専用の Outlook または ITAR Office 365 環境での「セキュリティ証明書の名前が正しくないか、サイトの名前と一致しません」エラー

適用対象: Microsoft Business Productivity Online DedicatedMicrosoft Business Productivity Online Suite Federal

現象


専用または腕の規制 (ITAR) Microsoft Office 365 環境での国際トラフィックは、ユーザーは、次のエラー メッセージを含むセキュリティの警告] ダイアログ ボックスで表示されます。 
セキュリティ証明書の名前が無効であるか、サイトの名前と一致しません。
たとえば、次のよう、セキュリティの警告] ダイアログ ボックス。この問題は、次の状況で発生する可能性があります。
  • ユーザーは、Microsoft Office Outlook で新しいプロファイルを作成しようとします。
  • ユーザーが Outlook クライアントを起動しようとするとします。
  • Outlook クライアントを実行している問題が断続的に発生します。
ユーザーが[はい]をクリックすると、ユーザーは操作を続行できます。 ただし、 [いいえ] をクリックして自動検出の検索が失敗します。 自動検出のルックアップの失敗では、期待どおりに、作業から次の機能ができなくなります。
  • 自動検出を使用して、Outlook プロファイルの自動作成
  • Office (OOF) のアシスタント
  • 空き時間情報

原因


一般に、この問題は、件名または web サイトの Secure Sockets Layer (SSL) 証明書のサブジェクト代替名 (SAN) のいずれかにアクセスしようとしている URL が表示されない場合に発生します。 別の組織の構成が若干異なる場合があります、この問題は、組織の自動検出ドメイン ネーム システム (DNS) レコードが正しく構成されていないために通常発生します。

解決方法


この問題を解決するには、自動検出 DNS レコードを変更する必要があります (内部、外部、またはその両方) します。 ただし、これらの変更する必要がありますいない軽率な自動検出機能では、DNS レコードが正しく構成されていない場合は機能しなくなるためです。自動検出 DNS レコードを変更する前に、Outlook クライアントが自動検出サービスを検索しようとした方法を理解する必要があります。 Outlook クライアントは、操作の次の基本的な順序を使用して自動検出サービスを検索しようとします。 ただしの手順で自動検出サービスがあるため、展開が変化します。 この場所によって異なるかどうか、オンプレミス ソリューションの共存では、(、やなどの設置型の Microsoft Exchange Server、オンプレミス ロータス ノーツでは、他の環境) では、特定の設置型のメール環境です。次の表には、Outlook クライアントが自動検出サービスを検索する方法の操作の基本的な順序が表示されます。
1
  1. サービス接続ポイント (SCP) オブジェクトの内部接続のみです。
  2. Outlook クライアントでは、SCP オブジェクトによって返される URL の A レコードを検索しようとしています。
2
  1. ユーザーの SMTP ドメインです。 (たとえば、https://proseware.com)
  2. Outlook クライアントは、ユーザーの SMTP ドメインの A レコードを検索しようとします。
3
  1. ユーザーの SMTP ドメインは、自動検出を先頭に追加されます。 (たとえば、https://autodiscover.proseware.com)
  2. Outlook クライアントでは、自動検出が追加されている URL の A レコードを検索しようとしています。
4
  1. クライアントと DNS の検索は、ユーザーの SMTP ドメインに一致する DNS ゾーンの自動検出サービス (SRV) レコードをサービスします。 (たとえば、_autodiscover._tcp.proseware.com)
  2. SRV レコードは、A レコードまたは CNAME レコードなど、何らかの解決可能なレコードが存在する必要がありますし、別の URL を返します。
5 結果 自動検出サービスがこれらのメソッドのいずれかが見つからない場合は、自動検出が失敗します。
要約すると、A レコード、CNAME レコード、または、SRV レコードを使用して自動検出サービスを解決することがあります。 どのレコードが現在使用するには、コマンド プロンプトまたは Windows PowerShell で次のコマンドを実行します。
  1. A レコードを検索するには、次のコマンドを実行します。 置き換える下のSMTPDomain.com値を使用してドメイン、証明書エラーの上部にあることを確認します。
nslookup 
set type=A 
Autodiscover.SMTPDomain.com 
  1. SRV レコードを検索するには、次のコマンドを実行します。
nslookup 
set type=SRV 
_autodiscover._tcp.SMTPDomain.com 
Outlook クライアントは、次の例では、上記の表に手順 3 で説明したように自動検出 URL の A レコードを使用して自動検出サービスを見つけることができます。 
autodiscover.proseware.com
ただし、「原因」のセクションで前述のとおり、この URL は自動検出サービスで使用されている SSL 証明書 SAN に表示されません。 たとえば、次のスクリーン ショットを参照してください。この問題を解決するには、次のメソッドを使用します。 

既に SSL 証明書の SAN に接続されている名前空間を指す SRV レコードを使用して既存のレコードを置き換える

これは、既存の SSL 証明書がある更新され、展開するための現在のサービスの設計で推奨される解像度メソッドです。 組織は、このセクションに記載されている操作の基本的な順番では、自動検出サービスの停止を防ぐために制御し、テスト済みの方法を使用して新しいレコードを実装できます。この問題を解決するには、次のステップに従ってください。
  1. 新しい SRV レコードを作成します。 ユーザーの SMTP ドメインに一致する DNS ゾーンでは、SRV レコードを作成してください。 SRV レコードは、次のプロパティで必要があります。
    • サービス: _autodiscover
    • プロトコル:「_tcp」
    • ポート: 443
    • ホスト: リダイレクト用の URL です。 この URL は、解決された ip アドレスが自動検出サービスと同じにする必要がありますので、Outlook Web Access (OWA) の URL にすることがあります。 さらに、このため、展開を異なる場合があります。
  2. 現在をリダイレクトするのにはユーザーのホスト ファイルを変更することによって新しい SRV レコードをテストする必要があります、既存のレコードを削除する前に無効な IP を記録します。 このテストは、新しい SRV レコードが正しく動作すること、新しい DNS レコードを組織全体に展開する前に確認できます。 注: これらの確認手順は、Windows クライアントにのみ適用されます。 SRV レコードが使用すると、Outlook クライアントによって、ユーザーがユーザーにリダイレクトしようとして発生することを知らせるメッセージが次にあります。 メッセージが再び表示されないように、ユーザーが再度この web サイトについてもメッセージを表示しない] チェック ボックスをオンを選択することをお勧めします。  
  3. SRV レコードは、期待どおりに動作する場合は、既存の DNS からレコードを削除できます。

詳細情報


自動検出サービスの詳細については、次のマイクロソフト TechNet web サイトを参照してください。