今天为一个客户排错,错误日志:
OCS Protocol Stack
14501
当尝试建立 MTLS 对等计算机时,远程 IP 地址 192.168.85.247 提供了大量无效的证书。在过去的 55 分钟内发生了 29 次此类错误。
与此对等计算机关联的证书名称为
ADEX-01
mail.teda.cn
该证书的序列号为
619910b500000000001a。
证书的颁发者为 teda-ADEX-01-CA
下面标识了特定错误类型及其计数。
实例计数 - 错误类型
38 800B010F
1 C3E93D6A
有关更多信息,请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持
OCS Protocol Stack
14366
多个无效的传入证书。
在过去 0 分钟内,服务器收到 1 个无效的传入证书。最后一个证书来自主机 192.168.85.247。
原因: 如果远程服务器由于配置错误或者来自攻击者的攻击而提供无效证书,则会发生此情况。
解决方法:
除非故障数很大,否则无需任何操作。请与发送无效证书的主机管理员联系以解决此问题。
有关更多信息,请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持
同时在EXCHANGE服务器有如下错误:
MSExchange Unified Messaging
1088
IP 网关或 IP-PBX“ocspool.teda.cn”未响应来自统一消息服务器的 SIP OPTIONS 请求。返回的错误代码为“0”,错误文本为“:This operation has timed out.”。
排错,使用OCS 2007 Resource Kit工具中的LCSERROR查看命令错误:
出现如下内容:
Microsoft Windows [版本 5.2.3790]
(C) 版权所有 1985-2003 Microsoft Corp.
C:\Documents and Settings\administrator.TEDA>cd C:\Program Files\Microsoft Offic
e Communications Server 2007\ResKit
C:\Program Files\Microsoft Office Communications Server 2007\ResKit>lcserror
Usage: LCSError error-code(s)
where error-code is either a hexidecimal number
or a signed decimal number if it ends in a period
May specify more than one error code separated by spaces
C:\Program Files\Microsoft Office Communications Server 2007\ResKit>lcserror C3E
93D6A
0xC3E93D6A -> (SIPPROXY_E_ROUTING_UNKNOWN_SERVER) (C:\Program Files\Microsoft O
ffice Communications Server 2007\ResKit\RTCERes.dll)
The FQDN in the peer's certificate subject name is not a configured server.
C:\Program Files\Microsoft Office Communications Server 2007\ResKit>
由上可知,应该是EXCHANGE或OCS证书中的subject name 项出了问题
解决: 后来发现OCS站点的证书配置错误,并且Exchange 2007 的证书的SN名称第一个不是Exchange 的FQDN地址,重新生成EXCHANGE证书和配置OCS证书即可解决问题:
[PS] C:\Windows\System32>New-ExchangeCertificate -GenerateRequest -SubjectName "DC=TEDA,DC=cn,O=teda corp,CN=adex-01.teda.cn" -DomainName adex-01.teda.cn,mail.teda.cn,autodiscover.teda.cn,mail,adex-01 -Path c:\cer1012d.txt
[PS] C:\Windows\System32>Import-ExchangeCertificate -Path c:\exchc.cer -FriendlyName "teda.cn" | Enable-ExchangeCertificate -Services "iis,pop,imap,smtp,um"