Compartilhar via


Como solucionar os Erros 1037 e 2019 do certificado de confiança direta

 

Aplica-se a: Exchange Server 2007 SP1, Exchange Server 2007

Tópico modificado em: 2007-09-13

Este tópico explica como solucionar os eventos 1037 e 2019. Esses eventos estão associados a certificados de confiança direta.

Os eventos 1037 e 2019 são eventos de avisos que indicam um problema ocorrido quando o Microsoft Exchange tentou validar um certificado de transporte interno (também conhecida como certificado de confiança direta) no computador em que os eventos ocorreram. No Microsoft Exchange Server 2007, confiança direta significa que a presença do certificado no serviço de diretório do Active Directory ou no serviço de diretório do ADAM (Active Directory Application Mode) valida o certificado. O Active Directory é considerado um mecanismo de armazenamento confiável. Quando a confiança direta é usada, não importa se o certificado é auto-assinado ou assinado por uma autoridade de certificação.

Por padrão, o Microsoft Exchange usa um certificado auto-assinado instalado pelo Microsoft Exchange, em vez de usar um certificado personalizado de terceiros. Entretanto, você pode usar um certificado personalizado para confiança direta.

O problema indicado pelos eventos 1037 e 2019 é causado por uma ou mais das seguintes condições:

  • O serviço SMTP (Simple Mail Transfer Protocol) não está habilitado no certificado. Por padrão, certificados de transporte interno auto-assinados têm o serviço SMTP habilitado. Por essa razão, é mais provável que o serviço SMTP não possa ser habilitado se um certificado personalizado que esteja sendo usado para fins de confiança direta for instalado.

  • A conta Serviço de Rede pode não ter as permissões corretas sobre as chaves no seguinte diretório: C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys, onde C:\ é o diretório no qual o Exchange 2007 foi instalado.

  • A consulta de nome de host no processo de seleção de certificado pode falhar por causa de configuração incorreta de DNS ou de nome de máquina.

  • A função de servidor Transporte de Hub está configurada para usar NLB (Equilíbrio de Carga da Rede). A função de servidor Transporte de Hub não é aceita em uma configuração de NLB ou de cluster para fins de autenticação do Exchange Server em cenários como comunicação entre servidores de Transporte de Hub. O uso de NLB pode fazer com que a consulta de nome de host falhe durante a validação do certificado.

Antes de começar

Para executar esse procedimento, você deve usar uma conta à qual estejam delegadas as seguintes funções:

  • Função Administrador Somente para Exibição do Exchange para executar o cmdlet Get-ExchangeCertificate

  • Função Administrador do Exchange Server e grupo Administradores local no servidor de destino para executar o cmdlet New-ExchangeCertificate ou Enable-ExchangeCertificate.

  • Grupo de Administradores local do servidor de destino para executar o Filemon (Filemon.exe)

Para executar qualquer um desses cmdlets ou o Filemon em um computador em que a função de servidor Transporte de Borda esteja instalada, faça logon com uma conta que seja membro do grupo Administradores local nesse computador.

Para obter mais informações sobre permissões, delegação de funções e os direitos necessários para administrar o Exchange 2007, consulte Considerações sobre permissão.

Procedimento

Para resolver os eventos de aviso, execute um ou mais dos seguintes procedimentos

  • Certifique-se de que o serviço SMTP esteja habilitado no certificado.

    Execute o seguinte cmdlet no Shell de Gerenciamento do Exchange.

    Get-ExchangeCertificate | fl *

    Dica

    Se estiver executando o Exchange 2007 Service Pack 1 ou versões posteriores, não inclua o asterisco (*) no argumento do comando.

    A saída mostrará detalhes de todos os certificados que estão instalados no computador.

    • Se o valor do atributo IsSelfSign for True, o certificado será o auto-assinado instalado pelo Microsoft Exchange. Você pode ter mais de um certificado auto-assinado instalado no servidor. Entretanto, apenas o certificado válido com o carimbo de data e hora mais recente será usado.

    • Se o valor do atributo IsSelfSign for False, o certificado será de terceiros ou personalizado.

    Se o atributo Services não incluir o valor SMTP, execute o seguinte cmdlet no Shell de Gerenciamento do Exchange.

    Enable-ExchangeCertificate -Thumbprint <insert_certificate_thumbprint> -Services:SMTP
    

    Dica

    Esse comando incluirá o SMTP em todos os serviços já habilitados no certificado. Ele não removerá nenhum serviço existente.

  • Determine se a conta Serviço de Rede tem as permissões corretas. Certifique-se de que a conta Serviço de Rede tenha permissões de leitura em todas as chaves no seguinte diretório: C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys, onde C:\ é o diretório no qual o Exchange 2007 foi instalado.

    Dica

    O Filemon também pode ser usado para determinar se esse é um problema de permissões.

  • Inicie o Filemon e obtenha a ocorrência do erro. Consulte o arquivo de log resultante de eventos do tipo access denied. Verifique se os parâmetros que estão definidos na configuração de DNS local correspondem aos critérios que estão sendo usados no processo de validação para os certificados de confiança direta. A configuração de DNS local deve ser comparada com o certificado auto-assinado instalado pelo Microsoft Exchange porque esse certificado é obrigatório para fins de confiança direta. O processo de validação dos certificados de transporte interno verifica as seguintes definições de configuração de DNS:

    • DnsFullyQualifiedDomainName

    • DnsHostName

    • DnsPhysicalFullyQualifiedDomainName

    • DnsPhysicalHostName

    Você pode consultar os critérios do certificado usando o controle do Assistente de Solução de Problemas do Exchange. Para fazer isso, use os seguintes componentes e marcas:

    • Common\Certificate

    • NetworkingLayer\Certificate

    • Transport\Certificate

    O controle do Assistente de Solução de Problemas do Exchange gera resultados que podem ajudar a determinar se o nome de domínio totalmente qualificado (FQDN) corresponde aos domínios configurados no certificado auto-assinado. Se o FQDN não corresponde, provavelmente está configurado de forma incorreta. Nesse cenário, tente determinar de qual local o certificado está obtendo os dados.

  • Se o servidor Exchange estiver sendo executado em um ambiente de NLB, um FQDN inesperado poderá ser adicionado durante o processo de validação dos certificados de confiança direta. Se você notar um domínio inesperado, verifique a configuração de NLB para saber se o domínio inesperado está configurado. Se a configuração de NLB contiver o FQDN inesperado, modifique-a de modo que ela não cause falha na validação do certificado.

Para obter mais informações

Para obter mais informações, consulte os seguintes tópicos: