今天为一个客户排错,错误日志:
OCS Protocol Stack
14501
 
当尝试建立 MTLS 对等计算机时,远程 IP 地址 192.168.85.247 提供了大量无效的证书。在过去的 55 分钟内发生了 29 次此类错误。
与此对等计算机关联的证书名称为
ADEX-01
mail.XXX.cn
该证书的序列号为
619910b500000000001a。
证书的颁发者为 XXX-ADEX-01-CA
下面标识了特定错误类型及其计数。
实例计数   - 错误类型
38                 800B010F
1                C3E93D6A
               

有关更多信息,请参阅在 [url]http://go.microsoft.com/fwlink/events.asp[/url] 的帮助和支持
 
OCS Protocol Stack
14366
 
多个无效的传入证书。
在过去 0 分钟内,服务器收到 1 个无效的传入证书。最后一个证书来自主机 192.168.85.247。
原因: 如果远程服务器由于配置错误或者来自***者的***而提供无效证书,则会发生此情况。
解决方法:
除非故障数很大,否则无需任何操作。请与发送无效证书的主机管理员联系以解决此问题。
有关更多信息,请参阅在 [url]http://go.microsoft.com/fwlink/events.asp[/url] 的帮助和支持
 
同时在EXCHANGE服务器有如下错误:
MSExchange Unified Messaging
1088
IP 网关或 IP-PBX“ocspool.XXX.cn”未响应来自统一消息服务器的 SIP OPTIONS 请求。返回的错误代码为“0”,错误文本为“:This operation has timed out.”。
 
排错,使用OCS 2007 Resource Kit工具中的LCSERROR查看命令错误:
出现如下内容:
 
Microsoft Windows [版本 5.2.3790]
(C) 版权所有 1985-2003 Microsoft Corp.
C:\Documents and Settings\administrator.XXX>cd C:\Program Files\Microsoft Offic
e Communications Server 2007\ResKit
C:\Program Files\Microsoft Office Communications Server 2007\ResKit>lcserror
Usage: LCSError error-code(s)
where error-code is either a hexidecimal number
      or a signed decimal number if it ends in a period
      May specify more than one error code separated by spaces
C:\Program Files\Microsoft Office Communications Server 2007\ResKit>lcserror C3E
93D6A
0xC3E93D6A -> (SIPPROXY_E_ROUTING_UNKNOWN_SERVER)  (C:\Program Files\Microsoft O
ffice Communications Server 2007\ResKit\RTCERes.dll)
The FQDN in the peer's certificate subject name is not a configured server.
C:\Program Files\Microsoft Office Communications Server 2007\ResKit>
 
由上可知,是EXCHANGE或OCS证书中的subject name 项出了问题,后来发现OCS站点的证书配置错误,重新生成EXCHANGE证书即可解决问题:
 
[PS] C:\Windows\System32>New-ExchangeCertificate -GenerateRequest -SubjectName "DC=XXX,DC=cn,O=teda corp,CN=XXXX.xxx.cn" -DomainName XXXX.xxx.cn,mail.xxx.cn,autodiscover.xxx.cn,mail,xxxx-01 -Path c:\cer1012d.txt

[PS] C:\Windows\System32>Import-ExchangeCertificate -Path c:\exchc.cer -FriendlyName "XXXX.cn" | Enable-ExchangeCertificate -Services "iis,pop,imap,smtp,um"