在 Outlook 中专用或 ITAR Office 365 提供环境中的"安全证书上的名称无效或与站点名称不匹配"错误

适用于: Microsoft Business Productivity Online DedicatedMicrosoft Business Productivity Online Suite Federal

症状


在专用或臂条例 (ITAR) Microsoft Office 365 环境中的国际流量,提示用户通过安全警报对话框,其中包含以下错误消息: 
安全证书上的名称无效或与站点名称不匹配。
例如,安全警报对话框如下所示:在下列情况下可能发生此问题:
  • 用户尝试在 Microsoft Office Outlook 中创建新的配置文件。
  • 用户试图启动 Outlook 客户端。
  • Outlook 客户端运行时,间歇性地出现问题。
如果用户单击,则用户可以继续操作。 但是,如果用户单击,则自动发现查找失败。 自动发现查找故障阻止以下功能工作如预期的那样:
  • 自动创建了 Outlook 配置文件,通过使用自动发现
  • 外出 (OOF) 助手
  • 忙/闲信息

原因


通常情况下,主题或主题备用名称 (SAN) 的网站的安全套接字层 (SSL) 证书中未列出您尝试访问的 URL 时,将出现此问题。 尽管不同组织的配置可能会稍有不同,但此问题通常发生因为组织的自动发现域名系统 (DNS) 记录配置不正确。

解决方案


若要解决此问题,您可能需要更改您的自动发现 DNS 记录 (内部,外部,或两者)。 但是,这些变化应不轻率,因为如果未正确配置了 DNS 记录的自动发现功能可能不起作用。更改自动发现 DNS 记录之前,您应该了解 Outlook 客户端试图查找自动发现服务的方式。 Outlook 客户端尝试通过以下操作的基本顺序定位自动发现服务。 但是,在步骤自动发现服务位于不同部署部署。 此位置取决于是否内部解决方案中共存,什么特定的内部部署电子邮件环境 (如内部 Microsoft Exchange Server、 内部 Lotus Notes 或另一个环境)。下表显示了基本的 Outlook 客户端如何定位自动发现服务的操作顺序:
1
  1. 服务连接点 (SCP) 对象--仅限于内部连接。
  2. Outlook 客户端尝试通过 SCP 对象返回的 url 找到一个 A 记录。
2
  1. 用户的 SMTP 域。 (例如,https://proseware.com)
  2. Outlook 客户端试图查找 A 记录的用户的 SMTP 域。
3
  1. 自动发现与预置用户的 SMTP 域。 (例如,https://autodiscover.proseware.com)
  2. Outlook 客户端会尝试自动发现与追加的 url 找到一个 A 记录。
4
  1. Outlook 客户端尝试找到一个 DNS 服务 (SRV) 记录的匹配用户的 SMTP 域的 DNS 区域中自动发现服务。 (例如,_autodiscover._tcp.proseware.com)
  2. SRV 记录必须存在某种类型的可解析的记录,如一条 A 记录或 CNAME 记录,则返回另一个 URL。
5 结果 如果通过下列任一方法找不到自动发现服务,自动发现失败。
总之,通过使用 A 记录,CNAME 记录或 SRV 记录可解决自动发现服务。 可确定当前使用哪些记录,请在命令提示符下或在 Windows PowerShell 运行下面的命令:
  1. 若要查找 A 记录,请运行下面的命令。 请确保用SMTPDomain.com下面的域和值替换顶部的证书错误。
nslookup 
set type=A 
Autodiscover.SMTPDomain.com 
  1. 要找到一条 SRV 记录,请运行以下命令:
nslookup 
set type=SRV 
_autodiscover._tcp.SMTPDomain.com 
在以下示例中,Outlook 客户端可以找到自动发现服务的自动发现 url 使用 A 记录上, 表中的步骤 3 中所述: 
autodiscover.proseware.com
但是,随着我们"原因"一节中提到的 SSL 证书的自动发现服务使用 SAN 中未列出此 URL。 例如,请参见下面的屏幕快照:若要解决此问题,请使用下面的方法。 

替换使用 SRV 记录指向 SSL 证书的 SAN 中已经是一个命名空间的现有记录

这是当前的服务设计中的首选的解决方法,因为现有的 SSL 证书没有更新和部署。 按照本节前面列出的操作的基本顺序,组织可能会使用一种可控且经过测试的方法,来防止停机自动发现服务的实现的新记录。若要解决此问题,请按照下列步骤操作:
  1. 创建新的 SRV 记录。 应在与用户的 SMTP 域相匹配的 DNS 区域创建 SRV 记录。 SRV 记录应具有以下特点:
    • 服务: _autodiscover
    • 协议: _tcp
    • 端口: 443
    • 主机: 用于重定向的 URL。 此 URL 可能是 Outlook Web Access (OWA) URL 解析的 IP 应自动发现服务相同。 此外,这可能会有所不同从部署。
  2. 新的 SRV 记录中删除现有的记录之前,应测试通过更改用户的主机文件重定向当前无效的 IP 记录。 此测试可以验证新的 SRV 记录正在按预期之前将新的 DNS 记录部署到整个组织。 注意 通过 Outlook 客户端使用 SRV 记录时,用户可能会收到下面的消息,建议用户即将发生重定向。 我们建议用户选择不要问我关于此网站再次复选框,以便不再次显示该信息。  
  3. 当按预期方式工作的 SRV 记录时,您可以删除现有 dns A 记录。

更多信息


有关自动发现服务的详细信息,请访问以下 Microsoft TechNet 网站: