Проблема с сертификатами Exchange 2007 - Компьютерный форум OSzone.net

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Microsoft Exchange Server (http://forum.oszone.net/forumdisplay.php?f=76)

- - Проблема с сертификатами Exchange 2007 (http://forum.oszone.net/showthread.php?t=237556)

Проблема с сертификатами Exchange 2007

Приветствую! Расскажу по порядку:
В сети 3 контроллера домена, сервер Exchange стоит отдельно: Windows Server 2008 Standart x64 SP2 + Exchange 2007 SP3
Центр сертификации установлен на сервере Exchange.

Суть проблемы: есть сертификат, выданный для Web-сервера, в котором перечислены все доменные имена - тут проблем нет.
В просмотре событий Windows постоянно валятся такие ошибки (последовательность сохранена):

Цитата:

Microsoft Exchange не удалось загрузить сертификат с отпечатком 5E7655B6C3FB6AAB360DE4643757B4D488029D32 из хранилища личных сертификатов на локальном компьютере. Этот сертификат настроен для проверки подлинности с другими серверами Exchange Server. Эта ошибка может повлиять на поток почты к другим серверам Exchange Server. Если сертификат с этим отпечатком все еще существует в хранилище личных сертификатов, выполните команду Enable-ExchangeCertificate 5E7655B6C3FB6AAB360DE4643757B4D488029D32 -Services SMTP для устранения проблемы. Если сертификат отсутствует в хранилище личных сертификатов, восстановите его из резервной копии с помощью командлета Import-ExchangeCertificate или создайте новый сертификат для полного доменного имени или сервера с поддержкой SMTP с помощью команды New-ExchangeCertificate -DomainName serverfqdn -Services SMTP. До этого будет использоваться временный самозаверяющий сертификат с отпечатком EEB7AA17908C96C6908E37E863D1E07FD10989F8.

затем:

Цитата:

Microsoft Exchange не удается найти сертификат, содержащий имя домена Exchange-Domain.Domain.local, в личном хранилище на локальном компьютере, поэтому команда STARTTLS SMTP для соединителя Default EXCHANGE-SRV с полным доменным именем Exchange-Domain.Domain.local не поддерживается. Если полное доменное имя соединителя не указано, используется полное доменное имя компьютера. Проверьте конфигурацию соединителя и установленные сертификаты, чтобы убедиться в том, что для этого полного доменного имени есть сертификат с именем домена. Если сертификат существует, выполните командлет Enable-ExchangeCertificate -Services SMTP, чтобы убедиться, что служба транспорта Microsoft Exchange имеет доступ к ключу сертификата.

затем:

Цитата:

Microsoft Exchange не удается найти сертификат, содержащий имя домена mail.domain.com, в личном хранилище на локальном компьютере, поэтому команда STARTTLS SMTP для соединителя CONNECTOR с полным доменным именем mail.domain.com не поддерживается. Если полное доменное имя соединителя не указано, используется полное доменное имя компьютера. Проверьте конфигурацию соединителя и установленные сертификаты, чтобы убедиться в том, что для этого полного доменного имени есть сертификат с именем домена. Если сертификат существует, выполните командлет Enable-ExchangeCertificate -Services SMTP, чтобы убедиться, что служба транспорта Microsoft Exchange имеет доступ к ключу сертификата.

Сертификат привинчен ко всем службам, кроме SMTP. Попытка выполнить команду Enable-ExchangeCertificate -Services SMTP, равно как и команду Get-ExchangeCertificate "|fl приводит к ошибке:

Цитата:

Enable-ExchangeCertificate : Недостаточно прав для предоставления сетевой службе доступа к сертификату с отпечатком D5ADD7754FB41554993DB18E3290BF18A
41E278C.
строка:1 знак:27
+ Enable-ExchangeCertificate <<<< -Services SMTP
+ CategoryInfo : NotSpecified: (:) [Enable-ExchangeCertificate], AddAccessRuleUnauthorizedAccessException
+ FullyQualifiedErrorId : 405FFEF2,Microsoft.Exchange.Management.SystemConfigurationTasks.EnableExchangeCertificate

Вхожу в систему под администратором (домена, exchange итд).
Не пойму, куда смотреть. Подскажите? Сертификата с отпечатком 5E7655B6C3FB6AAB360DE4643757B4D488029D32 нет. По видимому, он удален командой certutil -revoke, в отозванных его нет

Покажите Get-ExchangeCertificate | fl Thumbprint,services,certificatedomains

Get-ReceiveConnector | fl name, fqdn
Get-sendConnector | fl name, fqdn

Get-ExchangeCertificate | fl Thumbprint,services,certificatedomains

Цитата:

ПРЕДУПРЕЖДЕНИЕ: Произошла непредвиденная ошибка. Создается отладочная информация: Процесс не обладает необходимой для выполнения данной операции
привилегией "SeSecurityPrivilege".
Get-ExchangeCertificate : Процесс не обладает необходимой для выполнения данной операции привилегией "SeSecurityPrivilege".
строка:1 знак:24
+ Get-ExchangeCertificate <<<< | fl Thumbprint,services,certificatedomains
+ CategoryInfo : NotSpecified: (: ) [Get-ExchangeCertificate], PrivilegeNotHeldException
+ FullyQualifiedErrorId : System.Security.AccessControl.PrivilegeNotHeldException,Microsoft.Exchange.Management.SystemConfigur ationTasks.GetExch
angeCertificate

Get-ReceiveConnector | fl name, fqdn:

Цитата:

Name : Default EXCHANGE-SRV
Fqdn : Exchange-Domain.Domain.local

Name : Client EXCHANGE-SRV
Fqdn : Exchange-Domain.Domain.local

Get-sendConnector | fl name, fqdn:

Цитата:

Name : CONNECTOR
Fqdn : mail.domain.com

Name : forward - отключен
Fqdn : mail.domain.com

Проверьте наличие группы Exchange Servers в Local Security Police\Local Policies\User Rights Assignment\Manage Audit and Security Log на DC

Log in to the Domain Controller as an administrator.

