op:
    Exchange Server 2013 Standard Edition, Exchange Server 2013 Enterprise Edition, Exchange Server 2016 Standard Edition, Exchange Server 2016 Enterprise Edition

Origineel KB-nummer: 4052493

Symptomen

Neem het volgende scenario:

  • U voert de wizard Hybride configuratie uit op een Exchange Server 2016- of Exchange Server 2013-omgeving die een Edge-server bevat.
  • Een gebruiker verzendt een e-mailbericht van Exchange on-premises naar het Exchange Online-account van een andere gebruiker. Beide gebruikers bevinden zich in uw organisatie.

In dit scenario ziet u de volgende problemen aan de ontvangerzijde:

  • Het bericht lijkt extern te zijn.
  • De afzender wordt niet omgezet naar een geadresseerde in de algemene adreslijst (GAL).

Aanvullende symptomen wanneer het probleem zich voordoet:

  • Er is een kenmerk Uitgaand naar Office 365TLSCertificateName op de connector Verzenden waarmee berichten naar Microsoft 365 worden verzonden. Wanneer het probleem zich voordoet, wordt de kenmerkwaarde niet gerepliceerd naar de Edge-servers.

  • Wanneer u de start-edgesynchronization opdracht uitvoert vanaf de postvakserver, wordt in de uitvoer het configuratietype als Onvolledig weergegeven. Hier volgt een voorbeeldfragment:

    RunspaceId: RunspaceId
Result: Incomplete
Type: Configuration
Name: userwap

  • De volgende fout wordt geregistreerd in de EdgeSync-logboeken die zich in de <ExchangeInstallation>\TransportRoles\Logs\EdgeSync map bevinden.

    Date/Time.082Z,c76158dc155c4e2eab69305612c58890,689,,EdgeServerName.contoso.com,50636,SyncEngine,Low,Een waarde in de aanvraag is ongeldig. [ExDirectoryException]; Interne uitzondering: een waarde in de aanvraag is ongeldig. [DirectoryOperationException],"Kan vermelding CN=Uitgaand niet synchroniseren met Office 365,CN=Connections,CN=Exchange-routeringsgroep (DWBGZMFD01QNBJR),CN=Routeringsgroepen,CN=Exchange-beheergroep (FYDIBOHF23SPDLT),CN=Beheergroepen,CN=ExchangeOrgName,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=domain,DC=com",,,

    Voer de volgende opdracht uit om de EdgeSync-logboeken in te schakelen:

    Get-EdgeSyncServiceConfig | Set-EdgeSyncServiceConfig -LogLevel high -LogEnabled $true

Oorzaak

Dit probleem treedt om de volgende redenen op:

  • De limiet is ingesteld op 256 voor het kenmerk ms-Exch-Smtp-TLS-Certificate dat is opgeslagen in het schema voor ADAM op de Edge-servers.

  • De lengte van de volgende tekenreeks van het certificaat van derden is meer dan 256 tekens:

    <I>Issuer<S>Onderwerp name

    Voer de volgende opdracht uit om de lengte van de tekenreeks te bepalen:

    ("<I>$((Get-SendConnector 'outbound to Office 365').tlscertificatename.certificateissuer)<S>$((Get-SendConnector 'outbound to Office 365').tlscertificatename.certificatesubject)").length

U kunt dit probleem op een van de volgende manieren oplossen:

Oplossing 1: de limiet verhogen naar 1024 op de Edge-server

  1. Open een Windows PowerShell-venster met de optie Als administrator uitvoeren.

  2. Installeer de beheertoolkit voor externe servers door de volgende opdracht uit te voeren:

    Add-WindowsFeature RSAT-ADDS

  3. Importeer de Active Directory-module door de volgende opdracht uit te voeren:

    Import-Module ActiveDirectory

  4. Controleer de limietwaarde voor het kenmerk TLSCertificateName door de volgende opdracht uit te voeren:

    Get-ADObject -Filter {name -eq "ms-Exch-Smtp-TLS-Certificate"} -SearchBase ((get-ADRootDSE -Server localhost:50389).schemaNamingContext) -Server localhost:50389 -Properties * | Select-Object rangeupper

  5. Stel de limiet van 1024 in door de volgende opdracht uit te voeren:

    Get-ADObject -Filter {name -eq "ms-Exch-Smtp-TLS-Certificate"} -SearchBase ((get-ADRootDSE -Server localhost:50389).schemaNamingContext) -Server localhost:50389 -Properties * | Set-ADObject -Replace @{rangeupper=1024}

  6. Voer op de HUB Transport- of Mailbox-servers de volgende opdracht uit om de wijzigingen te synchroniseren met de Edge-server:

    start-EdgeSynchronization

Oplossing 2: FQDN voor verzenden van connector configureren

Configureer de verzendconnector om het kenmerk TLSCertificateName niet te gebruiken voor het opgeven van het certificaat dat moet worden gebruikt tijdens TLS-onderhandeling. Gebruik in plaats daarvan een FQDN om het juiste certificaat van derden te selecteren op basis van de certificaatselectieprocedure die wordt beschreven in Selectie van uitgaande anonieme TLS-certificaten.

Voer de volgende stappen uit om de verzendconnector te configureren voor het gebruik van de FQDN:

  1. Zorg ervoor dat de domeinnaam die wordt ingesteld als de FQDN is ingesteld als de onderwerpnaam of alternatieve onderwerpnaam van het certificaat van derden.

  2. Stel de connector Verzenden in om de FQDN te gebruiken door de volgende opdracht uit te voeren. Met deze opdracht wordt ook het kenmerk TLSCertificateName gewist.

    Set-SendConnector "outbound to Office 365" -Fqdn "Domain Note in step 1 of option 2" -TlsCertificateName:$null

  3. Voer op de HUB Transport- of Mailbox-servers de volgende opdracht uit om de wijzigingen te synchroniseren met de Edge-server:

    start-EdgeSynchronization

Oplossing 3: gebruik een certificaat dat er niet voor zorgt dat de limiet wordt overschreden

Gebruik een certificaat waardoor de limiet niet wordt overschreden. Ga hiervoor als volgt te werk:

  1. Maak een certificaat waarin de volgende tekenreeks van het certificaat kleiner is dan 256 tekens:

    <I>Issuer<S>SubjectName

  2. Importeer het certificaat.

  3. Koppel het certificaat aan de betreffende services.

  4. Voer de wizard Hybride configuratie opnieuw uit om het nieuwe certificaat te gebruiken.