Résolution des erreurs 1037 et 2019 du certificat de confiance directe

S’applique à : Exchange Server 2007 SP1, Exchange Server 2007

Dernière rubrique modifiée : 2007-09-13

Cette rubrique explique la procédure pour résoudre les événements 1037 et 2019. Ces derniers sont associés à des certificats de confiance directe.

Les événements 1037 et 2019 sont des avertissements indiquant qu'un problème est apparu lors de la validation par Microsoft Exchange d'un certificat de transport interne (également appelé certificat de confiance directe) sur l'ordinateur sur lequel les événements se sont produits. Dans Exchange Server 2007, de confiance directe signifie que la présence du certificat dans le service d'annuaire Active Directory ou le service d'annuaire Active Directory Application Mode valide le certificat. Active Directory est considéré comme un mécanisme de stockage approuvé. Lorsque la confiance directe est utilisée, que le certificat soit auto-signé ou signé par une autorité de certification est sans importance.

Par défaut, Microsoft Exchange utilise un certificat auto-signé installé par Microsoft Exchange au lieu d'un certificat personnalisé tiers. Toutefois, vous pouvez utiliser un certificat personnalisé pour la confiance directe.

Le problème indiqué par les événements 1037 et 2019 est provoqué par une ou plusieurs des conditions suivantes :

• Le service SMTP (Simple Mail Transfer Protocol) n'est pas activé sur le certificat. Par défaut, le service SMTP est activé pour les certificats de transport interne auto-signés. Il est donc plus probable que le service SMTP ne soit pas activé si un certificat personnalisé utilisé pour une confiance directe est installé.

• Il est possible que les clés des autorisations nécessaires pour le compte de service réseau ne soient pas dans le répertoire suivant : C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys, où C:\ est l'emplacement du répertoire d'installation d'Exchange 2007.

• La requête du nom d'hôte dans le processus de sélection du certificat peut échouer en raison d'une configuration incorrecte du nom du DNS ou de l'ordinateur.

• Le rôle serveur de transport Hub est configuré pour utiliser l'équilibrage de la charge réseau. Le rôle serveur de transport Hub n'est pas pris en charge dans la configuration du cluster ou de l'équilibrage de la charge réseau lors de l'authentification du serveur Exchange pour des scénarios tels que la communication entre les serveurs de transport Hub. L'utilisation de l'équilibrage de la charge réseau peut engendrer l'échec de la requête du nom d'hôte lors de la validation du certificat.

Avant de commencer

Pour exécuter cette procédure, vous devez utiliser un compte auquel ont été délégués :

• le rôle Administrateur Exchange Affichage seul pour exécuter la cmdlet Get-ExchangeCertificate ;

• le rôle Administrateur de serveur Exchange et le groupe Administrateurs local pour le serveur cible pour exécuter la cmdlet New-ExchangeCertificate ou la cmdlet Enable-ExchangeCertificate ;

• le groupe Administrateurs local pour le serveur cible pour exécuter Filemon (Filemon.exe).

Pour exécuter une de ces cmdlets ou Filemon sur un ordinateur sur lequel le rôle serveur de transport Edge est installé, vous devez ouvrir une session en utilisant un compte membre du groupe Administrateurs local sur cet ordinateur.

Pour plus d'informations sur les autorisations, la délégation de rôles et les droits requis pour administrer Exchange 2007, consultez la rubrique Considérations relatives aux autorisations.

Procédure

Pour résoudre ces événements d'avertissement, effectuez une ou plusieurs des opérations suivantes :

• Vérifiez que le service SMTP est activé sur le certificat.

  Exécutez la cmdlet suivante dans l'environnement de ligne de commande Management Shell.

  Get-ExchangeCertificate | fl *

  Notes

  Si votre ordinateur exécute Exchange Server 2007 Service Pack 1 ou supérieur, omettez l’astérisque (*) sur l’argument de commande.

  Les données en sortie afficheront tous les certificats détaillés installés sur l'ordinateur.

  • Si la valeur de l'attribut IsSelfSign est True, alors le certificat est celui auto-signé installé par Microsoft Exchange. Vous pouvez avoir plusieurs certificats auto-signés installés sur le serveur. Toutefois, seul le certificat valide avec l'horodatage le plus récent sera utilisé.

  • Si la valeur de l'attribut IsSelfSign est False, alors le certificat est un certificat tiers ou personnalisé.

  Si l'attribut Services n'inclut pas la valeur SMTP, exécutez la cmdlet suivante dans l'environnement de ligne de commande Exchange Management Shell.

  Enable-ExchangeCertificate -Thumbprint <insert_certificate_thumbprint> -Services:SMTP
  

  Notes

  Cette commande ajoutera le service SMTP à tous les services déjà activés pour le certificat. Elle ne supprime aucun service existant.

• Déterminez si le compte de service réseau détient les autorisations nécessaires. Assurez-vous que le compte de service réseau possède les autorisations de lecture sur toutes les clés du répertoire suivant : C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys, où C:\ est l'emplacement du répertoire d'installation d'Exchange 2007.

  Notes

  Filemon peut également permettre de déterminer s'il s'agit d'un problème d'autorisations.

• Démarrez Filemon et capturez l'occurrence de l'erreur. Consultez le fichier journal résultant pour chaque événement d'accès refusé. Vérifiez que les paramètres définis dans la configuration DNS locale correspondent aux critères utilisés dans le processus de validation pour les certificats de confiance directe. La configuration DNS locale doit être comparée au certificat auto-signé installé par Microsoft Exchange car ce certificat est requis pour la confiance directe. Le processus de validation des certificats de transport interne vérifie les paramètres de configuration DNS suivants :

  • DnsFullyQualifiedDomainName

  • DnsHostName

  • DnsPhysicalFullyQualifiedDomainName

  • DnsPhysicalHostName

  Vous pouvez vérifier les critères du certificat à l'aide du suivi de l'Assistant Résolution de problèmes d'Exchange. Pour ce faire, utilisez les composants et les balises suivants :

  • Common\Certificate

  • NetworkingLayer\Certificate

  • TransportService\r\n

  Le suivi de l'Assistant Résolution de problèmes d'Exchange génère une sortie permettant de déterminer si le nom de domaine complet (FQDN) correspond aux domaines configurés sur le certificat auto-signé. Si le nom de domaine ne correspond pas, c'est qu'il est probablement configuré de manière incorrecte. Dans ce scénario, vous devez essayer de déterminer l'emplacement à partir duquel le certificat tire les données.

• Si le serveur Exchange fonctionne dans un environnement d'équilibrage de charge réseau, un nom de domaine complet inattendu peut être ajouté lors du processus de validation pour les certificats de confiance directe. Si vous remarquez un domaine inattendu, vérifiez que celui-ci est bien configuré dans la configuration d'équilibrage de charge réseau. Si la configuration d'équilibrage de charge réseau contient un nom de domaine complet inattendu, modifiez-la afin qu'elle n'entraîne pas l'échec de la validation du certificat.

Pour plus d'informations

Pour plus d'informations, consultez les rubriques suivantes :

• Sélection d'un certificat TLS SMTP

• Procédure de résolution des erreurs de validation de certificat

• Procédure d'activation de l'enregistrement de certificat

• Utilisation de certificats dans un serveur Exchange 2007