O certificado de transporte interno de entrada expirou
Tópico modificado em: 2008-03-20
O Pacote de Gerenciamento do Microsoft Exchange Server 2007 para o Operations Manager monitora o Log do aplicativo do Windows em computadores que estejam executando o Exchange Server 2007 e gera esse alerta quando um ou mais eventos especificados na tabela Detalhes a seguir são registrados.
Para saber mais sobre esse evento, siga pelo menos um destes procedimentos:
Consulte a descrição do evento que contém as variáveis específicas do seu ambiente. No Console do Operador, selecione esse alerta e clique na guia Propriedades.
Verifique todos os eventos registrados que atendam aos critérios desse alerta do Operations Manager. No Console do Operador, clique na guia Eventos e, na lista, clique duas vezes no evento cuja descrição você deseja verificar.
Detalhes
Produto |
Exchange |
Versão |
8.0 (Exchange Server 2007) |
Evento |
1037 |
Origem |
MSExchangeTransport |
Tipo de Alerta |
Critical Error |
Caminho de Regra do MOM |
Microsoft Exchange Server/Exchange 2007/Common Components/Hub Transport and Edge Transport/Transport |
Nome da regra MOM |
O certificado de transporte interno de entrada expirou. Execute o cmdlet New-ExchangeCertificate para gerar um novo certificado de transporte interno. |
Explicação
Esse evento de Aviso indica que ocorreu um problema durante uma tentativa de validação de um certificado de transporte interno (também conhecido como certificado de confiança direta) no computador. No Microsoft Exchange Server 2007, confiança direta é a funcionalidade de autenticação para a qual a presença do certificado no serviço de diretório do Active Directory ou no serviço de diretório do ADAM (Modo de Aplicativo do Active Directory) valida o certificado. O Active Directory é considerado um mecanismo de armazenamento confiável.
Por padrão, o Exchange usa um certificado auto-assinado instalado pelo servidor Exchange, e não um certificado personalizado de terceiros. Entretanto, você pode usar um certificado personalizado para confiança direta.
Esse problema é causado por uma ou mais das seguintes condições:
O serviço SMTP não está habilitado no certificado. Por padrão, o serviço SMTP fica habilitado nos certificados auto-assinados de transporte interno. Por essa razão, é mais provável que o serviço SMTP não possa ser habilitado se um certificado personalizado que esteja sendo usado para fins de confiança direta for instalado.
A conta Serviço de Rede pode não ter as permissões corretas nas chaves do computador.
Pode ocorrer falha na consulta de nome de host do processo de seleção de certificado devido à configuração incorreta do DNS ou devido à configuração do nome do computador.
A função de servidor Transporte de Hub está configurada para usar NLB (Balanceamento de Carga de Rede). Não há suporte para a função de servidor Transporte de Hub em configurações de NLB ou de cluster para fins de autenticação do Exchange Server em cenários como a comunicação entre servidores de Transporte de Hub. O uso do NLB pode causar falha na consulta de nome de host durante a validação do certificado.
Ação do usuário
Para resolver esse aviso, siga pelo menos um destes procedimentos:
Verifique se o serviço SMTP está habilitado no certificado.
Execute o seguinte comando do Shell de Gerenciamento do Exchange: Get-ExchangeCertificate | fl *
.gif "note")
Observação:Se estiver executando o Exchange Server 2007 Service Pack 1 ou versões posteriores, não inclua o asterisco ( *) no argumento do comando.O resultado mostrará detalhes de todos os certificados instalados no computador.
Se o valor do atributo IsSelfSign for True, o certificado pesquisado será o certificado auto-assinado instalado pelo Exchange. Pode haver mais de um certificado auto-assinado instalado no servidor. Entretanto, somente o carimbo de data/hora mais recente será considerado.
Se o valor do atributo IsSelfSign for False, o certificado pesquisado será um certificado de terceiros ou personalizado.
Se o atributo Services não incluir o valor SMTP, execute o seguinte comando do Shell de Gerenciamento do Exchange:
Enable-ExchangeCertificate -Thumbprint <inserir_impressão_digital_do_certificado> -Services:SMTP
Observação Esse comando acrescentará o SMTP a todos os serviços já habilitados no certificado. Ele não removerá nenhum serviço existente.
Determine se a conta Serviço de Rede tem as permissões corretas. Verifique se o Serviço de Rede possui permissões de leitura em todas as chaves do seguinte diretório: C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys, onde C:\ é o diretório no qual o Exchange 2007 foi instalado.
Observação Você também pode usar o Filemon para determinar se esse é um problema de permissão.
Inicie o Filemon e capture a ocorrência do erro. Consulte o arquivo de log resultante para saber se há eventos do tipo acesso negado. Verifique se os parâmetros definidos na configuração do computador DNS correspondem aos critérios usados no processo de validação do certificado de transporte interno. A configuração do computador DNS deve ser verificada em relação ao certificado auto-assinado instalado pelo servidor Exchange, pois esse é o certificado a ser usado para fins de confiança direta.
Se o servidor Exchange estiver sendo executado em um ambiente de NLB, um FQDN inesperado poderá ser adicionado durante o processo de validação do certificado. Se você observar um domínio inesperado, verifique se esse domínio está definido na configuração de NLB. Se a configuração de NLB contiver o FQDN inesperado, modifique-a para que ela não cause falha na validação do certificado.
Para obter mais informações, consulte os seguintes tópicos da Ajuda do Exchange:
Para obter mais informações
Para pesquisar os artigos da Base de Dados de Conhecimento Microsoft com base em critérios que geraram esse alerta, visite o site Search the Support Knowledge Base.
Para consultar artigos de mensagens de eventos do Exchange 2007 que podem não ser representados por alertas do Exchange 2007 MOM, consulte Events and Errors Message Center.
UNRESOLVED_TOKEN_VAL(InstallBPATool)