"De naam van het beveiligingscertificaat is ongeldig of komt niet overeen met de naam van de site" fout in Outlook in een specifieke of ITAR Office 365 omgeving

Van toepassing: Microsoft Business Productivity Online DedicatedMicrosoft Business Productivity Online Suite Federal

Symptomen


Een gebruiker wordt gevraagd in een specifieke of internationaal verkeer in armen Verordeningen (ITAR) Microsoft Office 365 omgeving door een Beveiligingswaarschuwing van het dialoogvenster met het volgende foutbericht weergegeven: 
De naam van het beveiligingscertificaat is ongeldig of komt niet overeen met de naam van de site.
Stel in het dialoogvenster Beveiligingswaarschuwing van de volgende strekking weergegeven:Dit probleem kan onder de volgende omstandigheden optreden:
  • De gebruiker probeert een nieuw profiel maken in Microsoft Office Outlook.
  • De gebruiker probeert een Outlook-client te starten.
  • Het probleem treedt af en toe wanneer de Outlook-client wordt uitgevoerd.
Als de gebruiker op Jaklikt, kan de gebruiker doorgaan met de bewerking. Als de gebruiker op Neeklikt, wordt echter Autodiscover opzoeken mislukt. Het mislukken van een opzoeken Autodiscover voorkomt dat de volgende functies werken zoals verwacht:
  • Automatisch maken van een Outlook-profiel met behulp van automatisch opsporen
  • Afwezigheidsassistent (AFWEZIG)
  • Beschikbaarheidsinfo

Oorzaak


Dit probleem doet zich meestal voor wanneer de URL die u wilt openen niet wordt vermeld in het onderwerp of het onderwerp alternatieve naam (SAN) van het Secure Sockets Layer (SSL)-certificaat voor de website. Hoewel u configuraties voor verschillende organisaties kunnen enigszins verschillen, dit probleem treedt meestal op omdat de organisatie Autodiscover Domain Name System (DNS) records onjuist zijn geconfigureerd.

Oplossing


Dit probleem wilt oplossen, moet u wellicht de Autodiscover DNS-records kunt wijzigen (intern, extern of beide). Echter, deze wijzigingen moeten niet worden gedacht, omdat de Autodiscover-functie niet werkt als de DNS-records onjuist zijn geconfigureerd.Voordat u de Autodiscover DNS-records wijzigt, moet u begrijpen hoe de Outlook-client wordt gezocht naar de Autodiscover-service. De Outlook-client wordt gezocht naar de Autodiscover-service met behulp van de volgende fundamentele volgorde van bewerkingen. Echter, de stap in dat zich bevindt de Autodiscover-service implementatie implementatie varieert. Deze locatie is afhankelijk van of er een oplossing op gebouwen in coëxistentie en wat de specifieke voor-ruimten e-omgeving is (bijvoorbeeld een Microsoft Exchange-Server op lokalen, een in de lokalen Lotus Notes of een andere omgeving).De volgende tabel bevat de fundamentele volgorde van bewerkingen voor hoe de Outlook-client de Autodiscover-service zoekt:
1
  1. Het Service Connection Point (SCP) object - alleen interne verbindingen.
  2. Outlook-client wordt gezocht naar een A-Record voor de URL die wordt geretourneerd door het SCP-object.
2
  1. Het SMTP-domein van de gebruiker. (Bijvoorbeeld https://proseware.com)
  2. Outlook-client wordt gezocht naar een A-Record voor het SMTP-domein van de gebruiker.
3
  1. SMTP-domein van een gebruiker wordt voorafgegaan door Autodiscover. (Bijvoorbeeld https://autodiscover.proseware.com)
  2. Outlook-client wordt gezocht naar een A-Record voor de URL wordt toegevoegd met de Autodiscover.
4
  1. Outlook-client probeert te zoeken naar een DNS-service Record (SRV) voor de Autodiscover-service in de DNS-zone die overeenkomt met het SMTP-domein van de gebruiker. (Bijvoorbeeld _autodiscover._tcp.proseware.com)
  2. De SRV-record retourneert vervolgens een andere URL voor een soort record omgezet moet bestaan, zoals een A-record of een CNAME-record.
5 Resultaat Als de Autodiscover-service door een van deze methoden niet wordt gevonden, mislukt de Autodiscover.
Kortom, de Autodiscover-service mogelijk opgelost met behulp van een A-record een CNAME-record of een SRV-record. Om te bepalen welke records worden momenteel gebruikt, voer de volgende opdrachten bij een opdrachtprompt of in een Windows PowerShell:
  1. Als een A-record wilt opzoeken, voert u de volgende opdrachten. Zorg ervoor dat u vervangen door de SMTPDomain.com onder aan het domein met de waarde boven aan uw certificaatfout.
nslookup 
set type=A 
Autodiscover.SMTPDomain.com 
  1. Als een SRV-record wilt opzoeken, voert u de volgende opdrachten:
nslookup 
set type=SRV 
_autodiscover._tcp.SMTPDomain.com 
In het volgende voorbeeld kan de Outlook-client met behulp van de A-record voor de Autodiscover-URL, zoals beschreven in stap 3 in de voorgaande tabel de Autodiscover-service vinden: 
autodiscover.proseware.com
Echter, zoals eerder vermeld in de sectie 'Oorzaak', deze URL staat niet in het SAN van het SSL-certificaat dat wordt gebruikt door de Autodiscover-service. Zie bijvoorbeeld de volgende schermafdruk:Dit probleem oplossen door de volgende methode gebruiken. 

Vervang de bestaande record met behulp van een SRV-record die verwijst naar een naamruimte die al in het SAN van het SSL-certificaat

Dit is de methode van de resolutie in het huidige ontwerp van service omdat de bestaande SSL-certificaat niet hoeft te worden bijgewerkt en geïmplementeerd. In de fundamentele volgorde van de bewerkingen die eerder in deze sectie worden vermeld, kan de organisatie de nieuwe record implementeren met behulp van een gecontroleerde en geteste manier om te voorkomen dat storingen van de Autodiscover-service.Ga als volgt te werk om dit probleem op te lossen:
  1. Maak een nieuwe SRV-record. De SRV-record moet worden gemaakt in de DNS-zone die overeenkomt met het SMTP-domein van de gebruiker. De SRV-record moet de volgende eigenschappen hebben:
    • Service: _autodiscover
    • Protocol: _tcp
    • Poort: 443
    • Host: URL voor de omleiding. Deze URL kan de URL voor Outlook Web Access (OWA) zijn omdat de omgezette IP hetzelfde als de Autodiscover-service zijn moet. Bovendien kan deze implementatie implementatie verschillen.
  2. Voordat u de bestaande record verwijderen, de nieuwe SRV-record moet worden getest door het wijzigen van het hostbestand van de gebruiker wilt omleiden van de huidige record op een ongeldig IP-adres. Deze test kunt u controleren of de nieuwe SRV-record werkt zoals verwacht, voordat u de nieuwe DNS-records voor de hele organisatie implementeert. Opmerking Wanneer de SRV-record wordt gebruikt door een Outlook-client, wordt het volgende bericht de gebruiker van de omleiding die wordt uitgevoerd. Wij raden aan dat de gebruiker het selectievakje niet meer vragen over deze website opnieuw zodat het bericht wordt niet opnieuw weergegeven.  
  3. Wanneer de SRV-record werkt zoals verwacht, kunt u de bestaande record uit DNS.

Meer informatie


Ga naar de volgende Microsoft TechNet-website voor meer informatie over de Autodiscover-service: