Síntomas
En un entorno dedicado o de tráfico internacional de armas (ITAR) Microsoft Office 365, se solicita a un usuario un cuadro de diálogo Alerta de seguridad que incluye el siguiente mensaje de error:
El nombre del certificado de seguridad no es válido o no coincide con el nombre del sitio.
Por ejemplo, el cuadro de diálogo Alerta de seguridad es similar al siguiente:
-
El usuario intenta crear un nuevo perfil en Microsoft Office Outlook.
-
El usuario intenta iniciar un cliente de Outlook.
-
El problema se produce de forma intermitente cuando se ejecuta el cliente de Outlook.
Si el usuario hace clic en Sí, el usuario puede continuar la operación. Sin embargo, si el usuario hace clic en No, se produce un error en la búsqueda de detección automática. El error de la búsqueda de detección automática impide que las siguientes características funcionen según lo esperado:
-
Creación automática de un perfil de Outlook mediante Detección automática
-
Asistente fuera de la oficina (OOF)
-
Información de disponibilidad
Causa
Por lo general, este problema se produce cuando la dirección URL a la que intenta acceder no aparece en el asunto o en el nombre alternativo del sujeto (SAN) del certificado SSL (Secure Sockets Layer) del sitio web. Aunque las configuraciones de diferentes organizaciones pueden diferir ligeramente, este problema suele producirse porque los registros del Sistema de nombres de dominio (DNS) de detección automática de la organización se configuran incorrectamente.
Resolución
Para resolver este problema, es posible que tenga que cambiar los registros DNS de detección automática (internos, externos o ambos). Sin embargo, estos cambios no se deben tomar a la ligera, porque la característica Detección automática puede no funcionar si los registros DNS están configurados incorrectamente. Antes de cambiar los registros DNS de detección automática, debe comprender cómo el cliente de Outlook intenta localizar el servicio Detección automática. El cliente de Outlook intenta localizar el servicio Detección automática mediante el siguiente orden fundamental de operaciones. Sin embargo, el paso en el que se encuentra el servicio Detección automática varía de una implementación a una implementación. Esta ubicación depende de si hay una solución local en la coexistencia y cuál es el entorno de correo electrónico local específico (por ejemplo, un Microsoft Exchange Server local, un Lotus Notes local u otro entorno). En la tabla siguiente se muestra el orden fundamental de las operaciones para saber cómo el cliente de Outlook localiza el servicio Detección automática:
|
1 |
|
|
2 |
|
|
3 |
|
|
4 |
|
|
5 |
Resultado Si ninguno de estos métodos encuentra el servicio Detección automática, se produce un error en Detección automática. |
En resumen, el servicio Detección automática se puede resolver mediante un registro A, un registro CNAME o un registro SRV. Para determinar qué registros se usan actualmente, ejecute los siguientes comandos en un símbolo del sistema o en Windows PowerShell:
-
Para localizar un registro A, ejecute los siguientes comandos. Asegúrese de sustituir SMTPDomain.com siguiente con el dominio con el valor en la parte superior del error de certificado.
nslookup
set type=A
Autodiscover.SMTPDomain.com
-
Para localizar un registro SRV, ejecute los siguientes comandos:
nslookup
set type=SRV
_autodiscover._tcp.SMTPDomain.com
En el ejemplo siguiente, el cliente de Outlook puede buscar el servicio Detección automática mediante el registro A para la dirección URL de detección automática, tal como se describe en el paso 3 de la tabla anterior:
autodiscover.proseware.comSin embargo, como mencionamos en la sección "Causa", esta dirección URL no aparece en el SAN del certificado SSL que utiliza el servicio Detección automática. Por ejemplo, vea la siguiente captura de pantalla:
Reemplace el registro A existente mediante un registro SRV que apunte a un espacio de nombres que ya está en el SAN del certificado SSL
Este es el método de resolución preferido en el diseño del servicio actual porque el certificado SSL existente no tiene que actualizarse e implementarse. De acuerdo con el orden fundamental de las operaciones que se enumeran anteriormente en esta sección, la organización puede implementar el nuevo registro mediante una forma controlada y probada para evitar interrupciones del servicio Detección automática. Para resolver este problema, siga estos pasos:
-
Cree un nuevo registro SRV. El registro SRV se debe crear en la zona DNS que coincida con el dominio SMTP del usuario. El registro SRV debe tener las siguientes propiedades:
-
Servicio: _autodiscover
-
Protocolo: _tcp
-
Puerto: 443
-
Host: URL para redirección. Esta dirección URL puede ser la dirección URL de Outlook Web Access (OWA) porque la dirección IP resuelta debe ser la misma que el servicio Detección automática. Además, esto puede variar de una implementación a una implementación.
-
-
Antes de quitar el registro A existente, el nuevo registro SRV debe probarse cambiando el archivo host de un usuario para redirigir el registro A actual a una dirección IP no válida. Esta prueba puede comprobar que el nuevo registro SRV funciona según lo esperado antes de implementar los nuevos registros DNS en toda la organización. Nota Cuando un cliente de Outlook utiliza el registro SRV, el usuario puede recibir el siguiente mensaje que informa al usuario de la redirección que está a punto de producirse. Recomendamos que el usuario active la casilla de verificación No volver a preguntarme sobre este sitio web para que el mensaje no se vuelva a mostrar.
-
Cuando el registro SRV funciona según lo esperado, puede quitar el registro A existente de DNS.
Más información
Para obtener más información acerca del servicio Detección automática, vaya al siguiente sitio Web de Microsoft TechNet:
