ExchangeHybrid: Diagnóstico e Solução de Problemas Comuns

Exchange Hybrid – chesley.com.br
ExchangeHybrid: Diagnóstico e Solução de Problemas Comuns

Categoria: Treinamentos | Microsoft Exchange
Nível: Avançado
Tempo de leitura: ~20 minutos
Referência principal: Troubleshoota hybrid deployment – Microsoft Learn

Introdução

Em um ambiente híbrido, problemas podem surgir em qualquer camada:DNS, certificados, conectores de transporte, autenticação, sincronizaçãode diretório, MRS Proxy ou relacionamentos organizacionais. Acomplexidade da arquitetura torna o diagnóstico um processo que requermétodo e as ferramentas certas.

Este artigo consolida os problemas mais frequentes em ambientesExchange Hybrid, suas causas raiz e os procedimentos de diagnóstico eresolução baseados na documentação oficial da Microsoft.

Ferramentas Essenciaispara Diagnóstico

Antes de entrar nos cenários específicos, é importante conhecer asferramentas disponíveis:

1. Microsoft RemoteConnectivity Analyzer

URL: testconnectivity.microsoft.com

Testa externamente: – Autodiscover – EWS (Exchange Web Services) -MRS Proxy – SMTP (para testes de fluxo de e-mail) – ExchangeActiveSync

2. Exchange Admin Center —Message Trace

Disponível no Exchange Online Admin Center. Permite rastrear ocaminho de mensagens específicas, identificando onde houve falha naentrega.

# Via PowerShell do Exchange OnlineConnect-ExchangeOnlineGet-MessageTrace ` -SenderAddress "remetente@contoso.com" ` -RecipientAddress "destinatario@contoso.com" ` -StartDate (Get-Date).AddDays(-2) ` -EndDate (Get-Date) | Format-Table Received, Status, Subject -AutoSize# Detalhes de uma mensagem específicaGet-MessageTraceDetail -MessageTraceId <MessageTraceId> | Format-List

3. Logs do HCW

Caminho: %AppData%\Microsoft\Exchange Hybrid Configuration\

Contém registro detalhado de cada execução do wizard — indispensávelpara diagnosticar falhas durante a configuração.

4.Test-HybridConnectivity (PowerShell on-premises)

# Testar relacionamento organizacionalTest-OrganizationRelationship -Identity "Exchange Online" -UserIdentity "usuario@contoso.com" -Verbose# Testar free/busyTest-FederationTrust -Verbose# Testar AutodiscoverTest-OutlookWebServices -Identity "usuario@contoso.com" -MailboxCredential (Get-Credential)

Problema 1:Free/Busy Não Funciona Entre os Ambientes

Sintomas

  • Usuários on-premises não conseguem ver a disponibilidade de usuáriosno Exchange Online (e vice-versa).
  • O Outlook exibe “Não foi possível recuperar informações dedisponibilidade” ao agendar reuniões.

Causas Comuns

a) Organization Relationship não configuradocorretamente:

# Verificar Organization Relationship on-premisesGet-OrganizationRelationship | Format-List Name, DomainNames, FreeBusyAccessEnabled, FreeBusyAccessLevel, TargetApplicationUri, TargetOwaURL# Verificar Organization Relationship no Exchange OnlineConnect-ExchangeOnlineGet-OrganizationRelationship | Format-List Name, DomainNames, FreeBusyAccessEnabled, FreeBusyAccessLevel

Valores esperados: – FreeBusyAccessEnabled: TrueFreeBusyAccessLevel: LimitedDetails (ouAvailabilityOnly)

b) EWS externo inacessível:

# Verificar URL externa do EWSGet-WebServicesVirtualDirectory | Format-List Server, ExternalURL, InternalURL# Testar acesso externo via Remote Connectivity Analyzer# testconnectivity.microsoft.com → "Synchronization, Notification, Availability, and Automatic Replies"

c) Federation Trust inválida ou expirada:

# Testar Federation TrustTest-FederationTrust -Verbose# Se necessário, reparar a Federation TrustGet-FederationTrust | Format-List Name, TokenIssuerUri, OrgCertificate# Renovar certificado de Federation TrustGet-FederationTrust | Set-FederationTrust -RefreshMetadata

d) Certificado OAuth expirado (ambientes mistos Exchange2013/2010):

# Verificar certificado OAuthGet-AuthConfig | Format-List CurrentCertificateThumbprint, PreviousCertificateThumbprint, NextCertificateThumbprint# Renovar certificado OAuthManage-AuthCertificate -Action Update

Resolução

Se todos os testes acima passarem mas o free/busy ainda falhar,reexecute o HCW — ele reprocessará todas as configurações derelacionamento organizacional:

https://aka.ms/hybridwizard

Problema2: Falha no Fluxo de E-mail Entre os Ambientes

Sintomas

  • E-mails enviados de on-premises para Exchange Online (ou vice-versa)retornam com NDR (Non-Delivery Report).
  • Mensagens ficam na fila de transporte sem serem entregues.
  • E-mails internos chegam marcados como externos.

Diagnóstico

Verificar filas de transporte on-premises:

# Verificar filas de e-mail no Exchange on-premisesGet-Queue | Where-Object {$_.DeliveryType -eq "SmartHostConnectorDelivery"} | Format-List Identity, DeliveryType, MessageCount, Status, LastError, NextHopDomain

Verificar NDR recebido: O código de erro no NDRindica a causa. Os mais comuns em ambiente híbrido:

Código NDRCausa Típica
550 5.7.64Problemas de certificado TLS no Send Connector
550 5.4.1Erro de roteamento — destinatário não encontrado
421 4.4.2Falha de conexão com o servidor de destino
550 5.7.501IP do remetente na lista de bloqueio do Exchange OnlineProtection

Verificar conectores de transporte:

# Send Connector para Microsoft 365Get-SendConnector | Where-Object {$_.AddressSpaces -like "*mail.onmicrosoft.com*"} | Format-List Name, Enabled, AddressSpaces, SmartHosts, TlsAuthLevel, TlsDomain, SourceTransportServers# Receive Connector para Microsoft 365Get-ReceiveConnector | Where-Object {$_.Name -like "*365*" -or $_.Name -like "*Hybrid*"} | Format-List Name, Enabled, AuthMechanism, RemoteIPRanges, TlsCertificateName

Testar conexão SMTP manualmente:

# Testar conectividade SMTP para o Exchange OnlineTest-NetConnection -ComputerName "<tenant>.mail.protection.outlook.com" -Port 25# Verificar resolução DNS do smart hostResolve-DnsName "<tenant>.mail.protection.outlook.com" -Type MX

Verificar certificado TLS:

# Verificar se o certificado usado no Send Connector está corretoGet-ExchangeCertificate -Thumbprint <thumbprint> | Format-List FriendlyName, Subject, NotAfter, Services, CertificateDomains

Resolução

Se o certificado expirou ou foi renovado, atualize-o nosconectores:

# Atribuir o novo certificado aos serviços de transporteEnable-ExchangeCertificate -Thumbprint <novo-thumbprint> -Services SMTP# Reexecutar o HCW para reconfigurar os conectores com o novo certificado

Problema 3:Falha na Migração de Caixas Postais

Sintomas

  • Migration batch para em estado de erro.
  • Usuários específicos falham enquanto outros do mesmo batch migramcom sucesso.
  • Erro “The call to mrsproxy.svc failed”.

Diagnóstico

Verificar status detalhado do batch:

Connect-ExchangeOnline# Status geral do batchGet-MigrationBatch -Identity "Onboarding-Lote-01" | Format-List Name, Status, TotalCount, FailedCount, SyncedCount, FinalizedCount# Status de usuários com falhaGet-MigrationUser -BatchId "Onboarding-Lote-01" -Status Failed | Format-List EmailAddress, Status, Error# Relatório detalhado de um usuário específicoGet-MigrationUserStatistics -Identity "usuario@contoso.com" -IncludeReport | Select-Object -ExpandProperty Report | Format-List

Verificar MRS Proxy on-premises:

# No Exchange on-premisesGet-WebServicesVirtualDirectory | Format-List Server, MRSProxyEnabled, ExternalURL# Testar MRS Proxy externamente# testconnectivity.microsoft.com → "Exchange Mailbox Move"

Verificar Migration Endpoint:

# Testar o migration endpointTest-MigrationServerAvailability -Endpoint "On-Premises Hybrid Endpoint"# Verificar configuração atualGet-MigrationEndpoint -Identity "On-Premises Hybrid Endpoint" | Format-List Name, RemoteServer, MaxConcurrentMigrations, Credentials

Resolução

Para erros de BadItemLimit:

# Aumentar o limite de itens ruinsSet-MigrationBatch -Identity "Onboarding-Lote-01" -BadItemLimit 100 -LargeItemLimit 50# Retentar usuários com falhaSet-MigrationUser -Identity "usuario@contoso.com" -SkipReports $true

Para erros de conectividade com MRS Proxy: 1.Confirme que o FQDN do servidor Exchange está acessível externamente naporta 443. 2. Confirme que o certificado SSL inclui o FQDN do servidorno SAN. 3. Confirme que o MRS Proxy está habilitado. 4. Reexecute o HCWpara reconfigurar os endpoints de migração.

Problema 4: Erro deAutenticação OAuth

Sintomas

  • Funcionalidades como eDiscovery cross-premises, MRM e arquivamentoin-place não funcionam entre os ambientes.
  • Erros de autenticação em logs do Exchange com referência a OAuth ouBearer tokens.

Diagnóstico

# No Exchange on-premises — verificar IntraOrganizationConnectorGet-IntraOrganizationConnector | Format-List Name, TargetAddressDomains, DiscoveryEndpoint, Enabled# Testar configuração OAuthTest-OAuthConnectivity -Service EWS -TargetUri https://outlook.office365.com/ews/exchange.asmx -Mailbox "usuario@contoso.com" -Verbose# No Exchange Online — verificar IntraOrganizationConnectorConnect-ExchangeOnlineGet-IntraOrganizationConnector | Format-List Name, TargetAddressDomains, DiscoveryEndpoint, Enabled

Resolução

Para ambientes Exchange 2013/2010 mistos onde o HCW não configuraOAuth automaticamente:

Referência: ConfigureOAuth Authentication Between Exchange and Exchange OnlineOrganizations

# Configurar autenticação OAuth manualmente# Etapa 1: Criar AuthServer no Exchange on-premisesNew-AuthServer -Name "MicrosoftSts" -AuthMetadataUrl https://accounts.accesscontrol.windows.net/<tenant-id>/metadata/json/1# Etapa 2: Habilitar o partner applicationGet-PartnerApplication | Where-Object {$_.ApplicationIdentifier -eq "00000002-0000-0ff1-ce00-000000000000"} | Set-PartnerApplication -Enabled $true

Problema 5:Autodiscover Não Funciona Corretamente

Sintomas

  • Outlook não se reconfigura automaticamente após migração de caixapostal.
  • Clientes externos não conseguem descobrir configuraçõesautomaticamente.
  • Erro “Não foi possível completar o teste de conectividade” no RemoteConnectivity Analyzer.

