none
Ошибка 12014 STARTTLS Проблема с сертификатами. RRS feed

  • Общие обсуждения

  • Вкратце о структуре: 2 эксченджа + 2 DC в двух сайтах AD

    На одном эксчендже постоянно появляется ошибка 12014 MSExchangeTransport:

    Microsoft Exchange не удается найти сертификат, содержащий имя домена mail.domain.com, в хранилище личных сертификатов на локальном компьютере, поэтому он не поддерживает команду STARTTLS SMTP для соединителя Send Connector Perm с полным доменным именем mail.bcsoft.com. Если полное доменное имя соединителя не указано, используется полное доменное имя компьютера. Проверьте конфигурацию соединителя и установленных сертификатов, чтобы убедиться, что для этого полного доменного имени есть сертификат с именем домена. Если сертификат существует, выполните командлет Enable-ExchangeCertificate -Services SMTP, чтобы убедиться, что служба транспорта Microsoft Exchange имеет доступ к ключу сертификата.

    Начал разбираться, почитал статьи и т.д. Т.к. этот сертификат был установлен в хранилище личных сертификатов, я сделал Enable-ExchangeCertificate -Thumbprint ***18F -Services SMTP Отпечаток именно того сертификата. Однако после этого стало появляться предупреждение 12023 MSExchangeTransport:

    Microsoft Exchange не удалось загрузить сертификат с отпечатком ***18F из хранилища личных сертификатов на локальном компьютере. Этот сертификат настроен для проверки подлинности с другими серверами Exchange Server. Эта ошибка может повлиять на поток почты к другим серверам Exchange Server. Если сертификат с этим отпечатком все еще существует в хранилище личных сертификатов, выполните команду Enable-ExchangeCertificate ***18F -Services SMTP для устранения проблемы. Если сертификат отсутствует в хранилище личных сертификатов, восстановите его из резервной копии с помощью командлета Import-ExchangeCertificate или создайте новый сертификат для полного доменного имени или сервера с поддержкой SMTP с помощью команды New-ExchangeCertificate -DomainName serverfqdn -Services SMTP. До этого будет использоваться сертификат с отпечатком ***1958.

    Сертификат ***1958 принадлежит серверу на котором валяться ошибки. При этом вся почта ходит без проблем, коннекторы работают как надо.

    Для диагностики выкладываю конфиги:

     

    Get-ReceiveConnector | FL name, fqdn, objectClass

    Name        : Default PERM-EX01
    Fqdn        : PERM-EX01.domain.com
    ObjectClass : {top, msExchSmtpReceiveConnector}

     

    Name        : Client PERM-EX01
    Fqdn        : PERM-EX01.domain.com
    ObjectClass : {top, msExchSmtpReceiveConnector}

     

    Name        : Default MSK-MSG03
    Fqdn        : msk-msg03.domain.com
    ObjectClass : {top, msExchSmtpReceiveConnector}

     

    Name        : Client MSK-MSG03
    Fqdn        : mail.msk.domain.com
    ObjectClass : {top, msExchSmtpReceiveConnector}

     

    Get-SendConnector | FL name, fqdn, objectClass

    Name        : Send Connector Perm
    Fqdn        : mail.domain.com
    ObjectClass : {top, msExchConnector, mailGateway, msExchRoutingSMTPConnector}

     

    Name        : Send Connector Moscow
    Fqdn        : msk-msg03.domain.com
    ObjectClass : {top, msExchConnector, mailGateway, msExchRoutingSMTPConnector}

     

    Get-ExchangeCertificate | FL

    CertificateDomains   : {mail.domain.comdomain.com, perm-ex01.domain.com}
    Services            : SMTP
    Status               : Valid
    Thumbprint        : ***18F

    CertificateDomains   : {msk-msg03.domain.com}
    Services            : IMAP, UM, IIS, SMTP
    Status               : Unknown
    Thumbprint        : ***1958

     

    • Изменен тип Daniil KhabarovModerator 12 августа 2010 г. 7:37
    • Перемещено Hengzhe Li 12 марта 2012 г. 6:41 forum merge (От:Exchange Server 2007)
    3 августа 2010 г. 6:08

Все ответы

  • Добрый день.

    Это ошибка появилась после чего-то или спонтанно ? Если верить вот  этому, то можно посмотреть в сторону переустановки сертификата.



    Daniil Khabarov, MSFT  Follow MSTechnetForum on Twitter
    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
    Посетите Блог Инженеров
    4 августа 2010 г. 11:28
    Модератор
  • Ошибка появилась давно, еще до меня, но т.к. проблем она не доставляет, кроме как мазолит глаза в эвентах, ей никто и не занимался.

    Попробую переставить сертификат заново, но у прошлого админа результатов эта операция не принесла.

    5 августа 2010 г. 6:10
  • Мне кажется TLS это когда на два почтовых сервера обмениваются своими сертификатами которые помещаются в Доверенные центры сертификации...

    5 августа 2010 г. 17:33
  • Уважаемый пользователь!
    В вашей теме отсутствует активность в течение последних 5 дней. При отсутствии каких-либо действий в течение 2 последующих дней, тема будет переведена в разряд обсуждений. Вы можете возобновить дискуссию, просто оставив сообщение в данной теме.


    Daniil Khabarov, MSFT  Follow MSTechnetForum on Twitter
    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
    Посетите Блог Инженеров
    10 августа 2010 г. 8:03
    Модератор