完成混合部署以及相关后续工作后,接下来就是公网DNS切换及邮件传输测试,此部分应当只非工作时间进行(意味着要加班加班加班哈哈哈哈)
公网DNS切换,就如之前文章中说的,需要将MX记录指向Office365,同时公网的SPF记录也应当包含Office365的EOP地址和本地Exchange Server的公网IP地址。接下来看实际操作吧
做完混合部署后需要将MX指向云端(如果所有的收邮件需要通过Office365的EOP来过滤的话需要做此更改)
修改SPF记录
格式如下:v=spf1 ip4:#Exchange公网IP地址# include:spf.protection.partner.outlook.cn -all
-all表示硬拒绝,~all表示软拒绝。这个问题详细可以看百度百科!
修改完后,本地无法给迁移到Office365的用户发送邮件,这个就比较奇葩了,从前面的文章中看部署过程中规中矩,所有的报错都解决了,那怎么还会有这个奇怪的问题了?既然问题来了,那么就解决吧!
首先检查本地和office365的邮件公网IP地址都没有被列入黑名单
其次在本地Exchange的ECP中检查本地邮件送达报告,显示在mailbox01上排队。
进入Mailbox01服务器检查队列确实在队列中:
查看详细信息显示找不到云端用户服务器的FQDN
这个问题就奇怪了,重新搁置邮件后恢复传递还是一样的报错。此时就只有在本地ECP中打开发送连接器的SMTP传输日志了,检查传输日志里面的详细事件。
通过查看本地exchange server smtp send log 找到如下报错(未知凭据)
未知凭据表示身份验证出现异常,这时候脑海中一闪是不是公网证书有问题,然后bing中搜索了这个问题,果然是公网证书的权限丢失!
此时在mmc中打开公网证书的私钥
添加network service读取权限(所有的CAS和Mailbox上都要进行此操作)
后来在客户的生产环境中并未出现这个错误,仔细回想了一下在POC环境中导入SSL证书的时候我是所有服务器批量导入的,生产环境比较谨慎是每一台Exchange Server单独导入PFX证书文件,这个network service权限就没有丢失。
这算是自己给自己挖了一个大坑~~~各位同学以后可不要范这个错了