E-postmeddelanden som skickas från lokal plats till Exchange Online verkar vara externa efter att ha kört HCW

  • Artikel
  • Gäller för:
    Exchange Server 2013 Standard Edition, Exchange Server 2013 Enterprise Edition, Exchange Server 2016 Standard Edition, Exchange Server 2016 Enterprise Edition

Ursprungligt KB-nummer: 4052493

Symptom

Tänk dig följande situation:

  • Du kör hybridkonfigurationsguiden mot en Exchange Server 2016- eller Exchange Server 2013-miljö som innehåller en Edge-server.
  • En användare skickar ett e-postmeddelande från Exchange on-premises till en annan användares Exchange Online konto. Båda användarna finns i din organisation.

I det här scenariot ser du följande problem på mottagarsidan:

  • Meddelandet verkar vara externt.
  • Avsändaren matchar inte en mottagare i den globala adresslistan (GAL).

Ytterligare symptom när problemet uppstår:

  • Det finns ett utgående till Office 365TLSCertificateName-attribut i anslutningsappen Skicka som skickar meddelanden till Microsoft 365. När problemet uppstår replikeras inte attributvärdet till Edge-servrarna.

  • När du kör start-edgesynchronization kommandot från postlådeservern visas konfigurationstypenofullständig i utdata. Följande är ett exempelutdrag:

    RunspaceId: RunspaceId
Result: Incomplete
Type: Configuration
Name: userwap

  • Följande fel loggas i EdgeSync-loggarna som finns i <ExchangeInstallation>\TransportRoles\Logs\EdgeSync mappen .

    Date/Time.082Z,c76158dc155c4e2eab69305612c58890,689,,EdgeServerName.contoso.com,50636,SyncEngine,Low,Ett värde i begäran är ogiltigt. [ExDirectoryException]; Inre undantag: Ett värde i begäran är ogiltigt. [DirectoryOperationException],"Det gick inte att synkronisera posten CN=Outbound to Office 365,CN=Connections,CN=Exchange Routing Group (DWBGZMFD01QNBJR),CN=Routing Groups,CN=Exchange Administrative Group (FYDIBOHF23SPDLT),CN=Administrative Groups,CN=ExchangeOrgName,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=domain,DC=com",,,

    Om du vill aktivera EdgeSync-loggarna kör du följande kommando:

    Get-EdgeSyncServiceConfig | Set-EdgeSyncServiceConfig -LogLevel high -LogEnabled $true

Orsak

Det här problemet uppstår av följande skäl:

  • Taket är inställt på 256 för attributet ms-Exch-Smtp-TLS-Certificate som lagras i schemat för ADAM på Edge-servrarna.

  • Längden på följande sträng från certifikatet från tredje part är mer än 256 tecken:

    <I>Issuer<S>Ämnesnamn

    Kör följande kommando för att fastställa längden på strängen:

    ("<I>$((Get-SendConnector 'outbound to Office 365').tlscertificatename.certificateissuer)<S>$((Get-SendConnector 'outbound to Office 365').tlscertificatename.certificatesubject)").length

Använd en av följande metoder för att lösa problemet.

Lösning 1: Öka taket till 1024 på Edge-servern

  1. Öppna ett Windows PowerShell fönster med alternativet Kör som administratör.

  2. Installera verktygen för fjärrserveradministration genom att köra följande kommando:

    Add-WindowsFeature RSAT-ADDS

  3. Importera Active Directory-modulen genom att köra följande kommando:

    Import-Module ActiveDirectory

  4. Kontrollera cap-värdet för attributet TLSCertificateName genom att köra följande kommando:

    Get-ADObject -Filter {name -eq "ms-Exch-Smtp-TLS-Certificate"} -SearchBase ((get-ADRootDSE -Server localhost:50389).schemaNamingContext) -Server localhost:50389 -Properties * | Select-Object rangeupper

  5. Ange 1024-taket genom att köra följande kommando:

    Get-ADObject -Filter {name -eq "ms-Exch-Smtp-TLS-Certificate"} -SearchBase ((get-ADRootDSE -Server localhost:50389).schemaNamingContext) -Server localhost:50389 -Properties * | Set-ADObject -Replace @{rangeupper=1024}

  6. På hubbtransport- eller postlådeservrarna kör du följande kommando för att synkronisera ändringarna till Edge-servern:

    start-EdgeSynchronization

Lösning 2: Konfigurera Skicka anslutningsapp med FQDN

Konfigurera send-anslutningsappen så att den inte använder attributet TLSCertificateName för att ange det certifikat som ska användas under TLS-förhandlingen. Använd i stället ett FQDN för att välja lämpligt tredjepartscertifikat baserat på proceduren för val av certifikat som beskrivs i Urval av utgående anonyma TLS-certifikat.

Så här konfigurerar du anslutningsappen Skicka för att använda FQDN:

  1. Kontrollera att domännamnet som ska anges som FQDN anges som ämnesnamn eller alternativt ämnesnamn för tredjepartscertifikatet.

  2. Ange att anslutningsappen Skicka ska använda FQDN genom att köra följande kommando. Det här kommandot rensar även attributet TLSCertificateName .

    Set-SendConnector "outbound to Office 365" -Fqdn "Domain Note in step 1 of option 2" -TlsCertificateName:$null

  3. På hubbtransport- eller postlådeservrarna kör du följande kommando för att synkronisera ändringarna till Edge-servern:

    start-EdgeSynchronization

Lösning 3: Använd certifikat som inte gör att taket överskrids

Använd ett certifikat som inte gör att taket överskrids. Gör så här:

  1. Skapa ett certifikat där följande sträng från certifikatet är mindre än 256 tecken:

    <I>Issuer<S>SubjectName

  2. Importera certifikatet.

  3. Associera certifikatet med respektive tjänster.

  4. Kör guiden Hybridkonfiguration igen för att använda det nya certifikatet.