Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Исходный номер базы знаний: 2989382
Симптомы
После установки нового сертификата Exchange в гибридной среде Exchange Server возникают следующие симптомы:
Вы не можете получать почту из Интернета или от Microsoft 365 при использовании протокола TLS.
Если вы используете Telnet (например, telnet localhost 25) для проверки связи Simple Mail Transfer Protocol (SMTP), обратите внимание, что команда
STARTTLSотсутствует.Если просмотреть журнал приложений в средстве просмотра событий, появится запись события, похожая на следующее:
Имя лога: Application
Источник: MSExchangeFrontEndTransport
Дата: MM/DD/ГГГГ 0:00:00:00 AM
Идентификатор события: 12014
Категория задач: TransportService
Уровень: ошибка
Ключевые слова: классический
Пользователь: N/A
Компьютер: <HybridServerName.contoso.com>
Описание:
Microsoft Exchange не удалось найти сертификат, содержащий доменное имя <I>CN=Certificate Name, OU=<CertificateIssuer, O=Certificate Provider>, C=US<S>CN=mail.contoso.com, OU=IT, O=contoso, L=location, S=location, C=US в личном хранилище на локальном компьютере.Проверка подключения к локальному серверу завершается ошибкой, и вы получите следующее сообщение об ошибке:
Настройка сеанса прокси 450 4.4.101 завершилась сбоем на сервере Frontend с сообщением '451 4.4.0: Первичный целевой IP-адрес ответил "451 5.7.3 STARTTLS требуется для отправки почты". Попытка переключения на резервный узел не увенчалась успехом. Либо нет альтернативных узлов, либо доставка не удалась всем альтернативным узлам. Последним конечным узлом, к которому была попытка доступа, был <конечный узел>.
Причина
Эта проблема возникает, если свойство TlsCertificateName соединителя получения гибридного сервера содержит неверные сведения о сертификате после установки нового сертификата Exchange и удаления старого сертификата, используемого для гибридной передачи почты.
Свойство TlsCertificateName задано правильно при запуске мастера гибридной конфигурации (HCW) после установки нового сертификата Exchange.
Однако если HCW не запускается или при его запуске происходит сбой по какой-либо причине, свойство TlsCertificateName не обновляется, и новый сертификат Exchange не используется разъемом приема гибридного сервера.
В этом сценарии команда STARTTLS отсутствует в SMTP-связи, и почтовый поток от Microsoft 365 завершается ошибкой.
Резолюция
Убедитесь, что новый сертификат включен для SMTP. Если это не так, выполните следующую команду, чтобы включить службу SMTP в только что установленном сертификате.
Enable-ExchangeCertificate <thumbprint> -services SMTP
Замечание
Выберите "Нет" , когда вам будет предложено перезаписать сертификат по умолчанию. В противном случае edgeSync прерывает работу и должна быть повторно создана. Затем удалите свойство TlsCertificateName из соединителя приема на гибридном сервере. Для этого выполните следующую команду:
Get-ReceiveConnector "ServerName\Default Frontend ReceiveConnector" | Set-ReceiveConnector -TlsCertificateName $null
Повторно запустите мастер гибридной конфигурации, чтобы обновить соединитель получения на гибридном сервере, который содержит только что установленные сведения о сертификате.
Дополнительные сведения
Дополнительные сведения см. в разделе "Требования к сертификатам для гибридных развертываний".
Все еще нужна помощь? Обратитесь в сообщество Майкрософт или на форумы Exchange TechNet.