E-postmeddelanden som skickas från lokal plats till Exchange Online verkar vara externa efter att ha kört HCW
Ursprungligt KB-nummer: 4052493
Symptom
Tänk dig följande situation:
- Du kör hybridkonfigurationsguiden mot en Exchange Server 2016- eller Exchange Server 2013-miljö som innehåller en Edge-server.
- En användare skickar ett e-postmeddelande från Exchange on-premises till en annan användares Exchange Online konto. Båda användarna finns i din organisation.
I det här scenariot ser du följande problem på mottagarsidan:
- Meddelandet verkar vara externt.
- Avsändaren matchar inte en mottagare i den globala adresslistan (GAL).
Ytterligare symptom när problemet uppstår:
Det finns ett utgående till Office 365TLSCertificateName-attribut i anslutningsappen Skicka som skickar meddelanden till Microsoft 365. När problemet uppstår replikeras inte attributvärdet till Edge-servrarna.
När du kör
start-edgesynchronization
kommandot från postlådeservern visas konfigurationstypenofullständig i utdata. Följande är ett exempelutdrag:RunspaceId: RunspaceId Result: Incomplete Type: Configuration Name: userwap
Följande fel loggas i EdgeSync-loggarna som finns i
<ExchangeInstallation>\TransportRoles\Logs\EdgeSync
mappen .Date/Time.082Z,c76158dc155c4e2eab69305612c58890,689,,EdgeServerName.contoso.com,50636,SyncEngine,Low,Ett värde i begäran är ogiltigt. [ExDirectoryException]; Inre undantag: Ett värde i begäran är ogiltigt. [DirectoryOperationException],"Det gick inte att synkronisera posten CN=Outbound to Office 365,CN=Connections,CN=Exchange Routing Group (DWBGZMFD01QNBJR),CN=Routing Groups,CN=Exchange Administrative Group (FYDIBOHF23SPDLT),CN=Administrative Groups,CN=ExchangeOrgName,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=domain,DC=com",,,
Om du vill aktivera EdgeSync-loggarna kör du följande kommando:
Get-EdgeSyncServiceConfig | Set-EdgeSyncServiceConfig -LogLevel high -LogEnabled $true
Orsak
Det här problemet uppstår av följande skäl:
Taket är inställt på 256 för attributet ms-Exch-Smtp-TLS-Certificate som lagras i schemat för ADAM på Edge-servrarna.
Längden på följande sträng från certifikatet från tredje part är mer än 256 tecken:
<I>Issuer<S>Ämnesnamn
Kör följande kommando för att fastställa längden på strängen:
("<I>$((Get-SendConnector 'outbound to Office 365').tlscertificatename.certificateissuer)<S>$((Get-SendConnector 'outbound to Office 365').tlscertificatename.certificatesubject)").length
Använd en av följande metoder för att lösa problemet.
Lösning 1: Öka taket till 1024 på Edge-servern
Öppna ett Windows PowerShell fönster med alternativet Kör som administratör.
Installera verktygen för fjärrserveradministration genom att köra följande kommando:
Add-WindowsFeature RSAT-ADDS
Importera Active Directory-modulen genom att köra följande kommando:
Import-Module ActiveDirectory
Kontrollera cap-värdet för attributet TLSCertificateName genom att köra följande kommando:
Get-ADObject -Filter {name -eq "ms-Exch-Smtp-TLS-Certificate"} -SearchBase ((get-ADRootDSE -Server localhost:50389).schemaNamingContext) -Server localhost:50389 -Properties * | Select-Object rangeupper
Ange 1024-taket genom att köra följande kommando:
Get-ADObject -Filter {name -eq "ms-Exch-Smtp-TLS-Certificate"} -SearchBase ((get-ADRootDSE -Server localhost:50389).schemaNamingContext) -Server localhost:50389 -Properties * | Set-ADObject -Replace @{rangeupper=1024}
På hubbtransport- eller postlådeservrarna kör du följande kommando för att synkronisera ändringarna till Edge-servern:
start-EdgeSynchronization
Lösning 2: Konfigurera Skicka anslutningsapp med FQDN
Konfigurera send-anslutningsappen så att den inte använder attributet TLSCertificateName för att ange det certifikat som ska användas under TLS-förhandlingen. Använd i stället ett FQDN för att välja lämpligt tredjepartscertifikat baserat på proceduren för val av certifikat som beskrivs i Urval av utgående anonyma TLS-certifikat.
Så här konfigurerar du anslutningsappen Skicka för att använda FQDN:
Kontrollera att domännamnet som ska anges som FQDN anges som ämnesnamn eller alternativt ämnesnamn för tredjepartscertifikatet.
Ange att anslutningsappen Skicka ska använda FQDN genom att köra följande kommando. Det här kommandot rensar även attributet TLSCertificateName .
Set-SendConnector "outbound to Office 365" -Fqdn "Domain Note in step 1 of option 2" -TlsCertificateName:$null
På hubbtransport- eller postlådeservrarna kör du följande kommando för att synkronisera ändringarna till Edge-servern:
start-EdgeSynchronization
Lösning 3: Använd certifikat som inte gör att taket överskrids
Använd ett certifikat som inte gör att taket överskrids. Gör så här:
Skapa ett certifikat där följande sträng från certifikatet är mindre än 256 tecken:
<I>Issuer<S>SubjectName
Importera certifikatet.
Associera certifikatet med respektive tjänster.
Kör guiden Hybridkonfiguration igen för att använda det nya certifikatet.
Feedback
https://aka.ms/ContentUserFeedback.
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i:Skicka och visa feedback för