Exchange Online停止し、イベント ID 2004 へのメール フローがハイブリッド トランスポート サーバーに記録される

元の KB 番号: 2888788

問題

Microsoft 365 でのオンプレミスのMicrosoft Exchange ServerとMicrosoft Exchange Onlineのハイブリッド展開では、次のような現象が発生します。

• Exchange Onlineへのメール フローが停止します。

• 次のイベントは、Microsoft 365 環境へのコネクタを含むオンプレミス トランスポート サーバーのアプリケーション ログに記録されます。

  イベント ID: 2004
  ログ名: アプリケーション
  ソース: MSExchangeTransport
  日付: <MM/DD/YY/YY><Hr:Min:Sec><AM/PM>
  イベント ID: 2004
  タスク カテゴリ: SmtpSend
  レベル: 情報
  キーワード: クラシック
  ユーザー: N/A
  コンピューター: exchange.contoso.com

  説明:
  Office 365にコネクタ送信を送信する: メッセージの配信が成功しなかった。 メッセージ ID <MessageID> を持つメッセージが SMTP 応答 454 4.7.0 で確認されました。適切な TLS チャネルの確立に失敗しました: UntrustedRoot: Access Denied。

原因

この問題は、次のすべての条件に該当する場合に発生する可能性があります。

• SMTP サービスには、Microsoft 365 環境へのコネクタを含むオンプレミス トランスポート サーバーのドメイン名と一致する 2 つの証明書が割り当てられました。
• 証明書の 1 つは Windows Live によって信頼されている証明機関 (CA) によって発行され、もう 1 つの証明書は信頼されていない CA (内部ルート CA など) によって発行されました。

このシナリオでは、Exchange トランスポート サーバーは、使用可能な SMTP 証明書を使用して、クラウド ゲートウェイへのトランスポート層セキュリティ (TLS) セッションを確立します。 ただし、Exchange トランスポート サーバーが信頼されていない CA の証明書を使用して TLS セッションを確立しようとすると、クラウド ゲートウェイは接続を受け入れません。

ソリューション

信頼されていない CA によって発行された証明書の SMTP サービスのバインドを解除します。 これを行うには、次の手順を実行します。

1. 割り当てられたサービスの詳細を取得します。 たとえば、Exchange 管理シェルで次のコマンドレットを実行します。

   Get-ExchangeCertificate -Thumbprint <thumbprint of nontrusted CA> | fl friendlyname,services
   

   この例の出力は次のとおりです。

   FriendlyName : Microsoft Exchange  
   Services : IMAP, POP, IIS, SMTP
   

2. SMTP サービスのバインドを解除します。 たとえば、Exchange 管理シェルで次のコマンドレットを実行します。

   Enable-ExchangeCertificate -Thumbprint <thumbprint of nontrusted certificate> -Services IIS, pop, imap
   

3. 証明書に割り当てられているサービスを確認します。 たとえば、Exchange 管理シェルで次のコマンドレットを実行します。

   Get-ExchangeCertificate -Thumbprint <thumbprint of nontrusted CA> | fl friendlyname,services
   

   この例の出力は次のとおりです。

   FriendlyName : Microsoft Exchange
   Services : IMAP, POP, IIS
   

詳細

信頼されたルート CA の詳細については、「フェデレーション信頼 の信頼されたルート証明機関」を参照してください。

さらにヘルプが必要ですか? Microsoft コミュニティを参照してください。