Office365与本地Exchange混合部署后无法互相发送邮件及解决方案

Office365与本地Exchange混合部署后无法互相发送邮件及解决方案 Office365与本地Exchange混合部署后无法互相发送邮件及解决方案

我们之前的文章介绍了Office365和本地Exchange的混合部署，以及在Office365和本地Exchange之间迁移的用户的配置。今天，我们将介绍Office365与本地Exchange邮箱用户之间的邮件交换。说到在线和本地交换邮件，我们都知道，在配置在线和本地交换互相发送和添加本地域时，验证本地域。验证时，MX记录需要在本地DNS中定向到在线。只有这样配置后，才能验证本地域，完成混合部署。但是对于企业来说，将MX记录指向联机有点不方便管理，所以一般会将MX记录定向到本地邮箱服务器，所以我们还需要修改DNS解析，将MX记录指向本地域。当然，对于今天的话题来说，这不是重点。无论你去哪里，邮件都会正常送达，只是邮件流向发生了一点变化。我们将在下一篇文章中重点讨论邮件流的问题。今天介绍的主要内容是本地Exchange邮箱用户和在线邮箱用户可以互相交换邮件。查看以下详细信息:

在我们介绍相互邮件传递之前，我们需要声明对Exchange的证书配置有严格的要求，因为在线和本地Exchange邮件传递都要通过Internet。因为邮件将通过公共网络传递，所以Exchange服务器的证书在公共网络上必须是可信的。如果我们使用内部CA颁发的证书进行交换，它在公共网络上不会被信任。因此，如果要实现本地邮件和在线邮件的正常传递，就需要为交换服务器申请一个公网的可信证书。

如果不申请公网证书，会出现以下问题:

我们部署混合环境后，发现office365的mailuser无法正常向本地mailuser邮箱投递邮件；我们可以从官网的介绍中看到。如果证书不受信任，邮件将无法正常传递(联机无法将邮件传递到本地交换)。

混合部署中的Exchange在线保护

EOP是微软提供的一项在线服务，许多公司使用它来保护其内部部署组织免受病毒、垃圾邮件、欺诈性电子邮件和违反政策的影响。在Office365中，EOP用于保护ExchangeOnline组织免受同样的威胁。当您注册Office365时，将自动创建与您的ExchangeOnline组织关联的EOP公司。

EOP公司包含一些邮件传输设置，可以为ExchangeOnline组织进行配置。您可以指定哪些SMTP域必须来自特定的IP地址、需要TLS和SSL证书、绕过反垃圾邮件过滤或遵从性策略等等。EOP是ExchangeOnline组织的前门。所有邮件，无论其来源如何，都必须通过EOP才能到达ExchangeOnline组织中的邮箱。此外，从ExchangeOnline组织发送的所有邮件都必须通过EOP才能到达Internet。

使用混合配置向导配置混合部署时，将在内部部署组织和为ExchangeOnline组织设置的EOP公司中自动配置所有传输设置。混合向导将配置此EOP公司中的所有入站和出站连接器以及其他设置，以保护在内部部署和ExchangeOnline组织之间发送的邮件，并将邮件路由到正确的目标。如果要为ExchangeOnline组织配置自定义传输设置，您也将在此EOP公司中配置这些设置。

可信通信

为了帮助保护内部部署和ExchangeOnline组织中的收件人，并帮助确保组织之间发送的邮件不会被拦截和阅读，内部部署组织和EOP之间的传输将配置为使用强制TLS。TLS传输使用受信任的第三方证书颁发机构(CA)提供的安全套接字层(SSL)证书。EOP和ExchangeOnline组织之间的邮件也使用TLS。

当使用强制TLS传输时，发送和接收服务器将检查在其他服务器上配置的证书。为证书配置的使用者名称或备用使用者名称(SAN)之一必须与管理员在其他服务器上明确指定的FQDN相匹配。例如，如果将EOP配置为接受和保护从mail.contoso.com的FQDN发送的邮件，则发送本地客户端访问或边缘传输的服务器必须拥有一个在主题名称或SAN中包含mail.contoso.com的SSL证书。如果不满足这一要求，EOP将拒绝连接。

由于我们的证书不受信任，在线邮箱用户无法向本地Exchange邮箱用户传递邮件。当然，本地Exchange邮箱用户可以正常收发与外部域的邮件，在线邮箱用户也可以收发与外部域名服务器的邮件，所以我们需要在线检查和配置。

首先，我们需要确认默认的不可信证书配置可以正常地将邮件从本地exchange邮箱用户传递到在线邮箱用户

我们先来看看目前的用户分布。

User01是本地用户。

User02在线用户

使用user01本地邮箱向office365发送测试邮件。

使用office365上的user20向本地user01发送回复。

但是我们不能从网上给本地的exchange邮箱用户发送邮件，所以需要更换公网的可信证书。

打开office365邮件流设置-链接器。

单击office365到组织内的邮件链接器。

单击-验证该链接器。

我们开始验证这个连接器。

输入我们本地交易所的电子邮件帐户，[email protected]。

开始验证office365到本地组织邮箱帐户的连接器。

验证完成

我们发现验证失败。

我们双击打开验证结果:

