Outlook 2007-Sicherheitswarnung: "Der auf dem Sicherheitszertifikat angegebene Name ist ungültig oder stimmt nicht mit dem Namen der Site überein"

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 940726
Alles erweitern | Alles schließen

Problembeschreibung

Wenn Sie Microsoft Office Outlook 2007 starten und dann eine Verbindung mit einem Postfach auf einem Postfachserver mit Microsoft Exchange Server 2007 oder Microsoft Exchange Server 2010 herzustellen versuchen, wird folgende Sicherheitswarnung angezeigt: 
Der auf dem Sicherheitszertifikat angegebene Name ist ungültig oder stimmt nicht mit dem Namen der Site überein.
Bild minimierenBild vergrößern
2683283
Hinweis Dieses Szenario betrifft nur Outlook-Clients, die innerhalb des lokalen Netzwerks eine Verbindung mit Exchange herstellen. Es betrifft keine Outlook-Remoteclients, die die Verbindung mit Exchange über Outlook Anywhere herstellen.

Ursache

Das Problem tritt auf, wenn die folgenden Bedingungen vorliegen:
  • Sie ersetzen das standardmäßige selbstsignierte Exchange Server 2007- oder Exchange Server 2010-Zertifikat durch ein anderes Zertifikat.

    Bild minimierenBild vergrößern
    2683283
    Hinweis Das Setupprogramm in Exchange Server 2007 bzw. Exchange Server 2010 erstellt während der Installation von Exchange Server 2007 bzw. Exchange Server 2010 ein standardmäßiges selbstsigniertes Zertifikat.
  • Der allgemeine Name des Ersatzzertifikats entspricht nicht dem vollqualifizierten Domänennamen (Fully Qualified Domain Name, FQDN) der URL, die in den folgenden Objekten gespeichert ist:
    • Dienstverbindungspunkt-Objekt für den AutoErmittlungsdienst
    • Das Attribut InternalUrl des Exchange-Webdiensts
    • InternalUrl-Attribut des Offlineadressbuch-Webdiensts
    • InternalUrl-Attribut des Exchange Unified Messaging-Webdiensts (UM)
Standardmäßig verweist die in diesen Objekten gespeicherte URL auf den NetBIOS-Namen des Servers. Beispielsweise wird eine URL gespeichert, die etwa wie folgt aussieht:
https://NetBIOS_name.contoso.com/autodiscover/autodiscover.xml
Diese kann von dem im FQDN des Ersatzzertifikats verwendeten Hostnamen abweichen. Das Ersatzzertifikat kann z. B. einen FQDN ähnlich dem folgenden FQDN aufweisen:
mail.contoso.com
Dies führt zu einem Namenskonflikt. Daher wird die Sicherheitswarnung angezeigt, wenn Sie versuchen, Outlook 2007 oder Outlook 2010 mit dem Postfach zu verbinden.

