Nach der Installation eines neuen Zertifikats auf dem Server können keine E-Mails in einer Hybridumgebung empfangen werden
Ursprüngliche KB-Nummer: 2989382
Symptome
Nachdem Sie ein neues Exchange-Zertifikat in einer Exchange Server Hybridumgebung installiert haben, treten die folgenden Symptome auf:
Sie können keine E-Mails aus dem Internet oder von Microsoft 365 empfangen, wenn Sie Transport Layer Security (TLS) verwenden.
Wenn Sie Telnet (z. B. telnet localhost 25) verwenden, um die SMTP-Kommunikation (Simple Mail Transfer Protocol) zu untersuchen, sehen Sie, dass der
STARTTLS
Befehl fehlt.Wenn Sie das Anwendungsprotokoll in Ereignisanzeige untersuchen, wird ein Ereigniseintrag angezeigt, der dem folgenden ähnelt:
Protokollname: Anwendung
Quelle: MSExchangeFrontEndTransport
Datum: MM/TT/JJJJ 0:00:00 AM
Ereignis-ID: 12014
Aufgabenkategorie: TransportService
Ebene: Fehler
Schlüsselwörter: Klassisch
Benutzer: Nicht zutreffend
Computer: <HybridServerName.contoso.com>
Beschreibung:
Microsoft Exchange konnte kein Zertifikat finden, das den Domänennamen <I>CN=Certificate Name, OU=<CertificateIssuer>, O=Certificate Provider, C=US<S>CN=mail.contoso.com
, OU=IT, O=contoso, L=location, S=location, C=US im persönlichen Speicher auf dem lokalen Computer enthält.Der Test zur Überprüfung der Konnektivität mit dem lokalen Server schlägt fehl, und Sie erhalten die folgende Fehlermeldung:
450 4.4.101 Fehler beim Einrichten der Proxysitzung im Front-End. '451 4.4.0 Die primäre Ziel-IP-Adresse hat mit "451 5.7.3 STARTTLS is required to send mail" (451 5.7.3 STARTTLS ist zum Senden von E-Mails erforderlich) geantwortet. Es wurde versucht, ein Failover auf einen alternativen Host durchzuführen, aber dies war nicht erfolgreich. Entweder gibt es keine alternativen Hosts, oder die Übermittlung an alle alternativen Hosts ist fehlgeschlagen. Der letzte versuchte Endpunkt war <endpunkt>".
Ursache
Dieses Problem tritt auf, wenn die TlsCertificateName
-Eigenschaft des Empfangsconnectors des Hybridservers falsche Zertifikatinformationen enthält, nachdem ein neues Exchange-Zertifikat installiert wurde und das alte Zertifikat, das für den Hybrid-E-Mail-Fluss verwendet wird, entfernt wird.
Die TlsCertificateName
Eigenschaft wird ordnungsgemäß festgelegt, wenn der Hybridkonfigurations-Assistent (HCW) ausgeführt wird, nachdem ein neues Exchange-Zertifikat installiert wurde.
Wenn das HCW jedoch nicht ausgeführt wird oder wenn beim Ausführen des HCW aus einem anderen Grund ein Fehler auftritt, wird die TlsCertificateName
Eigenschaft nicht aktualisiert, und das neue Exchange-Zertifikat wird nicht vom Empfangsconnector des Hybridservers verwendet.
In diesem Szenario ist der Befehl in der STARTTLS
SMTP-Kommunikation nicht vorhanden, und der Nachrichtenfluss von Microsoft 365 schlägt fehl.
Lösung
Stellen Sie sicher, dass das neue Zertifikat für SMTP aktiviert ist. Wenn dies nicht der Fall ist, führen Sie den folgenden Befehl aus, um den SMTP-Dienst für das neu installierte Zertifikat zu aktivieren.
Enable-ExchangeCertificate <thumbprint> -services SMTP
Hinweis
Wählen Sie Nein aus, wenn Sie aufgefordert werden, das Standardzertifikat zu überschreiben. Andernfalls unterbricht EdgeSync und muss neu erstellt werden. Entfernen Sie dann die TlsCertificateName
-Eigenschaft aus dem Empfangsconnector auf dem Hybridserver. Führen Sie dazu den folgenden Befehl aus:
Get-ReceiveConnector "ServerName\Default Frontend ReceiveConnector" | Set-ReceiveConnector -TlsCertificateName $null
Führen Sie den Hybridkonfigurations-Assistenten erneut aus, um den Empfangsconnector auf dem Hybridserver zu aktualisieren, der über die neu installierten Zertifikatinformationen verfügt.
Weitere Informationen
Weitere Informationen finden Sie unter Zertifikatanforderungen für Hybridbereitstellungen.
Benötigen Sie weitere Hilfe? Besuchen Sie die Microsoft Community oder die Exchange-TechNet-Foren.