在服务器上安装新证书后,无法在混合环境中接收邮件

  • 项目
  • 适用于:
    Exchange Online, Exchange Server 2016 Enterprise Edition, Exchange Server 2016 Standard Edition, Exchange Server 2013 Enterprise, Exchange Server 2013 Standard Edition

原始 KB 编号: 2989382

症状

在Exchange Server混合环境中安装新的 Exchange 证书后,会遇到以下症状:

  • 使用传输层安全性 (TLS) 时,无法从 Internet 或 Microsoft 365 接收邮件。

  • 例如,如果使用 Telnet (telnet localhost 25) 来检查简单邮件传输协议 (SMTP) 通信,则会发现 STARTTLS 命令缺失。

  • 如果在 事件查看器 中检查应用程序日志,会看到类似于以下内容的事件条目:

    日志名称:应用程序
    源:MSExchangeFrontEndTransport
    日期:MM/DD/YYYY 0:00:00 AM
    事件 ID:12014
    任务类别:TransportService
    级别:错误
    关键字:经典
    用户:不适用
    计算机:<HybridServerName.contoso.com>
    说明:
    Microsoft Exchange 在本地计算机上的个人存储中找不到包含域名 <I>CN=Certificate Name、OU=<CertificateIssuer>、O=Certificate Provider、C=US<S>CN=mail.contoso.com、OU=IT、O=contoso、L=location、S=location、C=US 的证书。

  • 与本地服务器的检查连接测试失败,并收到以下错误消息:

    450 4.4.101 代理会话设置在前端失败,“451 4.4.0 主要目标 IP 地址响应,”需要 451 5.7.3 STARTTLS 才能发送邮件”。尝试故障转移到备用主机,但未成功。 没有备用主机,或者无法传递到所有备用主机。 最后一次尝试的终结点是 <endpoint>'。

原因

如果在 TlsCertificateName 安装新的 Exchange 证书并删除用于混合邮件流的旧证书后,混合服务器的接收连接器属性包含不正确的证书信息,则会出现此问题。

TlsCertificateName安装新的 Exchange 证书后,当混合配置向导 (HCW) 运行时,属性设置正确。

但是,如果 HCW 未运行,或者运行 HCW 时由于任何其他原因而失败, TlsCertificateName 则不会更新 属性,并且混合服务器的接收连接器不使用新的 Exchange 证书。

在这种情况下, STARTTLS SMTP 通信中不存在 命令,并且来自 Microsoft 365 的邮件流失败。

解决方案

确保为 SMTP 启用了新证书。 如果不是,请运行以下命令,在新安装的证书上启用 SMTP 服务。

Enable-ExchangeCertificate <thumbprint> -services SMTP

注意

当系统提示覆盖默认证书) 时,选择“ ”。 否则,EdgeSync 会中断,必须重新创建。 然后,从混合服务器上的接收连接器中删除 TlsCertificateName 属性。 为此,请运行下列命令:

Get-ReceiveConnector "ServerName\Default Frontend ReceiveConnector" | Set-ReceiveConnector -TlsCertificateName $null

重新运行混合配置向导以更新具有新安装的证书信息的混合服务器上的接收连接器。

更多信息

有关详细信息,请参阅 混合部署的证书要求

仍然需要帮助? 转到 Microsoft 社区Exchange TechNet 论坛