Cómo solucionar problemas de errores 1037 y 2019 del certificado de confianza directo

Se aplica a: Exchange Server 2007 SP1, Exchange Server 2007

Última modificación del tema: 2007-09-13

En este tema se explica cómo solucionar los problemas del evento 1037 y del evento 2019. Estos eventos se asocian a certificados de confianza directo.

El evento 1037 y el evento 2019 son eventos de advertencia que indican que se produjo un problema cuando Microsoft Exchange intentó validar un certificado transporte interno (también conocido como certificado de confianza directo) en el equipo donde se produjeron los eventos. En Microsoft Exchange Server 2007, confianza directa significa que la presencia del certificado en el servicio de directorio de Active Directory o el servicio de directorio de Active Directory Application Mode (ADAM) valida el certificado. Active Directory se considera un mecanismo de almacenamiento de confianza. Si se usa la confianza directa, da igual que el certificado tenga una firma personal o esté firmado por una entidad de certificación.

De manera predeterminada, Microsoft Exchange usa un certificado autofirmado instalado por Microsoft Exchange en vez de usar un certificado personalizado de terceros. No obstante, puede usar un certificado personalizado para la confianza directa.

El problema que indica el evento 1037 y el evento 2019 está provocado por una o más de las siguientes condiciones:

• El servicio de Protocolo simple de transferencia de correo (SMTP) no está habilitado en el certificado. De manera predeterminada, los certificados de transporte interno autofirmados tienen el servicio SMTP habilitado. No obstante, es más probable que el servicio SMTP no se pueda habilitar si se instala un certificado personalizado que se usa para fines de confianza directa.

• La cuenta del servicio de red puede que no tenga los permisos correctos en las claves en el siguiente directorio: C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys, donde C:\ es el directorio donde se instaló Exchange 2007.

• Se puede producir un error en la consulta del nombre de host en el proceso de selección de certificados debido a la configuración incorrecta de DNS o del nombre del equipo.

• La función del servidor Transporte de concentradores está configurada para usar Equilibrio de carga de red (NLB). La función del servidor Transporte de concentradores no se admite en una configuración de clúster o NLB con el fin de la autenticación de Exchange Server para casos como la comunicación entre servidores de transporte perimetral. El uso de NLB puede producir un error en la consulta del nombre de host durante la validación del certificado.

Antes de empezar

Para realizar este procedimiento, la cuenta que use debe tener delegado lo siguiente:

• Función Administrador de Exchange con permiso de vista para ejecutar el cmdlet Get-ExchangeCertificate

• La función Administrador de Exchange Server y el grupo Administradores local para ejecutar el cmdlet New-ExchangeCertificate o el cmdlet Enable-ExchangeCertificate.

• El grupo Administradores local en el servidor de destino para ejecutar Filemon (Filemon.exe)

Para ejecutar cualquiera de estos cmdlets o Filemon en un equipo con la función del servidor Transporte perimetral instalada, debe iniciar sesión con una cuenta que sea miembro del grupo Administradores local de dicho equipo.

Para obtener más información acerca de los permisos, la delegación de funciones y los derechos necesarios para administrar Exchange 2007, consulte Consideraciones sobre permisos.

Procedimiento

Para solucionar los eventos de advertencia, haga una o más acciones de las que se indican a continuación

• Asegúrese de que el servicio SMTP está habilitado en el certificado.

  Ejecute el siguiente cmdlet en el Shell de administración de Exchange.

  Get-ExchangeCertificate | fl *

  Nota

  Si está ejecutando Exchange Server 2007 Service Pack 1 o posterior, no incluya el asterisco (*) en el argumento de comandos.

  El resultado mostrará detalles de todos los certificados que se instalan en el equipo.

  • Si el valor del atributo IsSelfSign es True, el certificado es el certificado autofirmado instalado por Microsoft Exchange. Puede tener más de un certificado autofirmado instalado en el servidor. No obstante, sólo se usará el certificado válido con la marca de tiempo más reciente.

  • Si el valor del atributo IsSelfSign es False, el certificado es un certificado de terceros o un certificado personalizado.

  Si el atributo Servicios no incluye el valor SMTP, ejecute el siguiente cmdlet en el Shell de administración de Exchange.

  Enable-ExchangeCertificate -Thumbprint <insert_certificate_thumbprint> -Services:SMTP
  

  Nota

  Este comando anexará SMTP a todos los servicios que ya estén habilitados en el certificado. No quitará ninguno de los servicios existentes.

• Determine si la cuenta del servicio de red tiene los permisos correctos. Asegúrese de que la cuenta del servicio de red tenga permisos de lectura en todas las claves en el directorio siguiente: C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys, donde C:\ es el directorio donde se instaló Exchange 2007.

  Nota

  Filemon también se puede usar para determinar si se trata de un problema de permisos.

• Inicie Filemon y capture el error. Revise el archivo de registro resultante de todos los eventos de acceso denegado. Compruebe que los parámetros que se hayan configurado en la configuración DNS local coincidan con los criterios que se usan en el proceso de validación para los certificados de confianza directos. La configuración DNS local se debería comparar con el certificado autofirmado que instala Microsoft Exchange ya que dicho certificado se requiere para fines de confianza directa. El proceso de validación para los certificados de transporte interno comprueba los siguientes ajustes de configuración DNS:

  • DnsFullyQualifiedDomainName

  • DnsHostName

  • DnsPhysicalFullyQualifiedDomainName

  • DnsPhysicalHostName

  Puede revisar los criterios para el certificado usado el seguimiento del Asistente de solución de problemas de Exchange. Para ello, use los siguientes componentes y etiquetas:

  • Common\Certificate

  • NetworkingLayer\Certificate

  • Transport\Certificate

  El seguimiento del Asistente de solución de problemas de Exchange genera resultados que le pueden ayudar a determinar si el nombre de dominio completo (FQDN) coincide con los dominios configurados en el certificado autofirmado. Si el FQDN no coincide, es posible que esté mal configurado. En este caso, debería intentar determinar la ubicación de donde recibe la información el certificado.

• Si el servidor de Exchange se ejecuta en un entorno NLB, puede que se agregue un FQDN inesperado durante el proceso de validación para los certificados de confianza directos. Si observa un dominio inesperado, compruebe la configuración NLB para ver si el dominio inesperado está configurado aquí. Si la configuración NLB contiene el FQDN inesperado, modifique la configuración del NLB para que no cause errores en el certificado de validación.

Información adicional

Para obtener más información al respecto, consulte los siguientes temas:

• Selección de certificado TLS de SMTP

• Cómo solucionar los errores de validación del certificado

• Cómo habilitar el registro de certificados

• Uso de certificados en Exchange 2007 Server