"550 5.7.64 TenantAttribution" podczas wysyłania poczty zewnętrznej na platformie Microsoft 365

• Dotyczy:

  Exchange Online

Symptomy

Gdy użytkownicy wysyłają pocztę (przekazywaną za pośrednictwem platformy Microsoft 365) na zewnątrz, otrzymują następujący komunikat o błędzie:

550 5.7.64 TenantAttribution; Odmowa dostępu do przekaźnika SMTP.

Przyczyna

Ten problem jest spowodowany jedną z następujących przyczyn:

• W usłudze Microsoft 365 używasz łącznika przychodzącego skonfigurowanego do używania certyfikatu lokalnego do weryfikowania tożsamości serwera przesyłania. (Jest to zalecana metoda. Alternatywą jest adres IP). Jednak lokalny certyfikat nie jest już zgodny z certyfikatem określonym w usłudze Microsoft 365. Może to być spowodowane lokalną zmianą konfiguracji lub nowym/odnowionym certyfikatem, który używa innej nazwy.
• Adres IP skonfigurowany w łączniku platformy Microsoft 365 nie jest już zgodny z adresem IP używanym przez serwer przesyłania.

Rozwiązanie

Aby zidentyfikować serwer przesyłania i przekaźnik autoryzacji, musi istnieć łącznik skonfigurowany poprawnie w usłudze Microsoft 365, a łącznik musi być zgodny z serwerem przesyłania.

Opcja 1. Uruchom ponownie HCW, aby zaktualizować łącznik przychodzący (zalecany dla klientów hybrydowych)

Uruchom ponownie Kreatora konfiguracji hybrydowej (HCW), aby zaktualizować łącznik ruchu przychodzącego w Exchange Online. Należy pamiętać, że po zakończeniu pracy Kreatora może być konieczne ręczne dostosowanie konfiguracji hybrydowej (co jest nietypowe). Aby uzyskać informacje o wartościach certyfikatu nadawcy protokołu TLS i wprowadzonych zmianach, zobacz dzienniki HCW. Aby uzyskać więcej informacji, zobacz Kreator konfiguracji hybrydowej.

1. Pobierz i uruchom Kreatora konfiguracji hybrydowej z centrum administracyjnego Exchange Online.
2. Upewnij się, że nowy certyfikat został wybrany na stronie certyfikatu transportu.

Po pomyślnym zakończeniu działania Kreatora wartość TLSSenderCertificate nazwy powinna być zgodna z certyfikatem używanym przez serwer lokalny. Wprowadzenie zmian może zająć trochę czasu.

Opcja 2. Zmiana łącznika ruchu przychodzącego bez uruchamiania programu HCW

Upewnij się, że nowy certyfikat jest wysyłany z lokalnego programu Exchange do Exchange Online Protection (EOP), gdy użytkownicy wysyłają pocztę zewnętrzną. Jeśli nowy certyfikat nie jest wysyłany z lokalnego programu Exchange do EOP, może wystąpić problem z konfiguracją certyfikatu lokalnie. Potwierdź problem, włączając rejestrowanie łącznika wysyłania używanego do routingu poczty na platformę Microsoft 365 i sprawdzanie tych dzienników. Aby znaleźć lokalizację dzienników wysyłania łączników, uruchom następujące polecenie cmdlet względem serwerów źródłowych wymienionych w tym łączniku wysyłania. (W tym miejscu zakładamy, że nazwa łącznika wysyłania używana do przekazywania do domen zewnętrznych za pośrednictwem EOP to "wychodzące do platformy Microsoft 365").

Dla programu Exchange 2010

(Get-SendConnector "outbound to Microsoft 365").SourceTransportServers | foreach {get-transportserver $_.name} | Select-Object name,SendProtocolLogPath

W przypadku programu Exchange 2013 i nowszych wersji

(Get-SendConnector "outbound to Microsoft 365").SourceTransportServers | foreach {get-transportservice $_.name} | Select-Object name,SendProtocolLogPath

1. W dzienniku wysyłania łącznika możesz sprawdzić odcisk palca certyfikatu, który jest przyznawany Exchange Online. Poniżej przedstawiono przykład kodu z dzienników wysyłania łączników.

   Date/Time,Outbound to Microsoft 365,SessionID,SequenceNumber,LocalEndpoint,RemoteEndpoint,<,220 2.0.0 SMTP server ready, Date/Time,Outbound to Microsoft 365,SessionID,SequenceNumber,LocalEndpoint,RemoteEndpoint,*,,Sending certificate Date/Time,Outbound to Microsoft 365,SessionID,SequenceNumber,LocalEndpoint,RemoteEndpoint,*,CN=*.contoso.com,Certificate subject Date/Time,Outbound to Microsoft 365,SessionID,SequenceNumber,LocalEndpoint,RemoteEndpoint,*,"CN=CommonName, OU= OrganizationalUnit, O=OrganizationName, L=Location, S=State, C=Country",Certificate issuer name Date/Time,Outbound to Microsoft 365,SessionID,SequenceNumber,LocalEndpoint,RemoteEndpoint,*,CertificateSerialNumber,Certificate serial number Date/Time,Outbound to Microsoft 365,SessionID,SequenceNumber,LocalEndpoint,RemoteEndpoint,*,CertificateThumbprintNumber,Certificate thumbprint
   

2. W tym momencie możesz zlokalizować pasujący łącznik przychodzący w usłudze Microsoft 365 i sprawdzić, czy wartość certyfikatu jest zgodna. W tym przykładzie TlsSenderCertificateName wartość musi być ustawiona na *.contoso.com.

   Uwaga

   Aby przekazywać komunikaty za pośrednictwem platformy Microsoft 365, domenę nadawcy lub domenę contoso.com należy zweryfikować w dzierżawie platformy Microsoft 365. W przeciwnym razie może zostać wyświetlony błąd podobny do opisany w temacie Objawy, ale także jawny błąd ATT36. (Aby uzyskać informacje o błędzie ATT36, zobacz Konfigurowanie łącznika opartego na certyfikatach w celu przekazywania wiadomości e-mail za pośrednictwem platformy Microsoft 365).

Więcej informacji

Nadal potrzebujesz pomocy? Przejdź do witryny Microsoft Community lub forów Exchange TechNet.