Не удается получить почту в гибридной среде после установки нового сертификата на сервере
Исходный номер базы знаний: 2989382
Симптомы
После установки нового сертификата Exchange в гибридной среде Exchange Server возникают следующие симптомы:
Вы не можете получать почту из Интернета или Microsoft 365 при использовании TLS.
Если вы используете Telnet (например, telnet localhost 25) для проверки сообщений SMTP, вы заметите, что
STARTTLSкоманда отсутствует.При проверке журнала приложений в Просмотр событий вы увидите запись события, которая выглядит следующим образом:
Имя журнала: Приложение
Источник: MSExchangeFrontEndTransport
Дата: ММ/ДД/ГГГГ 0:00:00
Идентификатор события: 12014
Категория задачи: TransportService
Уровень: ошибка
Ключевые слова: классический
Пользователь: Н/Д
Компьютер: <HybridServerName.contoso.com>
Описание:
Microsoft Exchange не удалось найти сертификат, содержащий доменное имя <I>CN=Certificate Name, OU=<CertificateIssuer>, O=Certificate Provider, C=US<S>CN=mail.contoso.com, OU=IT, O=contoso, L=location, S=location, C=US в личном хранилище на локальном компьютере.Проверка подключения проверка к локальному серверу завершается сбоем, и появляется следующее сообщение об ошибке:
450 4.4.101 Настройка сеанса прокси-сервера на интерфейсе завершилась сбоем: "451 4.4.0 Основной целевой IP-адрес ответил: "451 5.7.3 требуется STARTTLS для отправки почты". Предпринята попытка отработки отказа на альтернативный узел, но это не удалось. Либо нет альтернативных узлов, либо не удалось выполнить доставку для всех альтернативных узлов. Последней попыткой была <конечная точка>.
Причина
Эта проблема возникает, если TlsCertificateName свойство соединителя получения гибридного сервера содержит неверные сведения о сертификате после установки нового сертификата Exchange и удаления старого сертификата, используемого для гибридного потока обработки почты.
Свойство TlsCertificateName задается правильно при запуске мастера гибридной конфигурации (HCW) после установки нового сертификата Exchange.
Однако если HCW не выполняется или если при запуске HCW возникает сбой по какой-либо другой причине, TlsCertificateName свойство не обновляется, а новый сертификат Exchange не используется соединителем получения гибридного сервера.
В этом сценарии STARTTLS команда отсутствует в обмене данными SMTP, и поток обработки почты из Microsoft 365 завершается сбоем.
Разрешение
Убедитесь, что новый сертификат включен для SMTP. Если это не так, выполните следующую команду, чтобы включить службу SMTP для только что установленного сертификата.
Enable-ExchangeCertificate <thumbprint> -services SMTP
Примечание.
Выберите Нет , когда появится запрос на перезапись сертификата по умолчанию. В противном случае EdgeSync прерывается и должен быть создан повторно. Затем удалите TlsCertificateName свойство из соединителя получения на гибридном сервере. Для этого выполните следующую команду.
Get-ReceiveConnector "ServerName\Default Frontend ReceiveConnector" | Set-ReceiveConnector -TlsCertificateName $null
Повторно запустите мастер гибридной конфигурации, чтобы обновить соединитель получения на гибридном сервере с только что установленными сведениями о сертификате.
Дополнительная информация
Дополнительные сведения см. в разделе Требования к сертификатам для гибридных развертываний.
Требуется дополнительная помощь? Обратитесь в сообщество Майкрософт или на форумы Exchange TechNet.