链接邮箱用户有时会连接到错误的 Exchange 组织

tag-icon tag-icon active-directory exchange-2013 microsoft-office-365
链接邮箱用户有时会连接到错误的 Exchange 组织

配置如下:

  1. 域 hosting.contoso.com 托管本地 Exchange 2013 组织,该组织托管多个二级域,包括 contoso.com 域。该域位于单独的林中,并与域 office.contoso.com 建立林信任,后者也是单独林的根域。
  2. office.contoso.com 和 hosting.contoso.com 之间建立了 VPN 连接,并且所有 Exchange 服务器都可通过内部 IP 范围供双方使用。
  3. 域 office.contoso.com 中的用户的 UPN 后缀为 contoso.com,并通过 HTTPS 上的 MAPI 连接到 Exchange 组织,该 HTTPS 解析为 hosting.contoso.com 域上的 Exchange 服务器的外部 IP 范围。
  4. contoso.com 名称服务器是向 Internet 公开为 NS1.contoso.com 的独立 DNS 服务器,并托管 contoso.com Exchange 组织从外部定位它所需的所有 MX、A、TXT 和 SRV 记录。OWA 也已发布并正常运行。
  5. office.contoso.com 域最近已通过 AD FS 集成到 Microsoft Office 365 租户组织,该组织恰好拥有自己的 Exchange 组织,但是 contoso.com 的所有 DNS 记录均未指向 microsoft.com、office.com、outlook.com 或 Microsoft 的其他网站。所有配置均已完成,双方均未报告 AD 集成问题。

office.contoso.com 的一名用户使用 Outlook 2016 从 office.contoso.com 域的内部网络向第三方发送了一封邮件,其抄送地址为本地 Exchange 组织中的一个公用文件夹邮箱,但该公用文件夹中未收到邮件。调查最终发现,该电子邮件是通过 Office 365 的 Exchange 组织发送的,而该组织未注册公用文件夹的电子邮件地址,因此生成了 NDR 并将其放入与此用户关联的基于云的 Exchange 邮箱中。第三方已正确收到邮件,尽管 contoso.com 域的 SPF 记录本应阻止 Microsoft 的服务器成功发送该电子邮件,因为它们的外部 IP 地址不会反向解析为任何 contoso.com DNS 名称。(第三方邮件服务器配置超出了本问题的讨论范围)

问题是:

  1. Outlook 如何发现有另一个 Exchange 组织设置为连接域 office.contoso.com 并发送电子邮件?
  2. 为什么它实际上决定连接到其他地方,但主 Exchange 帐户已配置为使用来自 @contoso.com 的地址?
  3. 为什么在发生这样的故障转移后,Outlook 不会显示错误邮箱的内容,为什么 Outlook 会将“已发送”消息发布到正确的邮箱,而通过错误的邮箱发送?
  4. 为什么安装在外部网络 PC 上的 Office 365 的 Outlook 会连接到 Office 365 的组织,尽管 contoso.com 域中存在有效的自动发现地址?如果使用不使用 Office 365 进行激活的相同 Office 版本的独立安装,则自动发现过程会立即完成,并通过 HTTPS 使用 RPC/MAPI 连接到本地 Exchange CAS 服务器。
  5. office.contoso.com 域的系统管理员应该做什么才能既允许 Office 365 的 Exchange 组织存在,又完全消除用户的 Outlook 连接到它的任何机会(除非直接指定)?

答案1

我设法找到了这个问题的答案。完整解释的答案链接如下:Outlook (2016) 如何执行自动发现摘录如下:

步骤 4:检查 O365 是否为优先级

Outlook 使用一组启发式方法来确定提供的用户帐户是否来自 Office 365。如果 Outlook 确信您是 O365 用户,则会尝试从已知的 O365 端点(通常https://autodiscover-s.outlook.com/autodiscover/autodiscover.xml或者https://autodiscover-s.partner.outlook.cn/autodiscover/autodiscover.xml)。如果此步骤未检索到有效负载,Outlook 将转到步骤 5。

此步骤的策略控制值如下:排除ExplicitO365Endpoint。

正如本指南所述,Outlook 2016 使用“启发式方法”来确定是否检查正在配置的 Office 365 for Exchange 组织。此外,此步骤 4 是在 Active Directory 或自动发现站点中可配置的任何其他步骤之前完成的。因此,答案很简单:添加注册表首选项或安装 Office 2016 ADM 模板的适当策略。注册表项为HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\16.0\Outlook\AutoDiscover\ExcludeExplicitO365Endpoint、类型REG_DWORD、值1。在使 Outlook 2016 不尝试进入云方面非常简单。

剩下的问题是 #3,“为什么 Outlook 无法正确显示已连接邮箱的内容”,但答案是 Outlook 通常以缓存模式工作,因此它会显示本地缓存和通过 Exchange 的拉取请求下载的偶尔更改。在这种情况下,在 Outlook 执行概率舞蹈并连接到云之前,本地 Exchange 邮箱的内容已在本地下载,因此它只是将它们与刚刚通过云发送的消息一起显示,从而提供所描述的效果。

最后,独立版本恰好是 Outlook 2013,它在设计上尚未使用这种启发式方法,因此可以按预期工作。

相关内容