Назад | Перейти на главную страницу

Пользователь связанного почтового ящика иногда подключается не к той организации Exchange

Конфигурация следующая:

  1. В домене hosting.contoso.com размещается локальная организация Exchange 2013, в которой размещено несколько доменов второго уровня, включая домен contoso.com. Домен находится в отдельном лесу и имеет доверие леса с доменом office.contoso.com, который также является корневым доменом отдельного леса.
  2. Между office.contoso.com и hosting.contoso.com установлено VPN-соединение, и все серверы Exchange доступны для обеих сторон через внутренние диапазоны IP-адресов.
  3. Пользователи в домене office.contoso.com имеют суффикс UPN contoso.com и подключаются к организации Exchange через MAPI через HTTPS, разрешенный для внешних диапазонов IP-адресов серверов Exchange в домене hosting.contoso.com.
  4. Сервер имен contoso.com представляет собой автономный DNS-сервер, доступный как NS1.contoso.com для Интернета, и размещает все необходимые записи MX, A, TXT и SRV для организации Exchange contoso.com, необходимые для его обнаружения извне. OWA также опубликован и работает.
  5. Домен office.contoso.com недавно был интегрирован с AD FS в организацию клиента Microsoft Office 365, которая, как оказалось, имеет собственную организацию Exchange, однако ни одна из записей DNS contoso.com не указывает на microsoft.com, office .com, outlook.com или где-либо еще от Microsoft. Все настройки завершены, ни одна из сторон не сообщает о проблемах с интеграцией AD.

Пользователь из office.contoso.com отправил сообщение с Outlook 2016 из внутренней сети домена office.contoso.com третьему лицу с CC-адресом одного из почтовых ящиков общедоступных папок в локальной организации Exchange и не сделал этого. я не получаю сообщение в этой общей папке. В конечном итоге расследование обнаружило, что электронное письмо было отправлено через организацию Office 365 Exchange, в которой не зарегистрирован адрес электронной почты общей папки, поэтому был создан отчет о недоставке и помещен в облачный почтовый ящик Exchange, связанный с этим пользователем. Третья сторона получила сообщение должным образом, несмотря на запись SPF домена contoso.com, которая должна была помешать серверам Microsoft успешно отправить это электронное письмо, поскольку их внешние IP-адреса не разрешаются обратно ни в одно из DNS-имен contoso.com. (Конфигурация стороннего почтового сервера выходит за рамки этого вопроса)

Вопрос в том:

  1. КАК Outlook может обнаружить, что существует другая организация Exchange, настроенная как для подключения, так и для отправки электронной почты для домена office.contoso.com?
  2. ПОЧЕМУ он на самом деле решил подключиться в другом месте, но основная учетная запись Exchange уже настроена для использования адреса из @ contoso.com?
  3. ПОЧЕМУ Outlook НЕ отображал содержимое неправильного почтового ящика после такого переключения, и ПОЧЕМУ Outlook отправил сообщение «Отправлено» в правильный почтовый ящик, отправив его через неправильный почтовый ящик?
  4. КАК ПРИХОДИТ Outlook Office 365, установленный на ПК во внешней сети, подключается к организации Office 365, несмотря на наличие действительного адреса автообнаружения в домене contoso.com? Если используется автономная установка той же версии Office, которая не использует Office 365 для активации, процесс автоматического обнаружения завершается мгновенно, при этом он подключается с помощью RPC / MAPI через HTTPS к локальному серверу Exchange CAS.
  5. Что должен выполнить системный администратор домена office.contoso.com, чтобы ОБА разрешить существование организации Exchange в Office 365 и полностью исключить возможность подключения к ней Outlook пользователей, если это не указано напрямую?

Мне удалось найти ответ на этот вопрос. Ссылка на полностью объясненный ответ находится здесь: Как Outlook (2016) выполняет автоматическое обнаружение. Отрывок выглядит следующим образом:

Шаг 4. Выберите O365 как приоритет

Outlook использует набор эвристик, чтобы определить, исходит ли предоставленная учетная запись пользователя из Office 365. Если Outlook уверенно определяет, что вы являетесь пользователем O365, предпринимается попытка получить полезные данные автообнаружения из известных конечных точек O365 (обычно https://autodiscover-s.outlook.com/autodiscover/autodiscover.xml или https://autodiscover-s.partner.outlook.cn/autodiscover/autodiscover.xml). Если на этом шаге не удается получить полезные данные, Outlook переходит к шагу 5.

Значение управления политикой для этого шага следующее: ExcludeExplicitO365Endpoint.

Как объясняется в этом руководстве, Outlook 2016 использует «эвристику», чтобы определить, следует ли проверять подготавливаемую организацию Office 365 для Exchange. Более того, этот шаг 4 выполняется задолго до любого другого шага, настраиваемого в Active Directory или на сайтах автообнаружения. Следовательно, ответ прост: добавьте либо настройку реестра, либо подходящую политику с установленными шаблонами Office 2016 ADM. Ключ реестра HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\16.0\Outlook\AutoDiscover\ExcludeExplicitO365Endpoint, тип REG_DWORD, стоимость 1. Чрезвычайно просто, когда дело доходит до того, чтобы Outlook 2016 не пытался переходить в облако.

Остается вопрос №3: «Почему Outlook не отображает правильное содержимое подключенного почтового ящика», но на него отвечает Outlook, обычно работающий в кэшированном режиме, поэтому он отображает локальный кеш и случайные изменения, загруженные с помощью запросов на вытягивание из Exchange. В этом случае содержимое локального почтового ящика Exchange было загружено локально до того, как Outlook совершил свой танец вероятности и подключился к облаку, поэтому он просто отображал их вместе с сообщением, только что отправленным через облако, обеспечивая описанный эффект.

И, наконец, автономной версией оказался Outlook 2013, который еще не использует такую ​​эвристику по дизайну, поэтому работал так, как ожидалось.