Exchange Online 'a posta akışı ve Karma Aktarım sunucusuna 2004 olay KIMLIĞI

Özgün KB numarası:   2888788

Sorun

Office 365 ' te şirket içi Microsoft Exchange Server ve Microsoft Exchange Online 'ın karma dağıtımında aşağıdaki belirtilerle karşılaşırsınız:

  • Exchange Online 'a posta akışı durur.

  • Aşağıdaki olay, Office 365 ortamınıza bağlayıcıyı içeren şirket içi aktarım sunucusunun uygulama günlüğüne kaydedilir:

    Olay KIMLIĞI: 2004
    Günlük adı: uygulama
    Kaynak: MSExchangeTransport
    Tarih: <MM/DD/YY/YY> <Hr:Min:Sec><AM/PM>
    Olay KIMLIĞI: 2004
    Görev kategorisi: Smtpgönder
    Düzey: bilgi
    Anahtar sözcükler: klasik
    Kullanıcı: yok
    Bilgisayar: exchange.contoso.com

    Tanım
    Office 365 'e giden bağlayıcı gönderme: Ileti teslimi başarısız oldu. İleti KIMLIĞI içeren ileti, <MessageID> SMTP yanıtıyla alındı: 454 4.7.0 uygun TLS kanalı kurulamadı: UntrustedRoot: erişim reddedildi.

Neden

Bu sorun, aşağıdaki koşulların tümü doğru olduğunda oluşabilir:

  • SMTP hizmetine, Office 365 ortamınıza bağlayıcıyı içeren şirket içi aktarım sunucusunun etki alanı adıyla eşleşen iki sertifika atanmıştır.
  • Sertifikalardan biri Windows Live tarafından güvenilen bir sertifika yetkilisi (CA) tarafından verildiyse, diğer sertifika güvenilir olmayan bir CA (dahili kök CA gibi) tarafından verilmiştir.

Bu senaryoda, Exchange aktarma sunucusu, kullanılabilir SMTP sertifikasını kullanarak bulut ağ geçidine bir Aktarım Katmanı Güvenliği (TLS) oturumu oluşturur. Bununla birlikte, Exchange aktarma sunucusu güvenilmeyen CA 'dan gelen sertifikayı kullanarak bir TLS oturumu kurmaya çalıştığında, bulut ağ geçidi bağlantıyı kabul etmez.

Çözüm

Güvenilmeyen CA tarafından verilen sertifikadaki SMTP hizmetinin bağlantısını kesin. Bunu yapmak için şu adımları uygulayın:

  1. Atanmış hizmetlerin ayrıntılarını edinin. Örneğin, Exchange Yönetim Kabuğu 'nda aşağıdaki cmdlet 'i çalıştırın:

    Get-ExchangeCertificate -Thumbprint <thumbprint of nontrusted CA> | fl friendlyname,services
    

    Bu örneğin çıktısı aşağıdaki gibidir:

    FriendlyName : Microsoft Exchange  
    Services : IMAP, POP, IIS, SMTP
    
  2. SMTP hizmetinin bağlantısını kesin. Örneğin, Exchange Yönetim Kabuğu 'nda aşağıdaki cmdlet 'i çalıştırın:

    Enable-ExchangeCertificate -Thumbprint <thumbprint of nontrusted certificate> -Services IIS, pop, imap
    
  3. Sertifikaya atanan hizmetleri denetleyin. Örneğin, Exchange Yönetim Kabuğu 'nda aşağıdaki cmdlet 'i çalıştırın:

    Get-ExchangeCertificate -Thumbprint <thumbprint of nontrusted CA> | fl friendlyname,services
    

    Bu örneğin çıktısı aşağıdaki gibidir:

    FriendlyName : Microsoft Exchange
    Services : IMAP, POP, IIS
    

Daha fazla bilgi

Güvenilir kök CA 'Lar hakkında daha fazla bilgi için, Federasyon güvenleri Için güvenilen kök sertifika yetkililerinebakın.

Yine de yardım mı gerekiyor? Microsoft Community web sitesine gidin.