Стоит Exchange2007 поверх WinServ2003. Все обновления установлены. Эта же машина является Активным каталогом.
Год Exchange 2007 работал без проблем. Истек срок действия само-подписанного сертификата SMTP. Захожу под администратором(и локально и через RemoteDesktop).
Пишет, что у меня нет прав на создание сертификата. Хотя пользователь administrator входит в группу Exchange Organization Administrators.
Тогда решил создать сертификат с поднятой мною службы сертификатов. Год назад я создавал сертификат для OWA, и все прекрасно работало. Сейчас, при попытке импортировать созданный сертификат на локальный компьютер(), тоже кричит, что нет прав, хотя я и в группе Schema Admins, Enterprise Admins и Domain Admins.
Подскажите, пожалуйста, как выйти из данной ситуации. Заходить в mmc и открывать список сертификатов локальной машины я могу. В установке новых мне отказано.
Спасибо.
ПеремещеноHengzhe Li16 марта 2012 г. 8:33forum merge (От:Exchange Server 2007)
Стоит Exchange2007 поверх WinServ2003. Все обновления установлены. Эта же машина является Активным каталогом.
Год Exchange 2007 работал без проблем. Истек срок действия само-подписанного сертификата SMTP. Захожу под администратором(и локально и через RemoteDesktop).
Пишет, что у меня нет прав на создание сертификата. Хотя пользователь administrator входит в группу Exchange Organization Administrators.
Тогда решил создать сертификат с поднятой мною службы сертификатов. Год назад я создавал сертификат для OWA, и все прекрасно работало. Сейчас, при попытке импортировать созданный сертификат на локальный компьютер(), тоже кричит, что нет прав, хотя я и в группе Schema Admins, Enterprise Admins и Domain Admins.
Подскажите, пожалуйста, как выйти из данной ситуации. Заходить в mmc и открывать список сертификатов локальной машины я могу. В установке новых мне отказано.
Даже когда просто пытаюсь сделать файл с запросом сертификата, он мне выдает: New-ExchangeCertificate : Either you cannot overwrite the output file C:\smtpimap.req because it is set to read-only or you have insufficient permissions to create this certificate request. At line:1 char:24 + New-ExchangeCertificate <<<< -GenerateRequest -Path C:\smtpimap.req -DomainName anyserver.com -PrivateKeyExportable $true
Зашел на свой сервер, где поднят сервер сертификатов по WEB доступу. Задал данные и создал просто файл запроса. Потом через него же создал сертификат. Импортировал в папку сертификатов локального компьютера, импортировалось. Посмотрел в ExchangeShell, новый сертификат появился. Настроил на него SMTP сервис. Внешне выглядит шикарно. Но все равно не хочет работать.
Event Type: Error Event Source: MSExchangeTransport Event Category: TransportService Event ID: 12013 Date: 1/19/2009 Time: 2:28:34 PM User: N/A Computer: anyserver Description: Microsoft Exchange could not load the certificate with thumbprint of 3E040D5B7195ABB0C4F6849840E179B2D5872475 from the personal store on the local computer. This certificate was configured for authentication with other Exchange servers. Mail flow to other Exchange servers could be affected by this error. If the certificate with this thumbprint still exists in the personal store, run Enable-ExchangeCertificate 3E040D5B7195ABB0C4F6849840E179B2D5872475 -Services SMTP to resolve the issue. If the certificate does not exist in the personal store, restore it from backup by using the Import-ExchangeCertificate cmdlet, or create a new certificate for the FQDN or the server enabled for SMTP by running the following command: New-ExchangeCertificate -DomainName serverfqdn -Services SMTP.
Event Type: Error Event Source: MSExchangeTransport Event Category: TransportService Event ID: 12014 Date: 1/19/2009 Time: 2:28:34 PM User: N/A Computer: anyserver Description: Microsoft Exchange couldn't find a certificate that contains the domain name anyserver.com in the personal store on the local computer. Therefore, it is unable to support the STARTTLS SMTP verb for the connector Receive from Internet with a FQDN parameter of anyserver.com. If the connector's FQDN is not specified, the computer's FQDN is used. Verify the connector configuration and the installed certificates to make sure that there is a certificate with a domain name for that FQDN. If this certificate exists, run Enable-ExchangeCertificate -Services SMTP to make sure that the Microsoft Exchange Transport service has access to the certificate key.
Даже когда просто пытаюсь сделать файл с запросом сертификата, он мне выдает: New-ExchangeCertificate : Either you cannot overwrite the output file C:\smtpimap.req because it is set to read-only or you have insufficient permissions to create this certificate request. At line:1 char:24 + New-ExchangeCertificate <<<< -GenerateRequest -Path C:\smtpimap.req -DomainName anyserver.com -PrivateKeyExportable $true
Зашел на свой сервер, где поднят сервер сертификатов по WEB доступу. Задал данные и создал просто файл запроса. Потом через него же создал сертификат. Импортировал в папку сертификатов локального компьютера, импортировалось. Посмотрел в ExchangeShell, новый сертификат появился. Настроил на него SMTP сервис. Внешне выглядит шикарно. Но все равно не хочет работать.
Event Type: Error Event Source: MSExchangeTransport Event Category: TransportService Event ID: 12013 Date: 1/19/2009 Time: 2:28:34 PM User: N/A Computer: anyserver Description: Microsoft Exchange could not load the certificate with thumbprint of 3E040D5B7195ABB0C4F6849840E179B2D5872475 from the personal store on the local computer. This certificate was configured for authentication with other Exchange servers. Mail flow to other Exchange servers could be affected by this error. If the certificate with this thumbprint still exists in the personal store, run Enable-ExchangeCertificate 3E040D5B7195ABB0C4F6849840E179B2D5872475 -Services SMTP to resolve the issue. If the certificate does not exist in the personal store, restore it from backup by using the Import-ExchangeCertificate cmdlet, or create a new certificate for the FQDN or the server enabled for SMTP by running the following command: New-ExchangeCertificate -DomainName serverfqdn -Services SMTP.
Event Type: Error Event Source: MSExchangeTransport Event Category: TransportService Event ID: 12014 Date: 1/19/2009 Time: 2:28:34 PM User: N/A Computer: anyserver Description: Microsoft Exchange couldn't find a certificate that contains the domain name anyserver.com in the personal store on the local computer. Therefore, it is unable to support the STARTTLS SMTP verb for the connector Receive from Internet with a FQDN parameter of anyserver.com. If the connector's FQDN is not specified, the computer's FQDN is used. Verify the connector configuration and the installed certificates to make sure that there is a certificate with a domain name for that FQDN. If this certificate exists, run Enable-ExchangeCertificate -Services SMTP to make sure that the Microsoft Exchange Transport service has access to the certificate key.
Для начала разберитесь с правами администратора на почтовом сервере.
Под разными логинами с правами администратора схожие проблемы ?
В логах, при попытке создать новый само-подписанный сертификат выскакивает:
Event Type: Error Event Source: MSExchange Common Event Category: General Event ID: 4999 Date: 1/19/2009 Time: 5:09:28 PM User: N/A Computer: BRAIN Description: Watson report about to be sent to dw20.exe for process id: 2504, with parameters: E12, c-RTL-AMD64, 08.01.0240.006, powershell, M.E.Net, M.E.S.C.X.TlsCertificateInfo.CreateSelfSignCertificate, S.S.Cryptography.CryptographicException, 21bc, 08.01.0336.000. ErrorReportingEnabled: True
Самое, что интересное, если есть сертификат, то через mmc я могу импортироватьв папку сертификатов локального компьютера. Но это не помогает, так как мне не создать нормальный сертификат. Из mmc он позволяет только запросить сертификат типа Domain Controller. А мне необходимо WebServer. Это только через Web. А через Web я не могу сертификат импортировать в папку сертификатов локального компьютера. Я не могу понять почему он не дает мне создать само-подписанный сертификат и выводит в логах:
Event Type: Error Event Source: MSExchange Common Event Category: General Event ID: 4999 Date: 1/19/2009 Time: 5:09:28 PM User: N/A Computer: BRAIN Description: Watson report about to be sent to dw20.exe for process id: 2504, with parameters: E12, c-RTL-AMD64, 08.01.0240.006, powershell, M.E.Net, M.E.S.C.X.TlsCertificateInfo.CreateSelfSignCertificate, S.S.Cryptography.CryptographicException, 21bc, 08.01.0336.000. ErrorReportingEnabled: True
Самое, что интересное, если есть сертификат, то через mmc я могу импортироватьв папку сертификатов локального компьютера. Но это не помогает, так как мне не создать нормальный сертификат. Из mmc он позволяет только запросить сертификат типа Domain Controller. А мне необходимо WebServer. Это только через Web. А через Web я не могу сертификат импортировать в папку сертификатов локального компьютера. Я не могу понять почему он не дает мне создать само-подписанный сертификат и выводит в логах:
Event Type: Error Event Source: MSExchange Common Event Category: General Event ID: 4999 Date: 1/19/2009 Time: 5:09:28 PM User: N/A Computer: BRAIN Description: Watson report about to be sent to dw20.exe for process id: 2504, with parameters: E12, c-RTL-AMD64, 08.01.0240.006, powershell, M.E.Net, M.E.S.C.X.TlsCertificateInfo.CreateSelfSignCertificate, S.S.Cryptography.CryptographicException, 21bc, 08.01.0336.000. ErrorReportingEnabled: True
Да нет, запросить я могу и даже установить могу и он даже создается, но сохранить могу только в папку сертификатов пользователя.
А вот в папку локального компьютера() из IIS установить не удается. Пишет:
An error occurred while creating the certificate request. Please verify that your CSP supports any settings you have made and that your input is valid.
Suggested cause: You do not have write permission to save the file to the path
Error: 0x00000046 - Permission Denied
Пробовал достичь цели через создание запроса. Так не получается. Пишу:New-ExchangeCertificate -GenerateRequest -Path c:\request.req -SubjectName "c=RU, o=arkom, cn=brain" -DomainName brain, brain.arkom-org.com -PrivateKeyExportable $true
А мне в ответ: New-ExchangeCertificate : Either you cannot overwrite the output file c:\request.req because it is set to read-only or you have insufficient permissions to cr eate this certificate request. At line:1 char:24 + New-ExchangeCertificate <<<< -GenerateRequest -Path c:\request.req -SubjectName "c=RU, o=company, cn=anyserver" -DomainName anyserver, anyserver.com -PrivateKeyExportable $true
Заработало!!!!!!!! Сертификаты создаются. Почта идет в обе стороны.
Кстати, суперская вещь этот ProcessMonitor. С его помощью и нашел трабл. ExchangeShell не мог получить доступ к папкам и файликам C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto.
Я конечно схалявил, тупо дал полный доступ Everybody к папке C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto и её внутренностям. Подскажите, плиз, какие правильные доступы к папкам на почтовом сервере: C:\Documents and Settings\All Users\Application Data\Microsoft C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys
