必須更新內部傳輸憑證

詳細資料

說明

此警告事件表示嘗試在此電腦上驗證內部傳輸憑證 (也稱為直接信任憑證) 時發生問題。直接信任是 Microsoft Exchange Server 2007 的一種驗證功能，在這種功能下，只要是存在 Active Directory 目錄服務或 Active Directory 應用程式模式 (ADAM) 目錄服務中的憑證就是有效憑證。Active Directory 則是一種受信任的儲存機制。

依預設，Exchange 會使用 Exchange 伺服器安裝的自行簽署憑證，而不會使用協力廠商的自訂憑證。但是，您可以使用直接信任的自訂憑證。

此問題是由下列一或多種情況所造成：

• 憑證未啟用 SMTP 服務。依預設，自行簽署的內部傳輸憑證會啟用 SMTP 服務。因此，如果所安裝將用於直接信任的是自訂憑證，很可能就不會啟用 SMTP 服務。

• 網路服務帳戶可能沒有電腦機碼的正確權限。

• 憑證選取程序中的主機名稱查詢作業可能已因 DNS 或電腦名稱組態不正確而失敗。

• Hub Transport server role 已設定為使用網路負載平衡 (NLB)。在叢集或 NLB 組態中，Hub Transport server role 無法對例如 Hub Transport Server 之間的通訊之類的情形進行 Exchange Server 驗證。使用 NLB 可能導致主機名稱查詢作業在憑證驗證期間失敗。

使用者動作

若要解決此警告，請執行下列一或多項操作：

• 確定憑證已啟用 SMTP 服務。

  執行下列 Exchange 管理命令介面命令：Get-ExchangeCertificate | fl *

  附註：
  如果您執行的是 Exchange Server 2007 Service Pack 1 或更新版本，請勿在命令引數內包含星號 (*)。

  輸出結果會顯示所有安裝在電腦上之憑證的詳細資料。

  • 如果 IsSelfSign 屬性的值為 True，表示該憑證是由 Exchange 所安裝的自行簽署憑證。伺服器上可以安裝多個自行簽署憑證。不過只會考慮具有最新時間戳記的憑證。

  • 如果 IsSelfSign 的值為 False，表示該憑證是協力廠商的憑證或自訂憑證。

  如果 Services 屬性內不含值 SMTP，請執行下列 Exchange 管理命令介面命令：

  Enable-ExchangeCertificate -Thumbprint <insert_certificate_thumbprint> -Services:SMTP

  附註   此命令會將 SMTP 附加至憑證上已啟用的任何服務，但不會移除任何現有服務。

• 判斷網路服務帳戶是否具有正確權限。確定網路服務具有下列目錄中所有機碼的讀取權限：C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys，其中 C:\ 為安裝 Exchange 2007 的目錄。

  附註   也可使用 Filemon 判定這是否為權限問題。

  啟動 Filemon 並擷取錯誤事件。檢閱產生的記錄檔中是否有任何拒絕存取事件。確認 DNS 電腦組態中設定的參數符合用於內部傳輸憑證確認程序的準則。因為由 Exchange 伺服器所安裝的自行簽署憑證是我們預期要用於直接信任的憑證，所以應該針對此憑證檢查 DNS 電腦組態。

• 如果 Exchange 伺服器是在 NLB 環境中執行，則可能會在憑證驗證程序期間新增意外的 FQDN。如果您注意到意外的網域，請檢查 NLB 組態以查看其中是否有設定意外的網域。如果 NLB 組態包含意外的 FQDN，請修改 NLB 組態以免造成憑證驗證失敗。

如需相關資訊，請參閱下列 Exchange Server 說明主題：

• SMTP TLS 憑證選擇

• 如何修正憑證驗證錯誤

• 如何啟用憑證記錄

• Exchange 2007 Server 中的憑證使用方式

相關資訊

若要根據產生此警示的準則來搜尋 Microsoft 知識庫文章，請瀏覽搜尋支援知識庫 (KB) 網站。

若要檢閱可能未由 Exchange 2007 MOM 警示所陳述的 Exchange 2007 事件訊息文章，請參閱事件和錯誤訊息中心。

UNRESOLVED_TOKEN_VAL(InstallBPATool)