Сертификат входящего прямого доверия с отпечатком %1 устарел. Для создания сертификата прямого доверия выполните команду Run New-ExchangeCertificate.

Подробности
Продукт: Exchange
Идентификатор: 1037
Источник: MSExchangeTransport
Версия: 8.0
Символьное имя: SmtpReceiveDirectTrustCertOutdated
Сообщение: Сертификат входящего прямого доверия с отпечатком %1 устарел. Для создания сертификата прямого доверия выполните команду Run New-ExchangeCertificate.
   
Объяснение

Это событие состояния «предупреждение» означает, что возникла проблема при попытке проверки сертификата внутреннего транспорта (также называемого сертификатом прямого доверия) на этом компьютере. В Microsoft Exchange Server 2007 прямым доверием называется способ проверки подлинности, в котором подтверждением сертификата служит наличие сертификата в службе каталогов Active Directory или службе каталогов ADAM (Active Directory Application Mode). Служба каталогов Active Directory считается надежным средством хранения.

По умолчанию вместо стороннего пользовательского сертификата сервер Exchange использует самозаверяющий сертификат, установленный сервером Exchange. Однако в качестве сертификата прямого доверия можно использовать пользовательский сертификат.

Данная проблема может быть вызвана следующими причинами.

  • Для сертификата не включена служба SMTP. Для самозаверяющих сертификатов внутреннего транспорта служба SMTP включена по умолчанию. Поэтому если для целей прямого доверия установлен пользовательский сертификат, то, вероятнее всего, служба SMTP не включена.

  • Учетная запись сетевой службы может не иметь надлежащих разрешений в ключах компьютера.

  • Возможно, в процессе выбора сертификатов произошел сбой запроса имени узла вследствие неправильной конфигурации DNS-имени или имени компьютера.

  • Для роли транспортного сервера-концентратора настроена балансировка сетевой нагрузки. Роль транспортного сервера-концентратора не поддерживается в кластере или конфигурации балансировки сетевой нагрузки для целей проверки подлинности сервера Exchange в таких сценариях, как обмен данными между транспортными серверами-концентраторами. Использование балансировки сетевой нагрузки может привести к сбою запроса имени узла в процессе проверки сертификата.

   
Действие пользователя

Чтобы устранить данное предупреждение, выполните одно или несколько следующих действий.

  • Убедитесь, что для данного сертификата включена служба SMTP.

    В командной консоли Exchange выполните следующую команду: Get-ExchangeCertificate | fl *

    Если на компьютере выполняется Exchange Server 2007 с пакетом обновления 1 (SP1) или более поздняя версия, не включайте в аргумент команды символ звездочки (*).

    Будут показаны сведения обо всех сертификатах, установленных на компьютере.

    • Если значение атрибута IsSelfSign равно True (истина), то это самозаверяющий сертификат, установленный сервером Exchange. На сервере может быть установлено несколько самозаверяющих сертификатов. Однако будет учитываться только самая последняя отметка времени.

    • Если значение атрибута IsSelfSign равно False (ложь), то это сторонний или пользовательский сертификат.

    Если атрибут Services (службы) не содержит значение SMTP, выполните следующую команду в командной консоли Exchange:

    Enable-ExchangeCertificate -Thumbprint <отпечаток_сертификата> -Services:SMTP

    Примечание. Эта команда добавляет службу SMTP в набор служб, включенных для сертификата. Она не удаляет имеющиеся службы.

  • Определите, имеет ли учетная запись сетевой службы необходимые разрешения. Убедитесь, что сетевая служба имеет разрешения на чтение для всех ключей в следующей папке: C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys, где C:\ — папка, в которой установлен сервер Exchange 2007.

    Примечание. Определить, связана ли данная проблема с разрешениями, можно также с помощью программы Filemon.

    Запустите программу Filemon и зафиксируйте возникновение ошибки. Проверьте наличие событий типа нет доступа в соответствующем файле журнала. Убедитесь, что параметры, настроенные в конфигурации DNS-сервера, соответствуют критериям, используемым в процессе проверки сертификата внутреннего транспорта. Следует проверить соответствие конфигурации DNS-сервера самозаверяющему сертификату, установленному сервером Exchange, поскольку для целей прямого доверия предполагается использовать этот сертификат.

  • Если сервер Exchange используется в среде с балансировкой сетевой нагрузки, в процессе проверки сертификата может быть добавлено непредвиденное полное доменное имя. В случае обнаружения непредвиденного домена проверьте, не настроен ли этот домен в параметрах балансировки сетевой нагрузки. Если параметры балансировки сетевой нагрузки содержат непредвиденное полное доменное имя, измените эти параметры, чтобы исключить сбой при проверке сертификата.

Дополнительные сведения см. в следующих разделах справки Exchange:

Related:

Leave a Reply