Diagnóstico

# Verificar URL interna e externa do AutodiscoverGet-ClientAccessServer | Format-List Name, AutoDiscoverServiceInternalUriGet-AutodiscoverVirtualDirectory | Format-List Server, InternalURL, ExternalURL# Testar Autodiscover internamenteTest-OutlookWebServices -Identity "usuario@contoso.com" -MailboxCredential (Get-Credential) -Verbose# Testar via Remote Connectivity Analyzer# testconnectivity.microsoft.com → "Outlook Connectivity"

Verificar registro DNS:

# Verificar resolução DNS do AutodiscoverResolve-DnsName "autodiscover.contoso.com" -Type CNAMEResolve-DnsName "autodiscover.contoso.com" -Type A

Verificar SCP (Service Connection Point) no ActiveDirectory:

# O SCP é usado por clientes internos para descobrir o AutodiscoverGet-ClientAccessServer -Identity EXCHSERVER | Format-List AutoDiscoverServiceInternalUri

Resolução

Se o registro DNS externo estiver incorreto, atualize-o para apontarpara o servidor Exchange correto. Se o SCP interno estiver configuradoincorretamente:

# Atualizar SCP internoSet-ClientAccessServer -Identity EXCHSERVER -AutoDiscoverServiceInternalUri "https://autodiscover.contoso.com/Autodiscover/Autodiscover.xml"

Problema 6:Sincronização de Diretório com Erros

Sintomas

  • Usuários não aparecem no tenant Microsoft 365 após serem criadoson-premises.
  • Alterações de atributos não se refletem no Exchange Online.
  • Erros no painel do Entra Connect.

Diagnóstico

# Verificar último horário de sincronizaçãoConnect-MgGraph -Scopes "Organization.Read.All"Get-MgOrganization | Select-Object -ExpandProperty OnPremisesLastSyncDateTime# Via Azure AD PowerShell (módulo antigo)Get-MsolCompanyInformation | Select-Object LastDirSyncTime, DirectorySynchronizationEnabled# No servidor do Entra Connect — forçar sincronizaçãoImport-Module ADSyncStart-ADSyncSyncCycle -PolicyType Delta# Verificar erros de sincronizaçãoGet-ADSyncConnectorRunStatus

No portal Microsoft 365: Acesse Microsoft365 Admin Center → Health → Directory sync status paravisualizar erros de sincronização.

Checklist de DiagnósticoRápido

Use esta lista quando um problema híbrido for reportado:

Fluxo de e-mail: – [ ] Send Connector e ReceiveConnector estão habilitados? – [ ] Certificado TLS do Send Connector éválido e não expirado? – [ ] Fila de transporte tem mensagensacumuladas? – [ ] O MX está apontando para o destino correto?

Free/Busy / Calendário: – [ ] OrganizationRelationship está com FreeBusyAccessEnabled = True? – [ ] EWS externoacessível via Remote Connectivity Analyzer? – [ ] Federation Trustválida (Test-FederationTrust)?

Migração de caixas: – [ ] MRS Proxy está habilitado(MRSProxyEnabled = True)? – [ ] Migration Endpoint responde(Test-MigrationServerAvailability)? – [ ] Certificado do servidorExchange inclui o FQDN correto no SAN? – [ ] Usuário está sincronizado etem ExchangeGuid correto?

Autenticação: – [ ] IntraOrganizationConnector estáhabilitado em ambos os lados? – [ ] AuthConfig tem certificado válido? -[ ] Test-OAuthConnectivity retorna sucesso?

Próximos Passos

Com esta série, você percorreu todos os aspectos fundamentais de umdeployment Exchange Hybrid — da teoria à solução de problemas. O próximopasso natural é aprofundar o conhecimento em tópicos complementarescomo:

  • Exchange Online Protection (EOP) e Microsoft Defender forOffice 365 em ambiente híbrido
  • Compliance e eDiscovery cross-premises
  • Exchange Online Archiving para caixason-premises
  • Descomissionamento do Exchange Server após migraçãocompleta

Referências TécnicasMicrosoft

  • Troubleshoota hybrid deployment
  • Test-FederationTrust
  • Test-OrganizationRelationship
  • Enablethe MRS Proxy endpoint in Exchange Server
  • ConfigureOAuth Authentication Between Exchange and Exchange OnlineOrganizations
  • ExchangeHybrid Forum (Microsoft Q&A)
  • Microsoft RemoteConnectivity Analyzer

Artigo publicado em chesley.com.br | Série: Exchange Hybrid — DaTeoria à Produção