Symptome
In einer dedizierten oder ITAR-Umgebung (International Traffic in Arms Regulations) Microsoft Office 365 wird ein Benutzer durch ein Dialogfeld Sicherheitswarnung mit der folgenden Fehlermeldung aufgefordert:
Hinweis
Der Name im Sicherheitszertifikat ist ungültig oder stimmt nicht mit dem Namen der Website überein.
Das Dialogfeld Sicherheitswarnung sieht beispielsweise wie folgt aus:
Dieses Problem kann unter folgenden Umständen auftreten:
- Der Benutzer versucht, ein neues Profil in Microsoft Office Outlook zu erstellen.
- Der Benutzer versucht, einen Outlook-Client zu starten.
- Das Problem tritt zeitweilig auf, wenn der Outlook-Client ausgeführt wird.
Wenn der Benutzer auf Ja klickt, kann der Benutzer den Vorgang fortsetzen. Wenn der Benutzer jedoch auf Nein klickt, schlägt die AutoErmittlung fehl. Der Fehler bei der AutoErmittlungssuche verhindert, dass die folgenden Features wie erwartet funktionieren:
- Automatische Erstellung eines Outlook-Profils mithilfe der AutoErmittlung
- Abwesenheitsassistent (OOF)
- Frei/Gebucht-Informationen
Ursache
Im Allgemeinen tritt dieses Problem auf, wenn die URL, auf die Sie zugreifen möchten, weder im Antragsteller noch im ALTERNATIVEN Antragstellernamen (Subject Alternative Name, SAN) des SSL-Zertifikats (Secure Sockets Layer) für die Website aufgeführt ist. Obwohl sich die Konfigurationen verschiedener Organisationen geringfügig unterscheiden können, tritt dieses Problem in der Regel auf, weil die DNS-Einträge (AutoErmittlung Domain Name System) des organization falsch konfiguriert sind.
Lösung
Um dieses Problem zu beheben, müssen Sie möglicherweise Ihre AutoErmittlungs-DNS-Einträge (intern, extern oder beides) ändern. Diese Änderungen sollten jedoch nicht auf die leichte Schulter genommen werden, da die AutoErmittlungsfunktion möglicherweise nicht funktioniert, wenn DNS-Einträge falsch konfiguriert sind.
Bevor Sie die DNS-Einträge der AutoErmittlung ändern, sollten Sie wissen, wie der Outlook-Client versucht, den AutoErmittlungsdienst zu suchen. Der Outlook-Client versucht, den AutoErmittlungsdienst mithilfe der folgenden grundlegenden Reihenfolge von Vorgängen zu suchen. Der Schritt, in dem sich der AutoErmittlungsdienst befindet, variiert jedoch von Bereitstellung zu Bereitstellung. Dieser Speicherort hängt davon ab, ob eine lokale Lösung vorhanden ist und welche lokale E-Mail-Umgebung (z. B. eine lokale Microsoft Exchange Server, eine lokale Lotus Notes-Umgebung oder eine andere Umgebung) ist.
In der folgenden Tabelle wird die grundlegende Reihenfolge der Vorgänge für die Suche nach dem AutoErmittlungsdienst durch den Outlook-Client angezeigt:
| 1 |
|
|---|---|
| 2 |
|
| 3 |
|
| 4 |
|
| 5 | Ergebnis Wenn der AutoErmittlungsdienst von keiner dieser Methoden gefunden wird, schlägt die AutoErmittlung fehl. |
Zusammenfassend kann der AutoErmittlungsdienst mithilfe eines A-Eintrags, eines CNAME-Eintrags oder eines SRV-Eintrags aufgelöst werden. Um zu bestimmen, welche Datensätze derzeit verwendet werden, führen Sie die folgenden Befehle an einer Eingabeaufforderung oder in Windows PowerShell aus:
- Führen Sie die folgenden Befehle aus, um einen A-Eintrag zu suchen. Stellen Sie sicher, dass Sie SMTPDomain.com unten durch die Domäne durch den Wert oben in Ihrem Zertifikatfehler ersetzen.
nslookup
set type=A
Autodiscover.SMTPDomain.com
- Führen Sie die folgenden Befehle aus, um einen SRV-Eintrag zu suchen:
nslookup
set type=SRV
_autodiscover._tcp.SMTPDomain.com
Im folgenden Beispiel kann der Outlook-Client den AutoErmittlungsdienst mithilfe des A-Eintrags für die AutoErmittlungs-URL suchen, wie in Schritt 3 in der vorherigen Tabelle beschrieben:
autodiscover.proseware.com Wie im Abschnitt "Ursache" erwähnt, ist diese URL jedoch nicht im SAN des SSL-Zertifikats aufgeführt, das vom AutoErmittlungsdienst verwendet wird. Sehen Sie sich beispielsweise den folgenden Screenshot an:
Verwenden Sie die folgende Methode, um dieses Problem zu beheben.
Ersetzen Sie den vorhandenen A-Eintrag mithilfe eines SRV-Eintrags, der auf einen Namespace verweist, der sich bereits im SAN des SSL-Zertifikats befindet.
Dies ist die bevorzugte Auflösungsmethode im aktuellen Dienstentwurf, da das vorhandene SSL-Zertifikat nicht aktualisiert und bereitgestellt werden muss. Gemäß der grundlegenden Reihenfolge der Vorgänge, die weiter oben in diesem Abschnitt aufgeführt sind, kann der organization den neuen Datensatz mithilfe einer kontrollierten und getesteten Methode implementieren, um Ausfälle des AutoErmittlungsdiensts zu verhindern.
Gehen Sie folgendermaßen vor, um dieses Problem zu beheben:
Erstellen Sie einen neuen SRV-Eintrag.
Der SRV-Eintrag sollte in der DNS-Zone erstellt werden, die der SMTP-Domäne des Benutzers entspricht. Der SRV-Eintrag sollte die folgenden Eigenschaften aufweisen:
- Dienst: _autodiscover
- Protokoll: _tcp
- Port: 443
- Host: URL für die Umleitung. Bei dieser URL kann es sich um die OWA-URL (Outlook Web Access) handeln, da die aufgelöste IP-Adresse mit dem AutoErmittlungsdienst identisch sein sollte. Darüber hinaus kann dies von Bereitstellung zu Bereitstellung variieren.
Bevor Sie den vorhandenen A-Eintrag entfernen, sollte der neue SRV-Eintrag getestet werden, indem die Hostdatei eines Benutzers so geändert wird, dass der aktuelle A-Eintrag an eine ungültige IP-Adresse umgeleitet wird. Dieser Test kann überprüfen, ob der neue SRV-Eintrag wie erwartet funktioniert, bevor Sie die neuen DNS-Einträge für die gesamte organization bereitstellen.
Hinweis Wenn der SRV-Eintrag von einem Outlook-Client verwendet wird, erhält der Benutzer möglicherweise die folgende Meldung, die den Benutzer über die Umleitung informiert, die in Kürze erfolgt. Es wird empfohlen, das Kontrollkästchen Nicht erneut nach dieser Website fragen zu aktivieren, damit die Meldung nicht erneut angezeigt wird.
Wenn der SRV-Eintrag wie erwartet funktioniert, können Sie den vorhandenen A-Eintrag aus DNS entfernen.
Weitere Informationen
Weitere Informationen zum AutoErmittlungsdienst finden Sie auf der folgenden Microsoft TechNet-Website: