Error "el nombre en el certificado de seguridad no es válido o no coincide con el nombre del sitio" en Outlook en un dedicado o entorno ITAR Office 365

Se aplica: Microsoft Business Productivity Online DedicatedMicrosoft Business Productivity Online Suite Federal

Síntomas


En dedicada o el tráfico internacional en el entorno de reglamentos de armas (ITAR) Microsoft Office 365, se pide un usuario mediante un cuadro de diálogo Alerta de seguridad que incluye el mensaje de error siguiente: 
El nombre en el certificado de seguridad no es válido o no coincide con el nombre del sitio.
Por ejemplo, el cuadro de diálogo Alerta de seguridad similar al siguiente:Este problema puede producirse en las siguientes circunstancias:
  • El usuario intenta crear un perfil nuevo en Microsoft Office Outlook.
  • El usuario intenta iniciar a un cliente de Outlook.
  • El problema produce intermitentemente cuando se ejecuta el cliente de Outlook.
Si el usuario hace clic en , el usuario puede continuar la operación. Sin embargo, si el usuario hace clic en No, se produce un error en la búsqueda de detección automática. Error de búsqueda de detección automática impide las siguientes características que funcione como se esperaba:
  • Creación automática de un perfil de Outlook utilizando la detección automática
  • Fuera de la oficina (OOF) Ayudante
  • Información de disponibilidad

Causa


Por lo general, este problema se produce cuando la dirección URL que está intentando acceder no se encuentra en el asunto o el nombre de alternativa de asunto (SAN) del certificado de Secure Sockets Layer (SSL) para el sitio Web. Aunque las configuraciones diferentes de las organizaciones pueden diferir ligeramente, este problema suele producirse porque los registros del sistema de nombres de dominio (DNS) de detección automática de la organización están configurados incorrectamente.

Solución


Para resolver este problema, tendrá que cambiar los registros DNS de Autodiscover (interna, externa o ambas). Sin embargo, estos cambios no deben tomarse a la ligera, porque la característica de detección automática no puede funcionar si los registros DNS no están configurados correctamente.Antes de cambiar los registros DNS de Autodiscover, debe comprender cómo el cliente de Outlook intenta encontrar el servicio Detección automática. El cliente de Outlook intenta localizar el servicio Detección automática utilizando el siguiente orden fundamental de las operaciones. Sin embargo, el paso en que se encuentra el servicio de Autodiscover varía de una implementación a otra. Esta ubicación depende de si hay una solución local en coexistencia y lo que las instalaciones específicas de correo electrónico entorno es (por ejemplo, una de Microsoft Exchange Server local, un local Lotus Notes u otro entorno).En la tabla siguiente muestra el orden fundamental de las operaciones de cómo el cliente Outlook busca el servicio de detección automática:
1
  1. El objeto de punto de conexión de servicio (SCP) - sólo conexiones internas.
  2. Cliente de Outlook intenta localizar un registro de la dirección URL devuelta por el objeto SCP.
2
  1. Dominio de SMTP del usuario. (Por ejemplo, https://proseware.com)
  2. Cliente de Outlook intenta localizar un registro para el dominio del usuario SMTP.
3
  1. Dominio de SMTP del usuario se antepone con detección automática. (Por ejemplo, https://autodiscover.proseware.com)
  2. Cliente de Outlook intenta localizar un registro de la dirección URL que se anexa con detección automática.
4
  1. Cliente de Outlook intenta localizar un DNS de servicio (SRV) de registro para el servicio de detección automática en la zona DNS que coincide con el dominio SMTP del usuario. (Por ejemplo, _autodiscover._tcp.proseware.com)
  2. El registro SRV, devuelve otra dirección URL, que debe existir algún tipo de registro puede resolver, como un registro o un registro CNAME.
5 Resultado Si no se encuentra el servicio de detección automática por cualquiera de estos métodos, se produce un error en la detección automática.
En resumen, el servicio de detección automática puede resolverse mediante un registro, un registro CNAME o un registro SRV. Para determinar los registros que se utilizan actualmente, ejecute los comandos siguientes en un símbolo del sistema o de Windows PowerShell:
  1. Para localizar un registro, ejecute los comandos siguientes. Asegúrese de que sustituir SMTPDomain.com a continuación con el dominio con el valor en la parte superior de su error de certificado.
nslookup 
set type=A 
Autodiscover.SMTPDomain.com 
  1. Para localizar un registro SRV, ejecute los comandos siguientes:
nslookup 
set type=SRV 
_autodiscover._tcp.SMTPDomain.com 
En el ejemplo siguiente, el cliente de Outlook puede encontrar el servicio Detección automática mediante el registro de la dirección URL de detección automática tal como se describe en el paso 3 en la tabla anterior: 
autodiscover.proseware.com
Sin embargo, como hemos mencionado en la sección "Causa", esta dirección URL no aparece en el SAN del certificado SSL que utiliza el servicio Detección automática. Por ejemplo, vea la siguiente pantalla de capturas:Para resolver este problema, utilice el método siguiente. 

Reemplace el registro existente mediante el uso de un registro SRV que señale a un espacio de nombres que ya se encuentra en el SAN del certificado SSL

Este es el método preferido de resolución en el diseño actual del servicio porque el certificado SSL existente no tiene que ser actualizados y se implementa. Según el orden fundamental de las operaciones que se enumeran anteriormente en esta sección, la organización puede implementar el nuevo registro mediante el uso de una forma controlada y probada para impedir las interrupciones del servicio Detección automática.Para resolver este problema, siga estos pasos:
  1. Crear un nuevo registro SRV. Debe crearse el registro SRV en la zona DNS que coincide con el dominio SMTP del usuario. El registro SRV debe tener las siguientes propiedades:
    • Servicio: _autodiscover
    • Protocolo: _tcp
    • Puerto: 443
    • Host: Dirección URL de redireccionamiento. Esta dirección URL puede ser la dirección URL de Outlook Web Access (OWA) porque la IP resuelto debe ser el mismo que el servicio Detección automática. Además, esto puede variar de una implementación a otra.
  2. Antes de quitar el registro existente, el nuevo registro SRV debe probarse cambiando el archivo de host de un usuario para redirigir el actual un registro a una dirección IP no válida. Esta prueba puede comprobar que el nuevo registro SRV funciona como se espera antes de implementar los nuevos registros DNS en toda la organización. Note Cuando el registro de SRV es utilizado por un cliente de Outlook, el usuario puede recibir el siguiente mensaje que informa al usuario de la redirección que se va a producir. Se recomienda que el usuario seleccione la casilla de verificación No preguntarme sobre este sitio Web nuevo para que el mensaje no aparecerá de nuevo.  
  3. Cuando el registro SRV funciona como se esperaba, puede quitar el registro de DNS existente.

Más información


Para obtener más información acerca del servicio de detección automática, visite el siguiente sitio Web de Microsoft TechNet: