Problembehandlung des Fehlers 12014 bei STARTTLS-Zertifikaten

  • Artikel

 

Gilt für: Exchange Server 2007 SP1, Exchange Server 2007

Letztes Änderungsdatum des Themas: 2007-05-23

In diesem Thema wird die Problembehandlung für das Ereignis 12014 erläutert. Ereignis 12014 ist ein Ereignis vom Typ "Warnung", das angibt, dass beim Laden eines Zertifikats, das für STARTTLS verwendet wird, ein Problem aufgetreten ist. Dieses Problem tritt im Allgemeinen auf, wenn eine oder beide der folgenden Bedingungen zutreffen:

  • Der in der Warnung angegebene vollqualifizierte Domänenname (FQDN) wurde für einen Empfangsconnector oder einen Sendeconnector auf einem Microsoft Exchange Server 2007-Transportserver angegeben. Darüber hinaus ist auf dem gleichen Computer, der den FQDN in den Feldern Antragsteller oder Alternativer Antragstellername enthält, kein Zertifikat installiert.

  • Auf dem Server wurde ein Drittanbieterzertifikat oder ein benutzerdefiniertes Zertifikat installiert, und dieses Zertifikat enthält einen gleichlautenden FQDN. Das Zertifikat ist jedoch nicht für den SMTP-Dienst (Simple Mail Transfer Protocol) aktiviert.

TLS (Transport Layer Security) setzt voraus, dass im persönlichen Zertifikatspeicher des Computers ein gültiges Zertifikat installiert ist.

Bevor Sie beginnen

Damit Sie das nachstehende Verfahren ausführen können, muss Folgendes an das verwendete Konto delegiert worden sein:

  • die Rolle Exchange-Administrator mit Leserechten zum Ausführen des Cmdlets Get-ExchangeCertificate

  • die Exchange-Serveradministrator-Rolle und die lokale Gruppe Administratoren für den Zielserver zum Ausführen des Cmdlets New-ExchangeCertificate oder des Cmdlets Enable-ExchangeCertificate

Um irgendeines dieser Cmdlets auf einem Computer ausführen zu können, auf dem die Serverfunktion Edge-Transport installiert ist, müssen Sie sich mit einem Konto anmelden, das Mitglied der lokalen Gruppe Administratoren auf diesem Computer ist.

Weitere Informationen über Berechtigungen, das Delegieren von Funktionen und die zum Verwalten von Exchange 2007 erforderlichen Rechte finden Sie unter Überlegungen zu Berechtigungen.

Verfahren

So beheben Sie diese Warnung

  1. Prüfen Sie die Konfiguration der Zertifikate, die auf dem Exchange-Server installiert sind, sowie die Konfiguration aller Empfangs- und Sendeconnectors, die auf dem Server installiert sind. Verwenden Sie zum Anzeigen der Konfiguration die folgenden Befehle:

    Get-ExchangeCertificate | FL *
Get-ReceiveConnector | FL name, fqdn, objectClass
Get-SendConnector | FL name, fqdn, objectClass

    Hinweis

    Zum Anzeigen der Dienste, die für das installierte Zertifikat aktiviert sind, müssen Sie bei Verwendung des Arguments FL in Verbindung mit dem Cmdlet Get-ExchangeCertificate den Stern (*) verwenden. Die Dienstwerte werden nicht angezeigt, wenn in den Taskparametern kein * angegeben wird.

    Führen Sie die Befehle aus, und vergleichen Sie den FQDN, der mit der Warnung zurückgegeben wurde, mit dem FQDN, der für jeden Connector definiert wurde, sowie mit den Werten für CertificateDomains, die für jedes Zertifikat definiert wurden. Der Wert CertificateDomains ist eine Verkettung der Inhalte der Felder Antragsteller und Alternativer Antragstellername des Zertifikats.

    Die Zielsetzung besteht darin sicherzustellen, dass jeder Connector, der TLS verwendet, über ein entsprechendes Zertifikat verfügt, das den FQDN des Connectors in den Werten unter CertificateDomains des Zertifikats enthält. Notieren Sie alle Connectors, die für TLS aktiviert sind, jedoch nicht über ein entsprechendes Zertifikat verfügen, bei dem der FQDN des Connectors unter den Werten von CertificateDomains aufgeführt wird.

    Prüfen Sie den Wert Dienste in jedem Zertifikat. Wenn Sie ein Zertifikat für TLS verwenden, muss es für den SMTP-Dienst aktiviert sein, für den unter Dienste der Wert SMTP angegeben ist.

  2. Wenn der FQDN im Parameter CertificateDomains nicht aufgeführt wird, müssen Sie ein neues Zertifikat erstellen und und den FQDN des Connectors angeben, der die Warnung ausgegeben hat. Sie können das Zertifikat mithilfe des Cmdlets New-ExchangeCertificate erstellen. Möglicherweise möchten Sie alternativ das Zertifikat eines Drittanbieters oder ein benutzerdefiniertes Zertifikat verwenden. Mithilfe des Cmdlets New-ExchangeCertificate können Sie die Zertifikatanforderung generieren. Weitere Informationen finden Sie unter Erstellen eines Zertifikats oder einer Zertifikatsanforderung für TLS.

  3. Wurde auf dem Server das Zertifikat eines Drittanbieters oder ein benutzerdefiniertes Zertifikat installiert und enthält das Zertifikat einen passenden FQDN, ist jedoch nicht für den SMTP-Dienst aktiviert, müssen Sie das Zertifikat für den SMTP-Dienst aktivieren. Weitere Informationen finden Sie unter Enable-ExchangeCertificate.

Weitere Informationen

Weitere Informationen hierzu finden Sie unter den folgenden Themen: