Immer wieder MSExchangeTransport 12014

Wenn Exchange 2007 Probleme mit dem SMTP Zertifikat feststellt, wird das Anwendungsprotokoll mit dem Ereignis 12014 vom MSExchangeTransport überschwemmt.
In der Meldung heisst es:

Microsoft Exchange konnte ein Zertifikat nicht finden, das den Domänennamen „mail.domain.tld“ im persönlichen Informationsspeicher auf dem lokalen Computer enthält. Daher kann die STARTTLS-SMTP-Aktionsart für den Connector „Internet“ mit einem FQDN-Parameter von „mail.domain.tld“ nicht unterstützt werden. Überprüfen Sie die Connectorkonfiguration sowie die installierten Zertifikate, damit sichergestellt wird, dass ein Zertifikat mit einem Domänennamen für jeden Connector-FQDN vorhanden ist. Wenn das Zertifikat vorhanden ist, führen Sie „Enable-ExchangeCertificate -Services SMTP“ aus, damit sichergestellt ist, dass der Microsoft Exchange-Transportdienst auf den Zertifikatschlüssel zugreifen kann.

Was die Meldung eigentlich sagen möchte ist, es braucht nur das Zertifikat dem SMTP Dienst zugewiesen werden. Dazu werden in der Exchange-Verwaltungsshell zunächst die vorhandenen Zertifikate ausgelesen mit, Get-ExchangeCertificate | FL *.
In meinem Fall waren drei Zertifikate vorhanden und ich musste zunächst das richtige raussuchen, dazu einfach den Eintrag in der Zeile CertificateDomains überprüfen. In der Zeile Services kann man überprüfen welchem Dienst das Zertifikat zugewiesen ist.

Jetzt muss noch der 40-stellige Thumbprint vom richtigen Zertifikat kopiert werden, dieser wird jetzt benötigt.
Mit dem Befehl: Enable-ExchangeCertificate -Thumbprint (40-stelliger Thumbprint ohne die Klammern) -Services "SMTP" wird nun das Zertifikat dem SMTP Dienst zugewiesen und es folgen keine weiteren Fehler mehr im Systemprotokoll.

2 Comments

  • Christian
    7. April 2010 - 10:00 | Permalink

    Hallo!
    Erstmal großes Lob an die gute Anleitung.
    Leider hab ich mit einigen Schwierigkeiten zu kämpfen.

    Wenn ich den Befehl „Get-ExchangeCertificate | FL *“ ausführe, sehe ich 2 zertifiakte für die remote.domäne.de ausgestellt.
    Unter Services steht bei einem: IIS,SMTP beim anderen nur SMTP.
    Unter Status steht auch bei beiden „invalid?
    Wenn ich die Netzwerkreparatur in der SBS Console durchführe (das abgelaufene zertifikate erneuert) findet er aber keine abgelaufenen Zertifikate.
    Zum anderen weiß ich jetzt nicht welchen Thumbprint ich jetzt für den SMTP Dienst verwendet soll wenn ich 2 zur Auswahl hab!?

  • 7. April 2010 - 19:59 | Permalink

    Hallo Christian,

    bei den beiden Zertifikaten wird dir ja ein Ablaufdatum angezeigt. Du solltest also das gültige Zertifikat komplett zuweisen. Das andere solltest du löschen können.

  • Schreibe einen Kommentar

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.