Posta akışı Exchange Online ve olay kimliği 2004 karma aktarım sunucusunda günlüğe kaydedilir

Özgün KB numarası:   2888788

Sorun

Şirket içi posta ve posta sunucularının karma dağıtımında aşağıdaki belirtilerle Microsoft Exchange Server Microsoft Exchange Online Office 365:

  • Posta akışı Exchange Online akar.

  • Aşağıdaki olay, Office 365 ortamınıza bağlayıcıyı içeren şirket içi aktarım sunucusunun Uygulama günlüğüne kaydedilir:

    Olay Kimliği: 2004
    Günlük Adı: Uygulama
    Kaynak: MSExchangeTransport
    Tarih: <MM/DD/YY/YY> <Hr:Min:Sec><AM/PM>
    Olay Kimliği: 2004
    Görev Kategorisi: SmtpSend
    Düzey: Bilgi
    Anahtar Sözcükler: Klasik
    Kullanıcı: Yok
    Bilgisayar: exchange.contoso.com

    Açıklama:
    Bağlayıcıyı Giden'i Office 365: İleti teslimi başarılı olmadı. İleti kimliği olan ileti SMTP yanıtı <MessageID> 454 4.7.0 Uygun TLS kanalı oluşturulamadı: GüvenilmeyenRoot: Erişim Reddedildi.

Neden

Aşağıdaki koşulların hepsi doğruysa bu sorun oluşabilir:

  • SMTP hizmetine, Office 365 ortamınıza bağlayıcıyı içeren şirket içi aktarım sunucusunun etki alanı adıyla eşan iki sertifika atanmıştır.
  • Sertifikalardan biri Windows Live tarafından güvenilir bir sertifika yetkilisi (CA) tarafından ve diğer sertifika da güvenilmeyen bir CA (iç kök CA gibi) tarafından ve verildi.

Bu senaryoda, Exchange sunucusu kullanılabilir SMTP sertifikasını kullanarak bulut ağ geçidine bir Aktarım Katmanı Güvenliği (TLS) oturumu oluşturur. Bununla birlikte, Exchange aktarım sunucusu güvenilmeyen CA'dan gelen sertifikayı kullanarak TLS oturumu yapmaya çalıştığında, bulut ağ geçidi bağlantıyı kabul etmez.

Çözüm

Güvenilmeyen CA tarafından verilen sertifika üzerinde SMTP hizmetinin adını seçin. Bunu yapmak için şu adımları uygulayın:

  1. Atanan hizmetlerin ayrıntılarını almak. Örneğin, Yönetim Kabuğu Exchange aşağıdaki cmdlet'i çalıştırın:

    Get-ExchangeCertificate -Thumbprint <thumbprint of nontrusted CA> | fl friendlyname,services
    

    Bu örneğin çıktısı aşağıdaki gibidir:

    FriendlyName : Microsoft Exchange  
    Services : IMAP, POP, IIS, SMTP
    
  2. SMTP hizmetinin bindirin. Örneğin, Yönetim Kabuğu Exchange aşağıdaki cmdlet'i çalıştırın:

    Enable-ExchangeCertificate -Thumbprint <thumbprint of nontrusted certificate> -Services IIS, pop, imap
    
  3. Sertifikaya atanan hizmetleri kontrol edin. Örneğin, Yönetim Kabuğu Exchange aşağıdaki cmdlet'i çalıştırın:

    Get-ExchangeCertificate -Thumbprint <thumbprint of nontrusted CA> | fl friendlyname,services
    

    Bu örneğin çıktısı aşağıdaki gibidir:

    FriendlyName : Microsoft Exchange
    Services : IMAP, POP, IIS
    

Daha fazla bilgi

Güvenilen kök CA'lar hakkında daha fazla bilgi için bkz. Federasyon güvenleri için güvenilen kök sertifika yetkilileri.

Yine de yardım mı gerekiyor? Microsoft Community web sitesine gidin.