Поток почты от внешнего к локальному Exchange через Hybrid O365, ожидающий обработки
Бьюсь головой об стену на этом.
Использовал мастер гибридной конфигурации, чтобы настроить гибридную установку 2010-O365 сегодня, но получал почту в течение нескольких часов, пытаясь выяснить, в чем заключается задержка.
Ошибка для всех из них:
Reason: [{LED=450 4.7.320 Certificate validation failed [Message=SubjectMismatch] [LastAttemptedServerName=mail.<companyname>.com] [LastAttemptedIP=40.97.231.242:25] [BN3NAM04FT016.eop-NAM04.prod.protection.outlook.com]};{MSG=SubjectMismatch};{FQDN=mail.<companyname>.com};{IP=40.97.231.242};{LRT=1/27/2019 6:51:39 AM}]. OutboundProxyTargetIP: 40.97.231.242. OutboundProxyTargetHostName: mail.<companyname>.com
Я имею:
Enable-ExchangeCertificate -thumbprint <hash> -services:SMTPна сервере Exchange, а затем перезапустил транспортный концентратор (не использовать get-receiveconnector, поскольку версия этого командлета Exchange 2010 не имеет свойства с именем -TlsCertificateName; только 2013+)- Попытка выключения "Всегда использовать безопасность транспортного уровня (TLS) для защиты соединения (рекомендуется)" (и соответствующий параметр на соединителе приема на стороне Exchange 2010)
- Пробовал "Любой цифровой сертификат, включая самозаверяющие сертификаты" вместо "Выданный доверенным центром сертификации (CA): mail.
.com"" (и соответствующим параметром на соединителе получения на стороне Exchange 2010). - Попробовал включить "Включить безопасность домена (взаимная аутентификация)"
Что является и не работает с точки зрения потока почты:
Mail to O365 mailbox from external - Working
Mail from O365 mailbox to external - Working
Mail to on-prem mailbox from O365 mailbox - NOT
Mail from on-prem mailbox to O365 mailbox - Working
Mail to on-prem mailbox from external - NOT
Mail from on-prem mailbox to extenal - Working
Существует сертификат GoDaddy, срок действия которого истекает через 7 месяцев для *.
У меня закончились возможные решения через Google, поэтому я надеюсь, что кто-то из этого сообщества сможет помочь мне снова получать входящую почту сегодня.
2 ответа
Я, конечно, надеюсь, что это поможет кому-то другому, имеющему ту же проблему, не тратить столько времени на исправление этой глупой проблемы!
Когда кто-то использует мастер гибридной конфигурации O365 И имеет сторонний сертификат, который намеревается использовать для этого обмена данными O365 - на прем-обмене, убедитесь, что указали тему сертификата (включая подстановочный знак, который, по-видимому, обрабатывается). буквально, а не как подстановочный знак, при сопоставлении субъекта сертификата, представленного локальным сервером).
Помещение точного субъекта сертификата в шаге мастера гибридной конфигурации, изображенного на 1, кажется, помещает этот параметр в последнее текстовое поле на рисунке 2 (что достигается путем входа в O365 Exchange admin -> поток почты -> разъемы - > Выбрать разъем -> Далее через этот экран.
Фото 1:
Фото 2: 
Вы можете попытаться решить эту проблему, добавив TlsCertificateName для соединителя получения внешнего интерфейса по умолчанию, используя следующие команды:
$tlscert=Get-ExchangeCertificate 4C0FA622D0D66E777AA123B1AF123456F001AE23
$tlscertname="<I>$($TLScert.Issuer)<S>$($TLSCert.Subject)"
Get-ReceiveConnector "SERVER1\Default Frontend SERVER1" | Set-ReceiveConnector -TlsCertificateName $tlscertname
Затем отказов (перезапуск) транспортной службы и проблема устранена.