Symptômes
Dans un environnement Microsoft Office 365 dédié ou international de la réglementation du trafic d'armes (ITAR), un utilisateur est invité par une boîte de dialogue Security Alert qui inclut le message d'erreur suivant :
Le nom sur le certificat de sécurité est invalide ou ne correspond pas au nom du site.
Par exemple, la boîte de dialogue Security Alert ressemble à ce qui suit :
-
L'utilisateur tente de créer un nouveau profil dans Microsoft Office Outlook.
-
L'utilisateur essaie de démarrer un client Outlook.
-
Le problème se produit par intermittence lorsque le client Outlook s'exécute.
Si l'utilisateur clique oui,l'utilisateur peut continuer l'opération. Toutefois, si l'utilisateur clique sur Non, Autodiscover lookup échoue. L'échec du resstour d'Autodiscover empêche les fonctionnalités suivantes de fonctionner comme prévu :
-
Création automatique d'un profil Outlook à l'aide d'Autodiscover
-
Assistant hors bureau (OOF)
-
Informations gratuites/occupées
Cause
En général, ce problème se produit lorsque l'URL que vous essayez d'accéder n'est pas répertoriée dans le sujet ou le nom alternatif du sujet (SAN) du certificat Secure Sockets Layer (SSL) pour le site Web. Bien que les configurations de différentes organisations puissent différer légèrement, ce problème se produit généralement parce que les enregistrements Autodiscover Domain Name System (DNS) de l'organisation sont configurés incorrectement.
Résolution
Pour résoudre ce problème, vous devrez peut-être modifier vos enregistrements DNS Autodiscover (internes, externes ou les deux). Toutefois, ces modifications ne doivent pas être prises à la légère, car la fonction Autodiscover peut ne pas fonctionner si les enregistrements DNS sont configurés incorrectement. Avant de modifier les enregistrements DNS Autodiscover, vous devez comprendre comment le client Outlook tente de localiser le service Autodiscover. Le client Outlook tente de localiser le service Autodiscover en utilisant l'ordre d'opérations fondamental suivant. Toutefois, l'étape dans laquelle se trouve le service Autodiscover varie d'un déploiement à l'autre. Cet emplacement dépend de l'existence d'une solution sur site dans la coexistence et de l'environnement spécifique de messagerie sur site (par exemple, un serveur Microsoft Exchange sur site, un Lotus Notes sur site ou un autre environnement). Le tableau suivant affiche l'ordre d'opérations fondamental pour la façon dont le client Outlook localise le service Autodiscover :
|
1 |
|
|
2 |
|
|
3 |
|
|
4 |
|
|
5 |
Résultat Si le service Autodiscover n'est trouvé par aucune de ces méthodes, Autodiscover échoue. |
En résumé, le service Autodiscover peut être résolu en utilisant un enregistrement A, un enregistrement CNAME ou un enregistrement SRV. Pour déterminer quels enregistrements sont utilisés actuellement, exécutez les commandes suivantes à une invite de commande ou dans Windows PowerShell :
-
Pour localiser un enregistrement A, exécutez les commandes suivantes. Assurez-vous de remplacer SMTPDomain.com ci-dessous avec le domaine avec la valeur en haut de votre erreur de certificat.
nslookup
set type=A
Autodiscover.SMTPDomain.com
-
Pour localiser un enregistrement SRV, exécutez les commandes suivantes :
nslookup
set type=SRV
_autodiscover._tcp.SMTPDomain.com
Dans l'exemple suivant, le client Outlook peut localiser le service Autodiscover en utilisant l'enregistrement A de l'URL Autodiscover tel que décrit à l'étape 3 du tableau précédent :
autodiscover.proseware.comToutefois, comme nous l'avons mentionné dans la section « Cause », cette URL n'est pas répertoriée dans le SAN du certificat SSL utilisé par le service Autodiscover. Par exemple, voir la capture d'écran suivante :
Remplacer l'enregistrement A existant en utilisant un enregistrement SRV qui indique un espace de nom qui est déjà dans le SAN du certificat SSL
Il s'agit de la méthode de résolution préférée dans la conception actuelle du service, car le certificat SSL existant n'a pas besoin d'être mis à jour et déployé. Selon l'ordre fondamental des opérations qui sont énumérées plus tôt dans cette section, l'organisation peut mettre en œuvre le nouvel enregistrement en utilisant un moyen contrôlé et testé pour prévenir les pannes du service Autodiscover. Pour résoudre ce problème, suivez les étapes suivantes :
-
Créez un nouvel enregistrement SRV. L'enregistrement SRV doit être créé dans la zone DNS qui correspond au domaine SMTP de l'utilisateur. L'enregistrement SRV doit avoir les propriétés suivantes :
-
Service: _autodiscover
-
Protocole: _tcp
-
Port: 443
-
Hôte : URL pour la redirection. Cette URL peut être l'URL Outlook Web Access (OWA) parce que l'IP résolue doit être la même que le service Autodiscover. En outre, cela peut varier d'un déploiement à l'autre.
-
-
Avant de supprimer l'enregistrement A existant, le nouvel enregistrement SRV doit être testé en modifiant le fichier hôte d'un utilisateur pour rediriger l'enregistrement A actuel vers une adresse IP non valide. Ce test permet de vérifier que le nouvel enregistrement SRV fonctionne comme prévu avant de déployer les nouveaux enregistrements DNS à l'ensemble de l'organisation. Remarque Lorsque l'enregistrement SRV est utilisé par un client Outlook, l'utilisateur peut recevoir le message suivant qui conseille à l'utilisateur de la redirection qui est sur le point de se produire. Nous recommandons à l'utilisateur de sélectionner le Ne me demandez pas à propos de ce site à nouveau cocher la case afin que le message ne soit pas affiché à nouveau.
-
Lorsque l'enregistrement SRV fonctionne comme prévu, vous pouvez supprimer l'enregistrement A existant de DNS.
Informations supplémentaires
Pour plus d'informations sur le service Autodiscover, rendez-vous sur le site Web Microsoft TechNet suivant :
