Problembeschreibung
In einer dedizierten oder internationalen Microsoft Office 365-Umgebung (International Traffic in Arms Regulations, ITAR) wird ein Benutzer durch ein Dialogfeld Sicherheitswarnung aufgefordert, das die folgende Fehlermeldung enthält:
Der Name auf dem Sicherheitszertifikat ist ungültig oder stimmt nicht mit dem Namen der Website überein.
Das Dialogfeld Sicherheitswarnung ähnelt z. B. den folgenden:
-
Der Benutzer versucht, ein neues Profil in Microsoft Office Outlook zu erstellen.
-
Der Benutzer versucht, einen Outlook-Client zu starten.
-
Das Problem tritt gelegentlich auf, wenn der Outlook-Client ausgeführt wird.
Wenn der Benutzer auf Jaklickt, kann der Benutzer den Vorgang fortsetzen. Wenn der Benutzer jedoch auf Neinklickt, schlägt die AutoErmittlungssuche fehl. Der Fehler bei der AutoErmittlungssuche verhindert, dass die folgenden Funktionen wie erwartet funktionieren:
-
Automatische Erstellung eines Outlook-Profils mithilfe von AutoErmittlung
-
Out of Office (OOF) Assistant
-
Frei/Gebucht-Informationen
Ursache
Im Allgemeinen tritt dieses Problem auf, wenn die URL, auf die Sie zugreifen möchten, weder im Subject oder im Subject Alternative Name (SAN) des SSL-Zertifikats (Secure Sockets Layer) für die Website aufgeführt ist. Obwohl sich die Konfigurationen verschiedener Organisationen geringfügig unterscheiden können, tritt dieses Problem in der Regel auf, weil die DNS-Einträge (AutoErmittlung Domain Name System) der Organisation falsch konfiguriert sind.
Fehlerbehebung
Um dieses Problem zu beheben, müssen Sie möglicherweise Ihre AutoErmittlung-DNS-Einträge (intern, extern oder beides) ändern. Diese Änderungen sollten jedoch nicht auf die leichte Schulter genommen werden, da die AutoErmittlungsfunktion möglicherweise nicht funktioniert, wenn DNS-Einträge falsch konfiguriert sind. Bevor Sie die AutoErmittlungs-DNS-Einträge ändern, sollten Sie verstehen, wie der Outlook-Client versucht, den AutoErmittlungsdienst zu finden. Der Outlook-Client versucht, den AutoErmittlungsdienst mithilfe der folgenden grundlegenden Reihenfolge von Vorgängen zu finden. Der Schritt, in dem sich der AutoErmittlungsdienst befindet, variiert jedoch von Bereitstellung zu Bereitstellung. Dieser Speicherort hängt davon ab, ob eine lokale Lösung in koexistenzist und wie die spezifische lokale E-Mail-Umgebung ist (z. B. ein lokaler Microsoft Exchange Server, ein lokal installierter Lotus Notes oder eine andere Umgebung). In der folgenden Tabelle wird die grundlegende Reihenfolge der Vorgänge für die Suche des Outlook-Clients zum AutoErmittlungsdienst angezeigt:
|
1 |
|
|
2 |
|
|
3 |
|
|
4 |
|
|
5 |
Ergebnis Wenn der AutoErmittlungsdienst von keiner dieser Methoden gefunden wird, schlägt Die AutoErmittlung fehl. |
Zusammenfassend kann der AutoErmittlungsdienst mithilfe eines A-Datensatzes, eines CNAME-Eintrags oder eines SRV-Eintrags aufgelöst werden. Um zu bestimmen, welche Datensätze derzeit verwendet werden, führen Sie die folgenden Befehle an einer Eingabeaufforderung oder in Windows PowerShell aus:
-
Führen Sie die folgenden Befehle aus, um einen A-Datensatz zu suchen. Stellen Sie sicher, dass Sie SMTPDomain.com unten durch die Domäne durch den Wert oben auf dem Zertifikatsfehler ersetzen.
nslookup
set type=A
Autodiscover.SMTPDomain.com
-
Um einen SRV-Eintrag zu finden, führen Sie die folgenden Befehle aus:
nslookup
set type=SRV
_autodiscover._tcp.SMTPDomain.com
Im folgenden Beispiel kann der Outlook-Client den AutoErmittlungsdienst mithilfe des A-Eintrags für die AutoErmittlungs-URL suchen, wie in Schritt 3 in der vorherigen Tabelle beschrieben:
autodiscover.proseware.comWie wir jedoch im Abschnitt "Ursache" erwähnt haben, ist diese URL nicht im SAN des SSL-Zertifikats aufgeführt, das vom AutoErmittlungsdienst verwendet wird. Sehen Sie sich z. B. den folgenden Screenshot an:
Ersetzen des vorhandenen A-Datensatzes mithilfe eines SRV-Eintrags, der auf einen Namespace verweist, der sich bereits im SAN des SSL-Zertifikats befindet.
Dies ist die bevorzugte Auflösungsmethode im aktuellen Dienstentwurf, da das vorhandene SSL-Zertifikat nicht aktualisiert und bereitgestellt werden muss. Gemäß der grundlegenden Reihenfolge der Vorgänge, die weiter oben in diesem Abschnitt aufgeführt sind, kann die Organisation den neuen Datensatz mithilfe einer kontrollierten und getesteten Weise implementieren, um Ausfälle des AutoErmittlungsdienstes zu verhindern. Führen Sie die folgenden Schritte aus, um dieses Problem zu beheben:
-
Erstellen Sie einen neuen SRV-Eintrag. Der SRV-Eintrag sollte in der DNS-Zone erstellt werden, die mit der SMTP-Domäne des Benutzers übereinstimmt. Der SRV-Eintrag sollte die folgenden Eigenschaften aufweisen:
-
Service: _autodiscover
-
Protokoll: _tcp
-
Anschluss: 443
-
Host: URL für Umleitung. Diese URL kann die Outlook Web Access (OWA)-URL sein, da die aufgelöste IP mit dem AutoErmittlungsdienst identisch sein sollte. Darüber hinaus kann dies von Bereitstellung zu Bereitstellung variieren.
-
-
Bevor Sie den vorhandenen A-Eintrag entfernen, sollte der neue SRV-Eintrag getestet werden, indem die Hostdatei eines Benutzers geändert wird, um den aktuellen A-Eintrag an eine ungültige IP-Adresse umzuleiten. Dieser Test kann überprüfen, ob der neue SRV-Eintrag wie erwartet funktioniert, bevor Sie die neuen DNS-Einträge für die gesamte Organisation bereitstellen. Hinweis Wenn der SRV-Eintrag von einem Outlook-Client verwendet wird, erhält der Benutzer möglicherweise die folgende Meldung, die den Benutzer über die zu ergehende Umleitung informiert. Es wird empfohlen, dass der Benutzer das Kontrollkästchen Nicht mehr nach dieser Website fragen aktiviert, damit die Nachricht nicht erneut angezeigt wird.
-
Wenn der SRV-Eintrag wie erwartet funktioniert, können Sie den vorhandenen A-Eintrag aus DNS entfernen.
Weitere Informationen
Weitere Informationen zum AutoErmittlungsdienst finden Sie auf der folgenden Microsoft TechNet-Website:
