Erreur « le nom sur le certificat de sécurité n’est pas valide ou ne correspond pas à celui du site » dans Outlook dans un environnement ITAR Office 365 environnement dédié

S’applique à : Microsoft Business Productivity Online DedicatedMicrosoft Business Productivity Online Suite Federal

Symptômes


Dans un dédié ou trafic International dans l’environnement de règlements d’armes (ITAR) Microsoft Office 365, l’utilisateur est invité par une boîte de dialogue Alerte de sécurité qui inclut le message d’erreur suivant : 
Le nom sur le certificat de sécurité n’est pas valide ou ne correspond pas à celui du site.
Par exemple, la boîte de dialogue Alerte de sécurité semblable au suivant :Ce problème peut se produire dans les circonstances suivantes :
  • L’utilisateur essaie de créer un nouveau profil dans Microsoft Office Outlook.
  • L’utilisateur essaie de démarrer un client Outlook.
  • Ce problème se produit par intermittence lorsque le client Outlook est en cours d’exécution.
Si l’utilisateur clique sur Oui, l’utilisateur peut continuer l’opération. Toutefois, si l’utilisateur clique sur non, la recherche du service de découverte automatique échoue. L’échec de recherche du service de découverte automatique empêche les fonctionnalités suivantes de fonctionner comme prévu :
  • Création automatique d’un profil Outlook à l’aide du service de découverte automatique
  • Absence du bureau (OOF)
  • Informations de disponibilité

Cause


En règle générale, ce problème se produit lorsque l’URL que vous essayez d’accéder n’est pas répertorié dans l’objet ou le nom d’Alternative sujet (SAN) du certificat Secure Sockets Layer (SSL) pour le site Web. Bien que les configurations des organisations différentes peuvent être légèrement différentes, ce problème se produit généralement parce que les enregistrements système de nom de domaine (DNS) de découverte automatique de l’organisation sont mal configurés.

Résolution


Pour résoudre ce problème, vous devrez peut-être modifier vos enregistrements DNS d’Autodiscover (interne, externe, ou les deux). Toutefois, ces modifications ne doivent pas être prises à la légère, car la fonctionnalité de découverte automatique peut ne pas fonctionner si les enregistrements DNS ne sont pas correctement configurés.Avant de modifier les enregistrements DNS d’Autodiscover, vous devez comprendre comment le client Outlook essaie de localiser le service de découverte automatique. Le client Outlook essaie de localiser le service de découverte automatique à l’aide de l’ordre fondamental suivant des opérations. Toutefois, l'étape dans laquelle se trouve le service de découverte automatique varie d'un déploiement à un autre. Cet emplacement dépend est une solution sur site en coexistence et quel spécifique sur site de messagerie environnement est (par exemple, une de Microsoft Exchange Server sur site, un local Lotus Notes ou un autre environnement).Le tableau suivant affiche l’ordre fondamental des opérations de la manière dont le client Outlook localise le service de découverte automatique :
1
  1. L’objet Point de connexion de Service (SCP) - connexions internes uniquement.
  2. Le client Outlook essaie de localiser un enregistrement A pour l'URL qui est retournée par l'objet SCP.
2
  1. Domaine SMTP de l’utilisateur. (Par exemple, https://proseware.com)
  2. Client Outlook essaie de localiser un enregistrement A pour le domaine SMTP de l'utilisateur.
3
  1. Domaine SMTP de l’utilisateur est précédé de découverte automatique. (Et, par exemple, https://autodiscover.proseware.com)
  2. Le client Outlook essaie de localiser un enregistrement A pour l'URL qui est ajoutée avec le service de découverte automatique.
4
  1. Enregistrement (SRV) pour le service de découverte automatique dans la zone DNS qui correspond au domaine SMTP de l’utilisateur du service client Outlook tente de localiser un serveur DNS. (Par exemple, _autodiscover._tcp.proseware.com)
  2. L’enregistrement SRV renvoie ensuite une autre URL, pour laquelle un type d’enregistrement peut être résolu doit exister, par exemple un enregistrement ou un enregistrement CNAME.
5 Résultat Si le service de découverte automatique n’est pas trouvé par une de ces méthodes, le service de découverte automatique échoue.
En résumé, le service de découverte automatique peut être résolu à l’aide d’un enregistrement, un enregistrement CNAME ou un enregistrement SRV. Pour déterminer quels enregistrements sont actuellement utilisées, exécutez les commandes suivantes à l’invite de commande ou dans Windows PowerShell :
  1. Pour localiser un enregistrement A, exécutez les commandes suivantes. Assurez-vous que vous remplacez SMTPDomain.com ci-dessous avec le domaine avec la valeur en haut de votre erreur de certificat.
nslookup 
set type=A 
Autodiscover.SMTPDomain.com 
  1. Pour localiser un enregistrement SRV, exécutez les commandes suivantes :
nslookup 
set type=SRV 
_autodiscover._tcp.SMTPDomain.com 
Dans l’exemple suivant, le client Outlook peut localiser le service de découverte automatique à l’aide de l’enregistrement A pour l’URL de découverte automatique comme décrit à l’étape 3 dans le tableau précédent : 
autodiscover.proseware.com
Toutefois, comme nous l'avons mentionné dans la section « Cause », cette URL n'est pas répertoriée dans le SAN du certificat SSL utilisé par le service de découverte automatique. Par exemple, voir l’écran suivante capture :Pour résoudre ce problème, utilisez la méthode suivante. 

Remplacer l’enregistrement A existant à l’aide d’un enregistrement SRV qui pointe vers un espace de noms est déjà dans le SAN du certificat SSL

Il s’agit de la méthode de résolution par défaut dans la conception actuelle du service, car le certificat SSL existant ne doit pas être mis à jour et déployés. En fonction de l’ordre fondamental des opérations qui sont répertoriées plus haut dans cette section, l’organisation peut implémenter le nouvel enregistrement à l’aide d’un moyen de contrôlé et testé pour éviter les interruptions du service de découverte automatique.Pour résoudre ce problème, procédez comme suit :
  1. Créer un enregistrement SRV. L’enregistrement SRV doit être créé dans la zone DNS qui correspond au domaine SMTP de l’utilisateur. L’enregistrement SRV doit avoir les propriétés suivantes :
    • Service : _autodiscover
    • Protocole : _tcp
    • Port : 443
    • Hôte : L’URL de redirection. Cette URL peut être l’URL d’Outlook Web Access (OWA), car l’adresse IP résolu doit être le même que le service de découverte automatique. En outre, cela peut varier d'un déploiement à l'autre.
  2. Avant de supprimer un enregistrement existant, le nouvel enregistrement SRV doit être testé en modifiant le fichier d’hôte d’un utilisateur pour rediriger en cours un enregistrement à une adresse IP non valide. Ce test vérifie que le nouvel enregistrement SRV fonctionne comme prévu avant de déployer les nouveaux enregistrements DNS sur l’ensemble de l’organisation. Remarque Lors de l’enregistrement SRV est utilisé par un client Outlook, l’utilisateur peut recevoir le message suivant qui indique à l’utilisateur de la redirection est sur le point de se produire. Nous recommandons que l’utilisateur sélectionne la case à cocher ne plus me poser à propos de ce site Web à nouveau afin que le message ne sera plus affiché.  
  3. Lorsque l'enregistrement SRV fonctionne comme prévu, vous pouvez supprimer l'enregistrement A existant du DNS .

Informations supplémentaires


Pour plus d’informations sur le service de découverte automatique, consultez le site Web Microsoft TechNet suivant :