Det går inte att ta emot e-post i en hybridmiljö när du har installerat ett nytt certifikat på servern

  • Artikel
  • Gäller för:
    Exchange Online, Exchange Server 2016 Enterprise Edition, Exchange Server 2016 Standard Edition, Exchange Server 2013 Enterprise, Exchange Server 2013 Standard Edition

Ursprungligt KB-nummer: 2989382

Symptom

När du har installerat ett nytt Exchange-certifikat i en Exchange Server hybridmiljö får du följande symptom:

  • Du kan inte ta emot e-post från Internet eller från Microsoft 365 när du använder TLS (Transport Layer Security).

  • Om du använder Telnet (till exempel telnet localhost 25) för att undersöka SMTP-kommunikation (Simple Mail Transfer Protocol) ser du att STARTTLS kommandot saknas.

  • Om du undersöker programloggen i Loggboken visas en händelsepost som liknar följande:

    Loggnamn: Program
    Källa: MSExchangeFrontEndTransport
    Datum: MM/DD/ÅÅÅÅ 0:00:00
    Händelse-ID: 12014
    Uppgiftskategori: TransportService
    Nivå: Fel
    Nyckelord: Klassisk
    Användare: Ej tillämpligt
    Dator: <HybridServerName.contoso.com>
    Beskrivning:
    Det gick inte att hitta ett certifikat som innehåller domännamnet <I>CN=Certificate Name, OU=<CertificateIssuer>, O=Certificate Provider, C=US<S>CN=mail.contoso.com, OU=IT, O=contoso, L=location, S=location, C=US i det personliga arkivet på den lokala datorn.

  • Det går inte att kontrollera anslutningstestet till den lokala servern och du får följande felmeddelande:

    450 4.4.101 Konfigurationen av proxysessionen misslyckades på klientdelen med 451 4.4.0 Den primära mål-IP-adressen svarade med "451 5.7.3 STARTTLS krävs för att skicka e-post.". Redundansförsök till alternativ värd, men det lyckades inte. Det finns antingen inga alternativa värdar eller så misslyckades leveransen till alla alternativa värdar. Det sista slutpunkten som försöktes var <slutpunkten>.

Orsak

Det här problemet uppstår om TlsCertificateName egenskapen för hybridserverns mottagningsanslutning innehåller felaktig certifikatinformation när ett nytt Exchange-certifikat har installerats och gamla certifikat som används för hybrid-e-postflöde tas bort.

Egenskapen TlsCertificateName anges korrekt när guiden Hybridkonfiguration (HCW) körs när ett nytt Exchange-certifikat har installerats.

Men om HCW inte körs, eller om ett fel inträffar av någon annan anledning när du kör HCW, TlsCertificateName uppdateras inte egenskapen och det nya Exchange-certifikatet används inte av hybridserverns mottagningsanslutning.

I det här scenariot STARTTLS finns inte kommandot i SMTP-kommunikation och e-postflödet från Microsoft 365 misslyckas.

Åtgärd

Kontrollera att det nya certifikatet är aktiverat för SMTP. Om det inte är det kör du följande kommando för att aktivera SMTP-tjänsten på det nyligen installerade certifikatet.

Enable-ExchangeCertificate <thumbprint> -services SMTP

Obs!

Välj Nej när du uppmanas att skriva över standardcertifikatet). Annars bryts EdgeSync och måste återskapas. Ta sedan bort TlsCertificateName egenskapen från mottagaranslutningsappen på hybridservern. Det gör du genom att köra följande kommando:

Get-ReceiveConnector "ServerName\Default Frontend ReceiveConnector" | Set-ReceiveConnector -TlsCertificateName $null

Kör guiden Hybridkonfiguration igen för att uppdatera mottagaranslutningsappen på hybridservern som har den nyligen installerade certifikatinformationen.

Mer information

Mer information finns i Certifikatkrav för hybriddistributioner.

Behöver du fortfarande hjälp? Gå till Microsoft Community eller Exchange TechNet-forum.