Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Исходный номер базы знаний: 4019940
Симптомы
Рассмотрим следующий сценарий:
- Вы используете мастер гибридной настройки Microsoft Exchange.
- Создаются соединители для обработки почты.
- Вы получите предупреждающее сообщение.
В этом сценарии, если игнорировать предупреждение, мастер гибридной конфигурации позволяет продолжить использование значения, полученного из локальной среды. Однако локальная среда не может отправлять сообщения от имени любого домена, который не проверен как принятый домен в клиенте Microsoft 365.
Кроме того, вы получите следующий отчет о недоставке (NDR):
Ретрансляция 550 5.7.64: Доступ запрещён ATTR36. Дополнительные сведения см. в следующем разделе:
https://support.microsoft.com/kb/3169958
Причина
Предупреждение, указанное в разделе "Симптомы", создается, если выполняется одно из следующих условий:
Сертификат, который используется в локальной среде, имеет имя субъекта (значение сертификата для имени узла), которое не соответствует любому принятому домену в клиенте Microsoft 365.
Например, субъект сертификата — <S>CN=contoso.com. Однако домен contoso.com не проверяется в клиенте Microsoft 365.
Сертификат, который используется в локальной среде, имеет имя субъекта, содержащее имя узла, которое не принадлежит немедленно принятому доменному имени, проверенному в клиенте Microsoft 365.
Например, субъект сертификата — <S>CN=hostname.contoso.com. Однако домен contoso.com не проверяется в клиенте Microsoft 365. В качестве другого примера имя субъекта сертификата — <S>CN=hostname.subdomain.contoso.com. Однако onlycontoso.com зарегистрирован в качестве принятого домена для вашего арендатора.
Резолюция
Чтобы включить локальную среду для отправки сообщений, используйте один из следующих методов:
(Предпочтительный) Добавьте домен, используемый в сертификате, в клиент Microsoft 365. Если вы владеете доменом, войдите в Microsoft 365 под учетной записью администратора, найдите Настройки>Домены, и следуйте инструкциям. Если имя субъекта сертификата hostname.subdomain.contoso.com, необходимо добавить только subdomain.contoso.com.
Переиздайте сертификат с использованием другого имени, которое соответствует принятому домену в клиенте Microsoft 365. Вы по-прежнему можете указать нужные альтернативные имена субъектов. Подстановочные сертификаты активированы, но не требуются.
Замечание
При этом необходимо установить недавно выданный сертификат на сервере Exchange Server, который используется для гибридного потока обработки почты. Возможно, вам также придется убедиться, что полное доменное имя (FQDN) задано правильно в соединителе Exchange Server.
После завершения любого варианта повторно запустите мастер гибридной конфигурации, чтобы соединитель Exchange Online можно было правильно задать.
Дополнительные сведения
Убедитесь, что сертификат клиента, предоставленный когда устанавливаете Transport Layer Security (TLS), соответствует значению параметра TlsSenderCertificateName на соединителе (для входящего трафика). Затем выполните проверку подлинности сертификата в качестве проверенного принятого домена. Этот метод можно использовать для проверки того, что сообщения, отправленные во время беседы SMTP, принадлежат клиенту Microsoft 365. Таким образом, вы можете убедиться, что сообщения существуют только у арендатора.
Дополнительные сведения см. в разделе Identifying email from your email server.
Все еще нужна помощь? Обратитесь в сообщество Майкрософт или на форумы Exchange TechNet.