Non è possibile ricevere posta in un ambiente ibrido dopo l'installazione di un nuovo certificato nel server

  • Articolo
  • Si applica a:
    Exchange Online, Exchange Server 2016 Enterprise Edition, Exchange Server 2016 Standard Edition, Exchange Server 2013 Enterprise, Exchange Server 2013 Standard Edition

Numero KB originale: 2989382

Sintomi

Dopo aver installato un nuovo certificato di Exchange in un ambiente ibrido Exchange Server, si verificano i sintomi seguenti:

  • Non è possibile ricevere posta da Internet o da Microsoft 365 quando si usa Transport Layer Security (TLS).

  • Se si usa Telnet (ad esempio telnet localhost 25) per esaminare le comunicazioni SMTP (Simple Mail Transfer Protocol), si noterà che il STARTTLS comando è mancante.

  • Se si esamina il log applicazioni in Visualizzatore eventi, viene visualizzata una voce di evento simile alla seguente:

    Nome log: Applicazione
    Origine: MSExchangeFrontEndTransport
    Data: MM/DD/AAAA 0:00:00
    ID evento: 12014
    Categoria attività: TransportService
    Livello: Errore
    Parole chiave: classico
    Utente: N/D
    Computer: <HybridServerName.contoso.com>
    Descrizione:
    Impossibile trovare un certificato contenente il nome <di dominio I>CN=Nome certificato, OU=<CertificateIssuer>, O=Provider di certificati, C=US<S>CN=mail.contoso.com, OU=IT, O=contoso, L=location, S=location, C=US nell'archivio personale nel computer locale.

  • Il test di connettività di controllo al server locale ha esito negativo e viene visualizzato il messaggio di errore seguente:

    450 4.4.101 Configurazione della sessione proxy non riuscita in Front-end con '451 4.4.0 Indirizzo IP di destinazione primaria ha risposto con "451 5.7.3 STARTTLS è necessario per inviare posta elettronica". Tentativo di failover in un host alternativo, ma non riuscito. Non sono presenti host alternativi o il recapito non è riuscito a tutti gli host alternativi. L'ultimo endpoint tentato è stato <endpoint>'.

Causa

Questo problema si verifica se la TlsCertificateName proprietà del connettore di ricezione del server ibrido contiene informazioni errate sul certificato dopo l'installazione di un nuovo certificato di Exchange e la rimozione del vecchio certificato usato per il flusso di posta ibrido.

La TlsCertificateName proprietà viene impostata correttamente quando viene eseguita la configurazione guidata ibrida (HCW) dopo l'installazione di un nuovo certificato di Exchange.

Tuttavia, se l'HCW non viene eseguito o se si verifica un errore per qualsiasi altro motivo quando si esegue HCW, la TlsCertificateName proprietà non viene aggiornata e il nuovo certificato di Exchange non viene utilizzato dal connettore di ricezione del server ibrido.

In questo scenario, il STARTTLS comando non è presente nelle comunicazioni SMTP e il flusso di posta da Microsoft 365 ha esito negativo.

Risoluzione

Assicurarsi che il nuovo certificato sia abilitato per SMTP. In caso contrario, eseguire il comando seguente per abilitare il servizio SMTP nel certificato appena installato.

Enable-ExchangeCertificate <thumbprint> -services SMTP

Nota

Selezionare No quando viene richiesto di sovrascrivere il certificato predefinito. In caso contrario, EdgeSync si interrompe e deve essere ricreato. Rimuovere quindi la TlsCertificateName proprietà dal connettore di ricezione nel server ibrido. A tale scopo, utilizzare il seguente comando:

Get-ReceiveConnector "ServerName\Default Frontend ReceiveConnector" | Set-ReceiveConnector -TlsCertificateName $null

Eseguire di nuovo la Configurazione guidata ibrida per aggiornare il connettore di ricezione nel server ibrido con le informazioni sul certificato appena installate.

Ulteriori informazioni

Per altre informazioni, vedere Requisiti del certificato per le distribuzioni ibride.

Ulteriore assistenza Visitare community Microsoft o forum TechNet di Exchange.