Wiadomości e-mail wysyłane z lokalnego do usługi Exchange Online są wyświetlane jako zewnętrzne po uruchomieniu HCW

Oryginalny numer artykułu KB:   4052493

Symptomy

Rozpatrzmy następujący scenariusz:

  • Uruchom Kreatora konfiguracji hybrydowej w środowisku programu Exchange Server 2016 lub Exchange Server 2013 ze środowiskiem, które zawiera serwer graniczny.
  • Użytkownik wysyła wiadomość e-mail z lokalnego programu Exchange do konta usługi Exchange Online innego użytkownika. Obaj użytkownicy są w organizacji.

W tym scenariuszu po stronie odbiornika są widoczne następujące problemy:

  • Wygląda na to, że wiadomość jest zewnętrzna.
  • Nadawca nie jest rozpoznawany jako adresat na globalnej liście adresowej (lista adresów).

Dodatkowe objawy występujące po wystąpieniu problemu:

  • W przypadku łącznika wysyłania wiadomości do pakietu Office 365 jest dostępny wychodzący do pakietu office 365 atrybut TlsCertificateName . W przypadku wystąpienia problemu wartość atrybutu nie jest replikowana na serwerach brzegowych.

  • Po uruchomieniu start-edgesynchronization polecenia z serwera skrzynki pocztowej dane wyjściowe przedstawiają typ konfiguracji jako niekompletny. Poniżej przedstawiono przykładowy fragment:

    RunspaceId: RunspaceId
    Result: Incomplete
    Type: Configuration
    Name: userwap
    
  • Następujący błąd jest rejestrowany w dziennikach EdgeSync znajdujących się w <ExchangeInstallation>\TransportRoles\Logs\EdgeSync folderze.

    Data/godzina. 082Z, c76158dc155c4e2eab69305612c58890, 689,, EdgeServerName. contoso. com, 50636, SyncEngine, Low, wartość w żądaniu jest nieprawidłowa. [ExDirectoryException]; Wyjątek wewnętrzny: wartość w żądaniu jest nieprawidłowa. [DirectoryOperationException]; "nie można zsynchronizować wpisu CN = wychodzący z usługą Office 365, CN = połączenia, CN = Exchange Routing Group (DWBGZMFD01QNBJR), CN = grupy routingu, CN = Exchange Administrative Group (FYDIBOHF23SPDLT), CN = Microsoft Exchange, CN = ExchangeOrgName, CN = usługi, DC = Domain, DC = com",,,

    Aby włączyć dzienniki EdgeSync, uruchom następujące polecenie:

    Get-EdgeSyncServiceConfig | Set-EdgeSyncServiceConfig -LogLevel high -LogEnabled $true
    

Przyczyna

Ten problem występuje w następujących sytuacjach:

  • Wartość WPR jest ustawiona na 256 dla atrybutu MS-dekursu-SMTP-TLS-Certificate , który jest przechowywany w schemacie dla programu ADAM na serwerach brzegowych.

  • Długość poniższego ciągu w certyfikacie innej firmy przekracza 256 znaków:

    <I>Wystawca <S> Nazwa podmiotu

    Aby określić długość ciągu, uruchom następujące polecenie:

    ("<I>$((Get-SendConnector 'outbound to office 365').tlscertificatename.certificateissuer)<S>$((Get-SendConnector 'outbound to office 365').tlscertificatename.certificatesubject)").length
    

Aby rozwiązać ten problem, Skorzystaj z jednej z poniższych metod.

Rozwiązanie 1: zwiększenie liczby 1024 na serwerze brzegowym

  1. Otwórz okno programu Windows PowerShell przy użyciu opcji Uruchom jako administrator .

  2. Zainstaluj zestaw narzędzi administracji zdalnej serwera, uruchamiając następujące polecenie:

    Add-WindowsFeature RSAT-ADDS
    
  3. Zaimportuj moduł usługi Active Directory, uruchamiając następujące polecenie:

    Import-Module ActiveDirectory
    
  4. Sprawdź wartość Cap atrybutu TLSCertificateName, uruchamiając następujące polecenie:

    Get-ADObject -Filter {name -eq "ms-Exch-Smtp-TLS-Certificate"} -SearchBase ((get-ADRootDSE -Server localhost:50389).schemaNamingContext) -Server localhost:50389 -Properties * | Select-Object rangeupper
    
  5. Ustaw 1024 na zakończenie, uruchamiając następujące polecenie:

    Get-ADObject -Filter {name -eq "ms-Exch-Smtp-TLS-Certificate"} -SearchBase ((get-ADRootDSE -Server localhost:50389).schemaNamingContext) -Server localhost:50389 -Properties * | Set-ADObject -Replace @{rangeupper=1024}
    
  6. Na serwerach Central (Transport centralny) lub serwery skrzynek pocztowych Uruchom następujące polecenie, aby zsynchronizować zmiany na serwerze programu Edge:

    start-EdgeSynchronization
    

Rozwiązanie 2: Konfigurowanie łącznika wysyłania Użyj nazwy FQDN

Skonfiguruj łącznik Wyślij, aby określić certyfikat, który ma być używany podczas negocjacji TLS. Zamiast tego użyj nazwy FQDN, aby wybrać odpowiedni certyfikat innej firmy na podstawie procedury wyboru certyfikatu, która jest opisana w obszarze Wybieranie certyfikatów anonimowych TLS.

Aby skonfigurować łącznika wysyłania w celu używania nazwy FQDN, wykonaj następujące czynności:

  1. Upewnij się, że nazwa domeny, która będzie ustawiona jako nazwa FQDN, jest ustawiona jako nazwa podmiotu lub alternatywna nazwa podmiotu certyfikatu innej firmy.

  2. Ustaw łącznik wysyłania, aby korzystał z nazwy FQDN, uruchamiając następujące polecenie. To polecenie czyści również atrybut TlsCertificateName .

    Set-SendConnector "outbound to office 365" -Fqdn "Domain Note in step 1 of option 2" -TlsCertificateName:$null
    
  3. Na serwerach Central (Transport centralny) lub serwery skrzynek pocztowych Uruchom następujące polecenie, aby zsynchronizować zmiany na serwerze programu Edge:

    start-EdgeSynchronization
    

Rozwiązanie 3: używanie certyfikatu, który nie powoduje przekroczenia limitu

Użyj certyfikatu, który nie powoduje przekroczenia limitu. Aby to zrobić, wykonaj następujące kroki.

  1. Utwórz certyfikat, w którym następujący ciąg z certyfikatu jest mniejszy niż 256 znaków:

    <I>Wystawca <S> SubjectName

  2. Zaimportuj certyfikat.

  3. Skojarz certyfikat z odpowiednimi usługami.

  4. Ponownie uruchom Kreatora konfiguracji hybrydowych, aby użyć nowego certyfikatu.