Click on "Start -->>All Programs -->>Administrative Tools -->>Local Security Policy.

Open the Security Settings -->>Local Policies -->>User Rights Assignment -->>Manage Audit and Security Logs

Click on "Add User/Group" and add the corresponding user.

Как на скриншоте

Группа присутствует! Домен\Exchange Servers

и сервер Exchange, само собой, в этой группе

Для начала нужно решить вот эту проблему:

ПРЕДУПРЕЖДЕНИЕ: Произошла непредвиденная ошибка. Создается отладочная информация: Процесс не обладает необходимой для выполнения данной операции
привилегией "SeSecurityPrivilege".
Get-ExchangeCertificate : Процесс не обладает необходимой для выполнения данной операции привилегией "SeSecurityPrivilege".
строка:1 знак:24
+ Get-ExchangeCertificate <<<< | fl Thumbprint,services,certificatedomains
+ CategoryInfo : NotSpecified: (: ) [Get-ExchangeCertificate], PrivilegeNotHeldException
+ FullyQualifiedErrorId : System.Security.AccessControl.PrivilegeNotHeldException,Microsoft.Exchange.Management.SystemConfigur ationTasks.GetExch
angeCertificate

Командлет Get-ExchangeCertificate должен нормально отрабатывать, потом уже решать остальное.

EMS запускаете с elevated privileges (Run as Administrator) ?

Когда Get-ExchangeCertificate выполняете?

Я захожу в систему под учетной записью администратора.

Ошибка прав появляется при Enable-exchangecertificate -services SMTP -thumbprint
Когда выполняю Enable-exchangecertificate -services IMAP, POP, IIS -thumbprint - прав хватает

Создавал текущий сертификат таким способом:

В ЕМС

Цитата:

New-Exchangecertificate -DomainName EXCHANGE-CA, ДОМЕННЫЕ_ИМЕНА -Friendlyname "Организация" -generaterequest:$true -keysize 1024 -path c:\exchangeservercertrequest.req -privatekeyexportable:$true –subjectname "c=RU, O=Организация, CN=EXCHANGE-CA"

выдержка из статьи, по которой я выписывал сертификат:

Цитата:

Получение сертификата

Открываем WEB-интерфейс нашего ЦС, «Request a certificate» >> «Advanced certificate request» >> «Submit a certificate request or renewal request» В окно вставляете содержимое вашего файла запроса, созданного на предыдущем шаге, выбираете шаблон «WEB-Server» и нажимаете «Submit». Сохраняете полученный сертификат на диске.

Импорт сертификата на сервер Exchange

Все просто — в EMS набираете:

Import-ExchangeCertificate –path <путь к файлу сертификата>

Так вот это то не работает:

Get-ExchangeCertificate | fl Thumbprint, services, сertificatedomains

Покажите вывод.

mail.domain.com есть в именах в сертификате?

Вывод все тот же ))

Цитата:

ПРЕДУПРЕЖДЕНИЕ: Произошла непредвиденная ошибка. Создается отладочная информация: Процесс не обладает необходимой для выполнения данной операции
привилегией "SeSecurityPrivilege".
Get-ExchangeCertificate : Процесс не обладает необходимой для выполнения данной операции привилегией "SeSecurityPrivilege".
строка:1 знак:24
+ Get-ExchangeCertificate <<<< | fl Thumbprint, services, сertificatedomains
+ CategoryInfo : NotSpecified: (: ) [Get-ExchangeCertificate], PrivilegeNotHeldException
+ FullyQualifiedErrorId : System.Security.AccessControl.PrivilegeNotHeldException,Microsoft.Exchange.Management.SystemConfigur ationTasks.GetExch
angeCertificate

В сертификате mail.domain.com присутствует

Ситуация все на той же стадии. Команда Enable-ExchangeCertificate -Services SMTP запрашивает Thumbprint, после ввода вот такое сообщение:

Цитата:

[PS] C:\Users\Administrator\Desktop>Enable-ExchangeCertificate -Services SMTP

Командлет Enable-ExchangeCertificate в конвейере команд в позиции 1
Укажите значения для следующих параметров:
Thumbprint: D5ADD7754FB41554993DB18E3290BF18A41E278C
Enable-ExchangeCertificate : Недостаточно прав для предоставления сетевой службе доступа к сертификату с отпечатком D5ADD7754FB41554993DB18E3290BF18A
41E278C.
строка:1 знак:27
+ Enable-ExchangeCertificate <<<< -Services SMTP
+ CategoryInfo : NotSpecified: (:) [Enable-ExchangeCertificate], AddAccessRuleUnauthorizedAccessException
+ FullyQualifiedErrorId : 405FFEF2,Microsoft.Exchange.Management.SystemConfigurationTasks.EnableExchangeCertificate

1nsanity, убедитесь, что сертификат установлен в Computer Store. Проверьте разрешения на сертификат: All Tasks --> Manage Private Key у вас и у LocalSystem должен быть Full Control на него. Ну и если все там правильно и хорошо - попробуйте переустановить его... Сертификат, в смысле.