Lösung

Um dieses Problem zu beheben, ändern Sie die URLs für die entsprechenden Exchange 2007- bzw. 2010-Komponenten. Gehen Sie hierzu wie folgt vor:
Hinweis Diese Lösung muss von einem Administrator angewendet werden. Wenn Sie nicht der Administrator sind, wenden Sie sich an Ihren Administrator.
  1. Starten Sie die Exchange-Verwaltungsshell.
  2. Ändern Sie die URL für den AutoErmittlungsdienst im Dienstverbindungspunkt. Der Dienstverbindungspunkt ist im Active Directory-Verzeichnisdienst gespeichert. Um diese URL zu ändern, geben Sie den folgenden Befehl ein, und drücken Sie die Eingabetaste: 
    Set-ClientAccessServer -Identity CAS_Server_Name -AutodiscoverServiceInternalUri https://mail.contoso.com/autodiscover/autodiscover.xml
    HinweisContoso ist ein fiktives Unternehmen, das als Beispielfirma und -domäne dient. Sie müssen diese Angabe in diesem Befehl in Ihre Domäne ändern.
  3. Ändern Sie das InternalUrl-Attribut der EWS. Geben Sie hierzu den folgenden Befehl ein, und drücken Sie die Eingabetaste.
    Set-WebServicesVirtualDirectory -Identity "CAS_Server_Name\EWS (Default Web Site)" -InternalUrl https://mail.contoso.com/ews/exchange.asmx
    Hinweis Contoso ist ein fiktives Unternehmen, das als Beispielfirma und -domäne dient. Sie müssen diese Angabe in diesem Befehl in Ihre Domäne ändern.
  4. Ändern Sie das InternalUrl-Attribut für die Verteilung des webbasierten Offlineadressbuchs. Geben Sie hierzu den folgenden Befehl ein, und drücken Sie die Eingabetaste.
    Set-OABVirtualDirectory -Identity "CAS_Server_name\oab (Default Web Site)" -InternalUrl https://mail.contoso.com/oab
    Hinweis Contoso ist ein fiktives Unternehmen, das als Beispielfirma und -domäne dient. Sie müssen diese Angabe in diesem Befehl in Ihre Domäne ändern.
  5. Ändern Sie das InternalUrl-Attribut des UM-Webdiensts. Geben Sie hierzu den folgenden Befehl ein, und drücken Sie die Eingabetaste.
    Set-UMVirtualDirectory -Identity "CAS_Server_Name\unifiedmessaging (Default Web Site)" -InternalUrl https://mail.contoso.com/unifiedmessaging/service.asmx
    Hinweis Contoso ist ein fiktives Unternehmen, das als Beispielfirma und -domäne dient. Sie müssen diese Angabe in diesem Befehl in Ihre Domäne ändern.
    Bild minimierenBild vergrößern
    2683283
    Hinweis Dieser Befehl ist nur in einer Exchange 2007-Umgebung erforderlich. In Exchange 2010-Umgebungen existiert der Befehl nicht mehr. Stattdessen wird die WebServices-URL zu diesem Zweck verwendet. Wenn Sie Exchange 2010 verwenden, können Sie diesen Schritt übergehen, da die WebServices-URL bereits in Schritt 3 geändert worden sein sollte.
  6. Öffnen Sie IIS-Manager. Nähere Informationen zur Vorgehensweise finden Sie unter Gewusst wie: Öffnen des IIS-Managers.
  7. Erweitern Sie den lokalen Computer und dann Anwendungspools.
  8. Klicken Sie mit der rechten Maustaste auf MSExchangeAutodiscoverAppPool, und klicken Sie dann auf Wieder verwenden.
Bild minimierenBild vergrößern
2684263
Wichtig Bei diesen Schritten wird davon ausgegangen, dass ein Hostdatensatz im DNS existiert, um den angegebenen FQDN der IP-Adresse des CAS-Servers zuzuordnen. Stellen Sie sich beispielsweise das folgende Szenario vor:
  • Die ursprünglichen internen URLs für die Exchange-Komponenten zeigen auf den internen FQDN des Servers. Eine dieser URLs zeigt beispielsweise auf folgendes Ziel:
    https://ServerName.contoso.com/ews/exchange.asmx
  • Der auf dem Zertifikat angegebene FQDN zeigt auf den für den externen Zugriff verwendeten Hostnamen des Servers. Im Zertifikat wird z. B. ein FQDN wie "mail.contoso.com" angegeben.
In diesem Szenario müssen Sie einen Hostdatensatz für den Mailhostnamen hinzufügen, der der intern für den Zugriff verwendeten IP-Adresse des CAS-Servers zugeordnet ist, um internen Clients den Zugriff auf den Server zu ermöglichen.

Weitere Informationen

Die URL für den AutoErmittlungsdienst wird im Dienstverbindungspunkt-Objekt gespeichert. Standardmäßig verweist diese URL auf den internen FQDN des CAS, der vorliegt, wenn die AutoErmittlung installiert ist. Es wird z. B. die folgende URL festgelegt:
https://servername.contoso.local/autodiscover/autodiscover.xml
In diesem Beispiel verweist der FQDN auf den internen Namespace. Grundsätzlich unterscheidet sich dieser Namespace vom extern verfügbaren Namespace wie "mail.contoso.com".

Wenn sich der interne Namespace vom externen Namespace unterscheidet und Sie kein Zertifikat verwenden können, das alternative Antragstellernamen unterstützt, verwenden Sie die Task Set-ClientAccessServer in der Exchange-Verwaltungsshell, um die URL zu ändern. In diesem Szenario müssen Sie die URL so ändern, dass sie auf den neuen Speicherort für AutoErmittlung zeigt. Verwenden Sie z. B. den folgenden Befehl, um auf den neuen Speicherort für den AutoErmittlungsdienst zu verweisen:
Set-ClientAccessServer ?AutodiscoverServiceInternalUri -identity <servername>
https://mail.contoso.com/autodiscover/autodiscover.xml
Weitere Informationen zu Zertifizierungsstellen von Drittanbietern, die Zertifikate bereitstellen, die alternative Antragstellernamen unterstützen, finden Sie im folgenden Artikel der Microsoft Knowledge Base:
929395 UC-Zertifikatpartner (Unified Communications) für Exchange 2007 und Communications Server 2007

Eigenschaften

Artikel-ID: 940726 - Geändert am: Dienstag, 29. Juli 2014 - Version: 11.0
Keywords: 
kberrmsg kbtshoot kbprb KB940726
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com