Ein Empfänger kann keine E-Mail-Nachricht anzeigen, die mit S/MIME codiert ist.

  • Artikel
  • Gilt für::
    Exchange Server 2010 Service Pack 2

Ursprüngliche KB-Nummer: 2621062

Symptome

Betrachten Sie die folgenden Szenarien:

Szenario 1

  • Sie greifen auf ein Postfach zu, das auf Exchange Server 2010 Service Pack 2 (SP2) gehostet wird.
  • Sie laden das S/MIME-Steuerelement (Secure/Multipurpose Internet Mail Extensions) in Outlook Web App (OWA) herunter und installieren es. Führen Sie dann eine der folgenden Aktionen aus:
    • Sie verwenden das S/MIME-Steuerelement in OWA, um eine E-Mail-Nachricht zu verschlüsseln.
    • Sie verwenden Outlook, um eine E-Mail-Nachricht zu verschlüsseln.
  • Sie senden die E-Mail-Nachricht an eine Verteilerliste.
  • Ein Empfänger versucht, die E-Mail-Nachricht in Outlook zu öffnen.

In diesem Szenario erhält der Empfänger möglicherweise die folgende Fehlermeldung:

Dieses Element kann nicht geöffnet werden. Der Name Ihrer digitalen ID kann vom zugrunde liegenden Sicherheitssystem nicht gefunden werden.

Szenario 2

  • Sie greifen auf ein Postfach zu, das auf Exchange Server 2010 SP2 gehostet wird.
  • Sie laden das S/MIME-Steuerelement in Outlook Web App (OWA) herunter und installieren es. Führen Sie dann eine der folgenden Aktionen aus:
    • Sie verwenden das S/MIME-Steuerelement in OWA, um eine E-Mail-Nachricht zu verschlüsseln.
    • Sie verwenden Outlook, um eine E-Mail-Nachricht zu verschlüsseln.
  • Sie senden die E-Mail-Nachricht an eine Verteilerliste.
  • Ein Empfänger versucht, die E-Mail-Nachricht in Outlook Web App (OWA) zu öffnen.

In diesem Szenario erhält der Empfänger möglicherweise die folgende Fehlermeldung:

Diese Nachricht kann nicht entschlüsselt werden, da ihr Verschlüsselungsalgorithmus nicht unterstützt wird oder Ihre digitale ID nicht gefunden werden kann. Wenn Sie über eine intelligente Karte-basierte digitale ID verfügen, fügen Sie die Karte ein, und versuchen Sie es erneut, die Nachricht zu öffnen.

Ursache

Dieses Problem kann auftreten, wenn alle diese Bedingungen erfüllt sind:

  • Ein Exchange-Administrator hat eine Adressbuchrichtlinie definiert.
  • Der Bereich der Adressbuchrichtlinie umfasst nicht alle Mitglieder der Verteilergruppe.

Hinweis

Es handelt sich hierbei um ein beabsichtigtes Verhalten.

Lösung : Methode 1

Verwenden Sie das Feature Kontakte. Gehen Sie dazu wie folgt vor:

  1. Verwenden Sie Outlook, um eine digital signierte Nachricht von einem Absender zu öffnen, der sich nicht in Ihrem Adressbuch befindet.
  2. Klicken Sie in der Zeile Von: mit der rechten Maustaste auf den Namen des Absenders, und wählen Sie dann Zu Outlook-Kontakten hinzufügen aus.
  3. Wählen Sie im Fenster Kontakt in der Gruppe Anzeigen die Option Zertifikate aus.
  4. Überprüfen Sie das Öffentliche Schlüsselzertifikat für den Kontakt.
  5. Wählen Sie Speichern & Schließen aus.
  6. Verwenden Sie das Feature Kontakte, um den Benutzer einer Liste von E-Mail-Nachrichtenempfängern hinzuzufügen, die die Verteilergruppe enthält. Gehen Sie dazu wie folgt vor:
    1. Wählen Sie in Outlook Neu, E-Mail-Nachricht und dann An aus.
    2. Wählen Sie unter Adressbuch die Option Kontakte aus.
    3. Doppelklicken Sie auf den Benutzer, den Sie hinzufügen möchten.

Lösung : Methode 2

Erstellen Sie keine Verteilerlisten, die Mitglieder enthalten, wenn diese Mitglieder mehrere Adressbuchrichtlinien umfassen.

Weitere Informationen

In Exchange Server 2010 SP2 können Administratoren ein neues Feature implementieren, das als Adressbuchrichtlinien bezeichnet wird. Mit diesem Feature können Administratoren mithilfe einer Richtlinie definieren, welche Exchange-Objekte ein Postfachbenutzer sehen kann. Diese Richtlinie wird dann vom Adressbuchdienst auf dem Clientzugriffsserver ausgewertet, wenn ein Postfachbenutzer eine Adressbuchabfrage ausführt. Wenn das in der Abfrage angeforderte Objekt nicht mit dem für die Richtlinie definierten Bereich übereinstimmt, kann der Postfachbenutzer dieses Objekt nicht sehen.

Bei Verteilergruppen (DG) wird Postfachbenutzern möglicherweise nicht die gesamte Mitgliedschaft der Gruppe angezeigt, wenn der Bereich ihrer Adressbuchrichtlinie alle Mitglieder dieser Gruppe umfasst. Der Adressbuchdienst in Exchange Server 2010 SP2 implementiert die Named Service Provider Interface (NSPI)-Trennung. Wenn der E-Mail-Client versucht, eine DL-Erweiterung durchzuführen und die öffentlichen Zertifikate für alle Mitglieder der Verteilerliste nachzuschlagen, kann der E-Mail-Client keine Benutzer sehen, die nicht dem Bereich seiner Richtlinie entsprechen. Daher versucht der E-Mail-Client nicht, Zertifikate für die Benutzer nachzuschlagen, die er nicht sehen kann.

Nachdem die Nachricht gesendet wurde, unterliegt Hub-Transport nicht den Adressbuchrichtlinien. Daher kann Transport die Nachricht an die tatsächliche Mitgliedschaft in der Verteilerliste senden, wenn die Erweiterung der Verteilerliste ausgeführt wird.

Wenn Sie an eine Verteilerliste senden, die Nicht angezeigte Elemente enthält, können Outlook und Outlook Web App die Zertifikatinformationen des Empfängers in Active Directory Domain Services nicht finden. Daher werden die Zertifikatinformationen nicht zum Codieren der Lockbox verwendet, und der Empfänger kann das Zertifikat und den privaten Schlüssel nicht finden, um die Nachricht zu entschlüsseln.

Wenn Sie eine der methoden verwenden, die im Abschnitt Auflösung aufgeführt sind, um E-Mail-Nachrichten zu verschlüsseln, kann der Empfänger bestimmen, wie das Zertifikat und der private Schlüssel zum Entschlüsseln der Nachricht gefunden werden sollen.

References

Weitere Informationen zu Adressbuchrichtlinien finden Sie unter Grundlegendes zu Adressbuchrichtlinien.