提示SMTPTLS身份验证失败；因为证书不是由可信机构颁发的，所以将会提示一个错误。

由于此错误，office365无法传递本地邮件。

我们修改outbond发送连接器并取消tls设置

我们取消tls并再次验证它。

使用同一个本地用户01。

事实上，通过下图，我们可以确认取消tls后，在线用户可以向本地exchange用户发送测试邮件。

取消tls后，测试结果通过。

验证连接器能否成功。

或者我们***连接器的证书安全性；选择任何数字证书，包括自签名证书。

本地发到office365online也有问题；您不能通过邮件队列查看器将其发送到Online。通过检查与证书相关的错误。

失败的原因是office365和本地exchange之间的交换必须有第三方(公认的)证书支持，才能相互发送邮件；

所以我们需要申请第三方证书:

首先我们需要通过exchange申请一个服务器证书csr文件。

从证书颁发机构获取证书的请求

选择证书存储的服务器。

定义证书的名称和类型；指定与对exchange服务器的外部访问相对应的域名访问。

定义后，我们可以看到证书服务的状态。

定义证书信息

保存证书的请求文件。我们需要通过req文件向第三方申请。

证书申请已完成

下一步是申请公网证书，baisc代码询问申请的req文件。

申请免费公共网络证书

这里我们用沃通。

https://www.wosign.com/

https://buy.wosign.com/ProductList.html

输入证书的域名信息。

我们为外部访问定义了可信域名信息。

证书提交完成。

因为需要验证域名的所有者，所以系统会列出一些可以验证域名所有者的邮件；

验证后，我们可以在证书所有者验证的邮箱中看到系统发送的邮件消息。

在我们输入域名所有者验证码后，我们提交申请。

我们需要提交csr文件来申请证书，所以我们需要在这里粘贴本地申请交换证书提交生成的req文件的内容。

提交后，提示证书已经发出，我们需要下载。

下载证书信息

我们下载证书后，会有几个证书文件可以根据自己的要求使用。事实上，我们可以将证书用于iis或其他服务器。

证书 *** 作文件

证书格式转换文件

https://bbs.wosign.com/forum.php?mod=viewthread&；tid=20。突出显示=%B8%F1%CA%BD%D7%AA%BB%BB

http://www.wosign.com/Docdownload/index.htm

接下来，我们需要搁置刚刚申请的证书。

证书搁置完成。

下一步是为证书分配服务。

然后我们使用本地ecp访问交换管理中心页面，查看证书信息；

提示该证书是受信任的第三方证书。

更改证书后，我们发现本地exchange邮箱的用户无法向online发送邮件。发送的邮件可以在exchange邮件队列中看到，所以我们需要先一步一步地检查。

http://C7solutions.com/2013/11/cannot-send-emails-to-office-365-or-exchange-online-protection-using-TLS

http://blogs.msmvps.com/expta/2014/03/10/疑难解答-TLS-SMTP-connections-to-exchange-online-protection/

我们可以通过telnet的相关信息来测试邮件投递的问题。

Telnet42.159.33.20225//IP地址是保密的。无泄漏[/s2/]

Ehlo mail.ixmsoft.com Mail from : [email protected] Rcpt to : [email protected]

原因被屏蔽了，所以发不了。

通过上面的cmd命令测试，我们还可以使用相关的交换命令来帮助解决问题(这种方法是最有效的。)

我们运行命令来查看本地EMS下与exchange相关的证书。

get-exchangecertficate

我们可以查看mail.ixmsoft.com域名的指纹信息。

get-exchangecertficate 59……..（证书指纹信息） | fl 查看到Issuer为：CN=CA 沃通免费ssl证书 G2，O=WoSign CA Limited， C=CN Subject 为： CN=mail.ixmsoft.com

然后我们看发送连接器(本地到在线发送连接器)

get-sendconnector

get-sendconnector "outbound to office365" | fl

我们需要检查本地到在线邮件连接器的状态。

我们检查了从本地到联机的发送连接器的TLScertficatename或我的内部CA服务器的证书信息；以下信息是错误的，因为我们第三方的证书已被覆盖。正确的信息应该是第三方沃通的免费ssl证书相关

因此，我们需要手动强制更改。

修改sendconnector的证书名称 <I>Issuer为：CN=CA 沃通免费ssl证书 G2，O=WoSign CA Limited， C=CN <S>Subject 为： CN=mail.ixmsoft.com

我们手动***信息:

Set-sendconnector out* -tlscertificatename “<I> CN=CA 沃通免费ssl证书 G2，O=WoSign CA Limited， C=CN<S> CN=mail.ixmsoft.com”

更新的结果

我们再次测试从本地交换到在线的邮件传递。

让我们先来看看邮件队列。

最后，我们测试发送邮件。

然后，我们在user02上检查本地用户user01发送的测试电子邮件。

接下来，我们使用tls再次测试将连接器信息从online发送到local。

我们还使用在线邮箱用户user02向本地用户user01发送一封测试电子邮件。

本地用户01也在线收到了用户02的邮件。