如何疑難排解直接信任憑證錯誤 1037 與 2019

Exchange 2007
 

適用版本: Exchange Server 2007 SP1, Exchange Server 2007

上次修改主題的時間: 2007-09-13

本主題說明如何排除事件 1037 與事件 2019 的問題。這些事件與直接信任憑證有關。

事件 1037 和事件 2019 屬於警告事件,指出當 Microsoft Exchange 嘗試在發生事件的電腦上驗證內部傳輸憑證 (也稱為直接信任憑證) 時發生問題。在 Microsoft Exchange Server 2007 中,直接信任表示如果 Active Directory 目錄服務或 Active Directory 應用程式模式 (ADAM) 目錄服務中有憑證存在,就會驗證該憑證。Active Directory 被視為是信任儲存機制。使用直接信任時,憑證是自行簽署或由憑證授權單位簽署都無所謂。

根據預設,Microsoft Exchange 使用 Microsoft Exchange 安裝的自行簽署憑證,而非使用協力廠商自訂憑證。不過,您可以使用自訂憑證進行直接信任。

事件 1037 和事件 2019 指出的問題,是由下列一或多個狀況造成:

  • 憑證上未啟用簡易郵件傳送通訊協定 (SMTP) 服務。根據預設,自行簽署的內部傳輸憑證會啟用 SMTP 服務。因此,如果安裝了要用於直接信任的自訂憑證,很可能不會啟用 SMTP 服務。
  • 網路服務帳戶可能沒有以下目錄中金鑰的正確權限:C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys,其中 C:\ 是安裝 Exchange 2007 的目錄。
  • 憑證選擇程序中的主機名稱查詢,可能因為 DNS 或電腦名稱組態不正確而失敗。
  • Hub Transport server role 設定為使用網路負載平衡 (NLB)。叢集或 NLB 組態中,並不支援 Hub Transport server role 用於 Hub Transport Server 之間通訊等狀況的 Exchange Server 驗證。使用 NLB 可能造成憑證驗證過程中的主機名稱查詢失敗。

若要執行這個程序,您使用的帳戶必須已委派下列資格:

若要在已安裝 Edge Transport server role 的電腦上執行這些指令程式的任一個或 Filemon,必須使用屬於該電腦上本機 Administrators 群組成員的帳戶登入。

如需管理 Exchange 2007 所需之權限、委派角色及權利的相關資訊,請參閱權限考量

  • 確定已在憑證上啟用 SMTP 服務。

    在 Exchange 管理命令介面中執行以下指令程式。

    Get-ExchangeCertificate | fl *

    note附註:
    如果您執行的是 Exchange Server 2007 Service Pack 1 或更新版本,請在命令引數中加上星號 (*)。

    輸出會顯示電腦上已安裝之所有憑證的詳細資料。

    • 如果 IsSelfSign 屬性的值是 True,憑證便是由 Microsoft Exchange 所安裝的自行簽署憑證。伺服器上可以安裝多個自行簽署憑證。但是,只會使用時間戳記最近的有效的憑證。
    • 如果 IsSelfSign 屬性的值是 False,那麼憑證是協力廠商憑證或自訂憑證。

    如果 Services 屬性不包含 SMTP 值,請在 Exchange 管理命令介面中執行以下指令程式。

    Enable-ExchangeCertificate -Thumbprint <insert_certificate_thumbprint> -Services:SMTP
    
    note附註:
    這個命令會將 SMTP 附加至已於憑證上啟用的所有服務。它不會移除任何現有的服務。
  • 判斷網路服務帳戶是否有正確的權限。確定網路服務帳戶擁有以下目錄中所有金鑰的讀取權限:C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys,其中 C:\ 是安裝 Exchange 2007 的目錄。

    note附註:
    也可以使用 Filemon 來判斷這是否為權限的問題。
  • 啟動 Filemon 並擷取錯誤的發生。檢閱任何存取遭拒事件產生的記錄檔。確認在本機 DNS 組態中設定的參數,與驗證程序中直接信任憑證使用的準則相符。本機 DNS 組態應與 Microsoft Exchange 安裝的自行簽署憑證比較,因為直接信任需要該憑證。內部傳輸憑證的驗證程序會檢查下列 DNS 組態設定:

    • DnsFullyQualifiedDomainName
    • DnsHostName
    • DnsPhysicalFullyQualifiedDomainName
    • DnsPhysicalHostName

    您可以使用 Exchange Troubleshooting Assistant 追蹤來檢閱憑證的準則。若要這樣做,請使用下列元件和標記:

    • Common\Certificate
    • NetworkingLayer\Certificate
    • Transport\Certificate

    Exchange Troubleshooting Assistant 追蹤會產生輸出,這個輸出可以幫助您判斷網域全名 (FQDN) 是否與自行簽署憑證上設定的網域相符。如果 FQDN 不符,很可能是設定錯誤。在此狀況中,您應該嘗試判斷憑證提取資料的來源位置。

  • 如果 Exchange 伺服器是在 NLB 環境中執行,則在直接信任憑證的驗證程序期間可能新增意外的 FQDN。如果您發覺意外的網域,請檢查 NLB 組態,看看意外的網域是否是在其中設定。如果 NLB 組態包含意外的 FQDN,請修改 NLB 組態,使其不致造成憑證驗證失敗。

若要確保您目前閱讀的是最新資訊,並尋找其他的 Exchange Server 2007 說明文件,請造訪 Exchange Server 技術資源中心.
顯示: