E-postmeddelanden som skickas från lokala platser till Exchange Online ser ut att vara externa när du har kört HCW

Ursprungligt KB-nummer:   4052493

Symptom

Tänk dig följande situation:

  • Du kör hybridkonfigurationsguiden mot en Exchange Server 2016- eller Exchange Server 2013-miljö som innehåller en Edge-server.
  • En användare skickar ett e-postmeddelande från Exchange lokalt till en annan användares Exchange Online-konto. Båda användarna finns i organisationen.

I det här scenariot ser du följande problem på mottagarsidan:

  • Meddelandet verkar vara externt.
  • Avsändaren löser inte upp till en mottagare i den globala adresslistan (GAL).

Ytterligare symptom när problemet inträffar:

  • Det finns ett attribut för Utgående till Office 365 TLSCertificateName i attributet Skicka koppling som skickar meddelanden till Office 365. När problemet uppstår replikeras inte attributvärdet till Edge-servrarna.

  • När du kör start-edgesynchronization kommandot från e-postservern visas konfigurationstypen som Ofullständig i utdata. Följande är ett exempelutdrag:

    RunspaceId: RunspaceId
    Result: Incomplete
    Type: Configuration
    Name: userwap
    
  • Följande fel loggas i EdgeSync-loggarna som finns i <ExchangeInstallation>\TransportRoles\Logs\EdgeSync mappen.

    Datum/tid.082Z,c76158dc155c4e2eab69305612c58890,689,,EdgeServerName.contoso.com,50636,SyncEngine,Low,A value in the request is invalid. [ExDirectoryException]; Inre undantag: Ett värde i begäran är ogiltigt. [DirectoryOperationException],"Det gick inte att synkronisera posten CN=Utgående till Office 365,CN=Connections,CN=Exchange Routing Group (DWBGZMFD01QNBJR),CN=Routing Groups,CN=Exchange Administrative Group (RÅDIBOHF23SPDLT),CN=Administrative Groups,CN=ExchangeOrgName,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=domain,DC=com",,,

    Du aktiverar EdgeSync-loggarna genom att köra följande kommando:

    Get-EdgeSyncServiceConfig | Set-EdgeSyncServiceConfig -LogLevel high -LogEnabled $true
    

Orsak

Det här problemet uppstår av följande anledningar:

  • Gränsen är inställd på 256 för attributet ms-Exch-Smtp-TLS-Certificate som lagras i schemat för ADAM på Edge-servrarna.

  • Längden på följande sträng från certifikatet från tredje part är längre än 256 tecken:

    <I>Utfärdare <S> Ämnesnamn

    Kör följande kommando för att fastställa strängens längd:

    ("<I>$((Get-SendConnector 'outbound to office 365').tlscertificatename.certificateissuer)<S>$((Get-SendConnector 'outbound to office 365').tlscertificatename.certificatesubject)").length
    

Lös problemet med någon av följande metoder.

Upplösning 1: Öka gränsen till 1024 på Edge-servern

  1. Öppna ett Windows PowerShell-fönster med alternativet Kör som administratör.

  2. Installera verktygen för fjärrserveradministration genom att köra följande kommando:

    Add-WindowsFeature RSAT-ADDS
    
  3. Importera Active Directory-modulen genom att köra följande kommando:

    Import-Module ActiveDirectory
    
  4. Verifiera värdet för attributet TLSCertificateName genom att köra följande kommando:

    Get-ADObject -Filter {name -eq "ms-Exch-Smtp-TLS-Certificate"} -SearchBase ((get-ADRootDSE -Server localhost:50389).schemaNamingContext) -Server localhost:50389 -Properties * | Select-Object rangeupper
    
  5. Ange 1024-anfang genom att köra följande kommando:

    Get-ADObject -Filter {name -eq "ms-Exch-Smtp-TLS-Certificate"} -SearchBase ((get-ADRootDSE -Server localhost:50389).schemaNamingContext) -Server localhost:50389 -Properties * | Set-ADObject -Replace @{rangeupper=1024}
    
  6. Kör följande kommando på NAV-transport- eller postlådeservrarna för att synkronisera ändringarna till Edge-servern:

    start-EdgeSynchronization
    

Upplösning 2: Konfigurera Skicka koppling med FQDN

Konfigurera skicka-anslutningen så att det inte använder attributet TLSCertificateName för att ange certifikatet som ska användas vid TLS-förhandling. Använd i stället ett FQDN för att välja lämpligt certifikat från tredje part baserat på den procedur för certifikatval som beskrivs i Urval av utgående anonyma TLS-certifikat.

Konfigurera Skicka koppling så att den använder FQDN genom att följa de här stegen:

  1. Kontrollera att domännamnet som ska anges som FQDN är inställt som Ämnesnamn eller Alternativt ämnesnamn för tredjepartscertifikatet.

  2. Ställ in Skicka koppling för att använda FQDN genom att köra följande kommando. Det här kommandot rensar också attributet TLSCertificateName.

    Set-SendConnector "outbound to office 365" -Fqdn "Domain Note in step 1 of option 2" -TlsCertificateName:$null
    
  3. Kör följande kommando på NAV-transport- eller postlådeservrarna för att synkronisera ändringarna till Edge-servern:

    start-EdgeSynchronization
    

Lösning 3: Använd certifikat som inte leder till att gränsen överskrids

Använd ett certifikat som inte leder till att gränsen överskrids. Gör så här:

  1. Skapa ett certifikat där följande sträng från certifikatet är mindre än 256 tecken:

    <I>Utfärdare <S> SubjectName

  2. Importera certifikatet.

  3. Associera certifikatet med respektive tjänst.

  4. Kör hybridkonfigurationsguiden igen för att använda det nya certifikatet.