E-mailberichten die van on-premises naar Exchange Online worden verzonden, lijken extern te zijn na het uitvoeren van HCW
Origineel KB-nummer: 4052493
Symptomen
Neem het volgende scenario:
- U voert de wizard Hybride configuratie uit op een Exchange Server 2016- of Exchange Server 2013-omgeving die een Edge-server bevat.
- Een gebruiker verzendt een e-mailbericht van Exchange on-premises naar het Exchange Online-account van een andere gebruiker. Beide gebruikers bevinden zich in uw organisatie.
In dit scenario ziet u de volgende problemen aan de ontvangerzijde:
- Het bericht lijkt extern te zijn.
- De afzender wordt niet omgezet naar een geadresseerde in de algemene adreslijst (GAL).
Aanvullende symptomen wanneer het probleem zich voordoet:
Er is een kenmerk Uitgaand naar Office 365TLSCertificateName op de connector Verzenden waarmee berichten naar Microsoft 365 worden verzonden. Wanneer het probleem zich voordoet, wordt de kenmerkwaarde niet gerepliceerd naar de Edge-servers.
Wanneer u de
start-edgesynchronization
opdracht uitvoert vanaf de postvakserver, wordt in de uitvoer het configuratietype als Onvolledig weergegeven. Hier volgt een voorbeeldfragment:RunspaceId: RunspaceId Result: Incomplete Type: Configuration Name: userwap
De volgende fout wordt geregistreerd in de EdgeSync-logboeken die zich in de
<ExchangeInstallation>\TransportRoles\Logs\EdgeSync
map bevinden.Date/Time.082Z,c76158dc155c4e2eab69305612c58890,689,,EdgeServerName.contoso.com,50636,SyncEngine,Low,Een waarde in de aanvraag is ongeldig. [ExDirectoryException]; Interne uitzondering: een waarde in de aanvraag is ongeldig. [DirectoryOperationException],"Kan vermelding CN=Uitgaand niet synchroniseren met Office 365,CN=Connections,CN=Exchange-routeringsgroep (DWBGZMFD01QNBJR),CN=Routeringsgroepen,CN=Exchange-beheergroep (FYDIBOHF23SPDLT),CN=Beheergroepen,CN=ExchangeOrgName,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=domain,DC=com",,,
Voer de volgende opdracht uit om de EdgeSync-logboeken in te schakelen:
Get-EdgeSyncServiceConfig | Set-EdgeSyncServiceConfig -LogLevel high -LogEnabled $true
Oorzaak
Dit probleem treedt om de volgende redenen op:
De limiet is ingesteld op 256 voor het kenmerk ms-Exch-Smtp-TLS-Certificate dat is opgeslagen in het schema voor ADAM op de Edge-servers.
De lengte van de volgende tekenreeks van het certificaat van derden is meer dan 256 tekens:
<I>Issuer<S>Onderwerp name
Voer de volgende opdracht uit om de lengte van de tekenreeks te bepalen:
("<I>$((Get-SendConnector 'outbound to Office 365').tlscertificatename.certificateissuer)<S>$((Get-SendConnector 'outbound to Office 365').tlscertificatename.certificatesubject)").length
U kunt dit probleem op een van de volgende manieren oplossen:
Oplossing 1: de limiet verhogen naar 1024 op de Edge-server
Open een Windows PowerShell-venster met de optie Als administrator uitvoeren.
Installeer de beheertoolkit voor externe servers door de volgende opdracht uit te voeren:
Add-WindowsFeature RSAT-ADDS
Importeer de Active Directory-module door de volgende opdracht uit te voeren:
Import-Module ActiveDirectory
Controleer de limietwaarde voor het kenmerk TLSCertificateName door de volgende opdracht uit te voeren:
Get-ADObject -Filter {name -eq "ms-Exch-Smtp-TLS-Certificate"} -SearchBase ((get-ADRootDSE -Server localhost:50389).schemaNamingContext) -Server localhost:50389 -Properties * | Select-Object rangeupper
Stel de limiet van 1024 in door de volgende opdracht uit te voeren:
Get-ADObject -Filter {name -eq "ms-Exch-Smtp-TLS-Certificate"} -SearchBase ((get-ADRootDSE -Server localhost:50389).schemaNamingContext) -Server localhost:50389 -Properties * | Set-ADObject -Replace @{rangeupper=1024}
Voer op de HUB Transport- of Mailbox-servers de volgende opdracht uit om de wijzigingen te synchroniseren met de Edge-server:
start-EdgeSynchronization
Oplossing 2: FQDN voor verzenden van connector configureren
Configureer de verzendconnector om het kenmerk TLSCertificateName niet te gebruiken voor het opgeven van het certificaat dat moet worden gebruikt tijdens TLS-onderhandeling. Gebruik in plaats daarvan een FQDN om het juiste certificaat van derden te selecteren op basis van de certificaatselectieprocedure die wordt beschreven in Selectie van uitgaande anonieme TLS-certificaten.
Voer de volgende stappen uit om de verzendconnector te configureren voor het gebruik van de FQDN:
Zorg ervoor dat de domeinnaam die wordt ingesteld als de FQDN is ingesteld als de onderwerpnaam of alternatieve onderwerpnaam van het certificaat van derden.
Stel de connector Verzenden in om de FQDN te gebruiken door de volgende opdracht uit te voeren. Met deze opdracht wordt ook het kenmerk TLSCertificateName gewist.
Set-SendConnector "outbound to Office 365" -Fqdn "Domain Note in step 1 of option 2" -TlsCertificateName:$null
Voer op de HUB Transport- of Mailbox-servers de volgende opdracht uit om de wijzigingen te synchroniseren met de Edge-server:
start-EdgeSynchronization
Oplossing 3: gebruik een certificaat dat er niet voor zorgt dat de limiet wordt overschreden
Gebruik een certificaat waardoor de limiet niet wordt overschreden. Ga hiervoor als volgt te werk:
Maak een certificaat waarin de volgende tekenreeks van het certificaat kleiner is dan 256 tekens:
<I>Issuer<S>SubjectName
Importeer het certificaat.
Koppel het certificaat aan de betreffende services.
Voer de wizard Hybride configuratie opnieuw uit om het nieuwe certificaat te gebruiken.
Feedback
https://aka.ms/ContentUserFeedback.
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie:Feedback verzenden en weergeven voor