Accedi a Microsoft
Accedi o crea un account.
Salve,
Select a different account.
Hai più account
Scegli l'account con cui vuoi accedere.

Sintomi

Messaggi di posta elettronica inviati a domini esterni viene accodata nel locale di Exchange Server (2016 o 2013). Quando si controlla lo stato, viene visualizzato il seguente messaggio di errore:

421 4.4.1 timeout connessione." Tentativo di failover per host alternativo, ma che non è riuscita. Non sono nessun host alternativo o recapito non riuscito a tutti gli host alternativo.

Inoltre, la seguente voce di errore nei registri del connettore di invio indica che la negoziazione di protezione TLS (Transport Layer) non riuscita:

Negoziazione TLS non riuscita con errore NoCredentials

Causa

Questo problema si verifica se sono vere le seguenti condizioni:

  • Manca una chiave privata del certificato utilizzato per TLS in uscita.

  • Inserire l'attributo TLSCertificateName utilizzando le stringhe dell'emittente e SubjectName del certificato. Inoltre, l'attributo < i > stringa emittente < S > stringa SubjectName viene utilizzato per TLS in uscita all'interno del connettore di invio per inviare messaggi di posta elettronica a domini esterni.

Risoluzione

Per risolvere il problema, attenersi alla seguente procedura:

  1. Abilitare la registrazione sul connettore di invio di fiducia per l'invio di messaggi di posta elettronica. A tale scopo, eseguire il seguente cmdlet PowerShell come amministratore: Set-SendConnector "NameOfTheSendCconnector" -ProtocolLoggingLevel Verbose

  2. Esaminare i registri di connettore di invio per identificare il certificato utilizzato durante TLS in uscita. Ad esempio, la voce di registro potrebbe simile al seguente: Date/Time.ConnectorId,Outbound to Office 365,SessionId,16,192.168.0.78:28252,172.16.38.36:25,*,,Sending certificate Date/Time.ConnectorId,Outbound to Office 365,SessionId,17,192.168.0.78:28252,172.16.38.36:25,*,CN=*.xxx.xxx.xxx,Certificate subject Date/Time.ConnectorId,Outbound to Office 365,SessionId,18,192.168.0.78:28252,172.16.38.36:25,*,"CN=xxxxxx, OU=xxxxxx, O=xxxx, L=xxxx, S=xxxxx, C=xx",Certificate issuer name Date/Time.ConnectorId,Outbound to Office 365,SessionId,19,192.168.0.78:28252,172.16.38.36:25,*,xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx,Certificate serial number Date/Time.ConnectorId,Outbound to Office 365,SessionId,20,192.168.0.78:28252,172.16.38.36:25,*,xxxxxxxxxxxxxxxxxxxxxxxxxxxx,Certificate thumbprint Date/Time.ConnectorId,Outbound to Office 365,SessionId,21,192.168.0.78:28252,172.16.38.36:25,*,*.xxxx.xxx.xx alternate names Date/Time.ConnectorId,Outbound to Office 365,SessionId,22,192.168.0.78:28252,172.167.38.36:25,*,,TLS negotiation failed with error NoCredentials

  3. Controllare lo stato della proprietà PrivateKey per il certificato che viene identificato nel passaggio 2. A tale scopo, eseguire il seguente cmdlet: Get-ChildItem -Path Cert:\LocalMachine\My | where {$_.Thumbprint -like 'Certificate thumbprint identified in step 2'} | Select-Object -Property thumbprint,hasprivatekey

  4. Rimuovere il certificato che viene identificato nel passaggio 2 eseguendo il seguente cmdlet: Get-ChildItem -Path Cert:\LocalMachine\My | where {$_.Thumbprint -like 'Certificate thumbprint identified in step 2'} | remove-itemNota: Prima di rimuovere il certificato che viene identificato nel passaggio 2, assicurarsi che non vi sia alcuna dipendenza del certificato in qualsiasi altra applicazione in esecuzione sul server che in esecuzione Microsoft Exchange Server. Se esiste una dipendenza, apportare le modifiche necessarie nell'applicazione in modo che l'applicazione viene avviata utilizzando il certificato menzionato nel passaggio 5.

  5. Importare un certificato valido di terze parti tramite il processo di importazione normali e quindi verificare lo stato del certificato da Exchange Management Shell eseguendo il cmdlet seguente. Get-ExchangeCertificate | where {$_.rootca -eq 'third-party certificate'}Nota: Exchange Management Shell sono sempre elencati i certificati che dispongono di una chiave privata valida.

  6. Attivare il servizio SMTP sul certificato appena importato terze eseguendo il seguente cmdlet: Enable-Exchangecertificate -thumbprint "Thumbprint of the new certificate" -services SMTPNota: Quando viene chiesto di sostituire il certificato esistente utilizzando un nuovo certificato, digitare No.

  7. Se è già stato importato il certificato di terze parti, Exchange Server viene avviato utilizzando il nuovo certificato di terze parti.

  8. Eseguire il seguente cmdlet per eseguire un nuovo tentativo contro i messaggi nella coda. Get-queue -resultsize unlimited | where {$_.status -eq 'retry'} | retry-queue

Serve aiuto?

Amplia le tue competenze
Esplora i corsi di formazione
Ottieni in anticipo le nuove caratteristiche
Partecipa a Microsoft Insider

Queste informazioni sono risultate utili?

Come valuti la qualità della lingua?
Cosa ha influito sulla tua esperienza?

Grazie per il feedback!

×