Устранение ошибок 1037 и 2019 сертификатов прямого доверия

 

Применимо к: Exchange Server 2007 SP1, Exchange Server 2007

Последнее изменение раздела: 2007-09-13

В этом разделе объясняется, как устранять неполадки, связанные с событиями 1037 и 2019. Эти события относятся к сертификатам прямого доверия.

События 1037 и 2019 являются событиями состояния «предупреждение», которые указывают на то, что при попытке Microsoft Exchange поверить сертификат внутреннего транспорта (сертификат прямого доверия) на компьютере, на котором возникли события, произошла проблема. В Microsoft Exchange Server 2007 прямое доверие означает, что наличие сертификата в службе каталогов Active Directory или Active Directory Application Mode (ADAM) свидетельствует о его проверке. Active Directory считается доверенным механизмом хранения. Если используется прямое доверие, не имеет значения, применяется ли самозаверяющий сертификат или же сертификат, подписанный центром сертификации.

По умолчанию в Microsoft Exchange используется самозаверяющий сертификат, установленный Microsoft Exchange, а не сторонний настраиваемый сертификат. Тем не менее для прямого доверия можно использовать настраиваемый сертификат.

Ниже перечислены условия, приводящие к возникновению проблемы, на которую указывают события 1037 и 2019.

  • Для сертификата не включена служба SMTP. По умолчанию для службы SMTP включена поддержка самозаверяющих сертификатов внутреннего транспорта. Поэтому отключение службы SMTP более вероятно в том случае, если установлен настраиваемый сертификат, используемый для прямого доверия.

  • Учетная запись «Network Service» может не иметь правильных разрешений на разделы для следующего каталога: C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys, где C:\ — это каталог, в который установлен Exchange Server 2007.

  • Запрос имени узла в процессе выбора сертификата может вызывать сбой из-за неправильной настройки DNS или имени компьютера.

  • Роль транспортного сервера-концентратора настроена на балансировку сетевой нагрузки. Роль транспортного сервера-концентратора в кластере или с балансировкой сетевой нагрузки не поддерживается для проверки подлинности Exchange в таких сценариях, как связь между транспортными серверами-концентраторами. Использование балансировки сетевой нагрузки может приводить к сбою запроса имени узла при проверке сертификата.

Предварительная подготовка

Для выполнения описанных ниже действий используемой учетной записи необходимо делегировать следующее:

  • роль администратора Exchange с правами на просмотр для выполнения командлета Get-ExchangeCertificate;

  • роль администратора сервера Exchange и членство в локальной группе администраторов целевого сервера для выполнения командлета New-ExchangeCertificate или Enable-ExchangeCertificate;

  • членство в локальной группе администраторов на целевом сервере для запуска средства (Filemon.exe).

Чтобы выполнить любые из этих командлетов или средство Filemon на компьютере с установленной ролью пограничного транспортного сервера, необходимо войти в систему с учетной записью, являющейся членом локальной группы администраторов на этом компьютере.

Дополнительные сведения о разрешениях, делегировании ролей и правах, необходимых для администрирования сервера Exchange Server 2007, см. в разделе Вопросы, связанные с разрешениями.

Процедура

Для устранения предупреждений выполните одно или несколько из указанных ниже действий.

  • Убедитесь, что для сертификата включена служба SMTP.

    Выполните в командной консоли Exchange следующий командлет:

    Get-ExchangeCertificate | fl *

    noteПримечание.
    Если используется Exchange Server 2007 с пакетом обновления 1 (SP1) или более поздней версии, не включайте в аргумент команды звездочку (*).

    В выходных данных будут содержаться сведения обо всех сертификатах, установленных на компьютере.

    • Если атрибут IsSelfSign имеет значение True, сертификат является самозаверяющим сертификатом, установленным Microsoft Exchange. На сервере может быть установлено несколько самозаверяющих сертификатов. Тем не менее будет использоваться только допустимый сертификат с наиболее поздней отметкой времени.

    • Если атрибут IsSelfSign имеет значение False, сертификат является сторонним или настроенным.

    Если атрибут Services не включает значение SMTP, выполните следующий командлет в командной консоли Exchange:

    Enable-ExchangeCertificate -Thumbprint <insert_certificate_thumbprint> -Services:SMTP
    
    noteПримечание.
    Эта команда добавит SMTP ко всем службам, которые уже включены для сертификата. При этом никакие существующие службы не будут удалены.
  • Определите, установлены ли правильные разрешения для учетной записи «Network Service». Учетная запись «Network Service» должна иметь разрешения на чтения для всех разделов для следующего каталога: C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys, где C:\ — это каталог, в который установлен Exchange Server 2007.

    noteПримечание.
    Для определения проблем с разрешениями можно также использовать средство Filemon.
  • Запустите Filemon и запишите ошибку. Просмотрите созданный файл журнала на наличие событий Отказано в доступе. Убедитесь, что параметры, настроенные в локальной конфигурации DNS, соответствуют критериями проверки сертификатов прямого доверия. Локальную конфигурацию DNS необходимо сравнить с самозаверяющим сертификатом, который установлен Microsoft Exchange, так как этот сертификат требуется для прямого доверия. Про проверке сертификатов внутренего транспорта проверяются следующие параметры конфигурации DNS:

    • DnsFullyQualifiedDomainName

    • DnsHostName

    • DnsPhysicalFullyQualifiedDomainName

    • DnsPhysicalHostName

    Для просмотра критериев для сертификата можно воспользоваться трассировкой помощника по устранению неполадок Exchange. Для этого используйте следующие компоненты и теги:

    • Common\Certificate

    • NetworkingLayer\Certificate

    • Transport\Certificate

    Результаты, выводимые трассировкой помощника по устранению неполадок Exchange, могут помочь определить, соответствует ли полное доменное имя доменам, настроенным для самозаверяющего сертификата. Если полное доменное имя не соответствует, вероятно, оно неправильно настроено. В таком случае необходимо попытаться определить, откуда сертификат берет данные.

  • Если сервер Exchange работает в среде с балансировкой сетевой нагрузки, при проверке сертификатов прямого доверия может добавляться неожиданное полное доменное имя. При появлении в результатах неожиданного домена проверьте конфигурацию балансировки сетевой нагрузки, чтобы определить, не настроен ли в ней этот домен. Если в конфигурации балансировки сетевой нагрузки указано неожиданное полное доменное имя, измените ее так, чтобы она не приводила к сбою проверки сертификата.

Дополнительные сведения

Дополнительные сведения см. в следующих разделах: