Sie erhalten beim Ausführen des Hybridkonfigurations-Assistenten eine Warnung zu möglichen NDR-Nachrichten von E-Mail-Nachrichten.
Ursprüngliche KB-Nummer: 4019940
Problembeschreibung
Stellen Sie sich folgendes Szenario vor:
- Sie führen den Microsoft Exchange-Hybridkonfigurations-Assistenten aus.
- Nachrichtenflussconnectors werden erstellt.
- Sie erhalten eine Warnmeldung.
Wenn Sie in diesem Szenario die Warnung ignorieren, können Sie mit dem Hybridkonfigurations-Assistenten den Von lokal abgerufenen Wert verwenden. Ihre lokale Umgebung kann jedoch keine Nachrichten im Namen einer Domäne senden, die nicht als akzeptierte Domäne in Ihrem Microsoft 365-Mandanten überprüft wurde.
Außerdem erhalten Sie den folgenden Non-Delivery Report (NDR):
550 5.7.64 Relay-Zugriff verweigert ATTR36. Weitere Informationen finden Sie unter:
https://support.microsoft.com/kb/3169958
Ursache
Die im Abschnitt Symptome erwähnte Warnmeldung wird generiert, wenn eine der folgenden Bedingungen zutrifft:
Das zertifikat, das Sie lokal verwenden, hat einen Antragstellernamen (den Zertifikatwert für Hostname), der keiner akzeptierten Domäne in Ihrem Microsoft 365-Mandanten entspricht.
Der Zertifikatantragsteller ist <z. B. S>CN=contoso.com. Die contoso.com Domäne wird in Ihrem Microsoft 365-Mandanten jedoch nicht überprüft.
Das zertifikat, das Sie lokal verwenden, hat einen Antragstellernamen, der einen Hostnamen enthält, der nicht zu einem sofort akzeptierten Domänennamen gehört, der in Ihrem Microsoft 365-Mandanten überprüft wird.
Der Zertifikatantragsteller ist <z. B. S>CN=hostname.contoso.com. Die contoso.com Domäne wird in Ihrem Microsoft 365-Mandanten jedoch nicht überprüft. Ein weiteres Beispiel ist <der Name des Zertifikatantragstellers S>CN=hostname.subdomain.contoso.com. Allerdings ist onlycontoso.com als akzeptierte Domäne für Ihren Mandanten registriert.
Lösung
Verwenden Sie eine der folgenden Methoden, damit Ihre lokale Umgebung Nachrichten senden kann:
(Bevorzugt) Fügen Sie die Domäne, die für das Zertifikat verwendet wird, dem Microsoft 365-Mandanten hinzu. Wenn Sie besitzer der Domäne sind, melden Sie sich mit Administratorberechtigungen bei Microsoft 365 an, suchen Sie nach Einstellungen>Domänen, und befolgen Sie dann die Anweisungen. Wenn der Name des Zertifikatantragstellers hostname.subdomain.contoso.com ist, müssen Sie nur subdomain.contoso.com hinzufügen.
Lassen Sie das Zertifikat erneut ausstellen, indem Sie einen anderen Namen verwenden, der mit einer akzeptierten Domäne im Microsoft 365-Mandanten übereinstimmt. Sie können weiterhin beliebige alternative Antragstellernamen angeben. Wildcardzertifikate sind zwar aktiviert, aber nicht erforderlich.
Hinweis
In diesem Fall müssen Sie das neu ausgestellte Zertifikat auf dem Exchange Server installieren, der für den Hybrid-E-Mail-Fluss verwendet wird. Möglicherweise müssen Sie auch sicherstellen, dass der vollqualifizierte Domänenname (FQDN) auf dem Exchange Server Connector richtig festgelegt ist.
Nachdem Sie beide Optionen abgeschlossen haben, führen Sie den Hybridkonfigurations-Assistenten erneut aus, damit der Exchange Online Connector ordnungsgemäß festgelegt werden kann.
Weitere Informationen
Stellen Sie sicher, dass das Clientzertifikat, das beim Einrichten von Transport Layer Security (TLS) bereitgestellt wird, mit dem Wert des TlsSenderCertificateName
Parameters für den (eingehenden) Connector übereinstimmt. Authentifizieren Sie dann das Zertifikat als überprüfte akzeptierte Domäne. Sie können diese Methode verwenden, um zu überprüfen, ob Nachrichten, die während einer SMTP-Konversation gesendet werden, zu Ihrem Microsoft 365-Mandanten gehören. Auf diese Weise können Sie überprüfen, ob die Nachrichten nur auf dem Mandanten vorhanden sind.
Weitere Informationen finden Sie unter Identifying email from your email server.
Benötigen Sie weitere Hilfe? Besuchen Sie die Microsoft Community oder die Exchange-TechNet-Foren.