在专用或 ITAR Office 365 环境中的 Outlook 中出现"安全证书上的名称无效或与站点名称不匹配"错误

症状

在专用或国际武器贩运法规 (ITAR) Microsoft Office 365 环境中,用户收到安全警报对话框提示,该对话框包含以下错误消息:

安全证书上的名称无效或与站点名称不匹配。

例如,"安全警报"对话框类似于以下内容: 安全警报 在以下情况下可能会出现此问题:

  • 用户尝试在 Microsoft Office Outlook 中创建新配置文件。

  • 用户尝试启动 Outlook 客户端。

  • 当 Outlook 客户端运行时,问题间歇性地发生。

如果用户单击"是",用户可以继续操作。但是,如果用户单击"否",则自动发现查找将失败。自动发现查找失败可阻止以下功能按预期工作:

  • 使用自动发现自动创建 Outlook 配置文件

  • 外出 (OOF) 助理

  • 忙/闲信息

原因

通常,当您尝试访问的 URL 未在网站的安全套接字层 (SSL) 证书的主题名称或主题替代名称 (SAN) 中列出时,会出现此问题。尽管不同的组织的配置可能略有不同,但此问题通常由于组织的自动发现域名系统 (DNS) 记录配置不正确而发生。

解决方案

要解决此问题,您可能需要更改自动发现 DNS 记录(内部、外部或两者)。但是,不应轻视这些更改,因为如果 DNS 记录配置不正确,自动发现功能可能无法正常工作。 在更改自动发现 DNS 记录之前,应了解 Outlook 客户端如何尝试查找自动发现服务。Outlook 客户端尝试使用以下基本操作顺序查找自动发现服务。但是,自动发现服务所在的步骤因部署而异。此位置取决于是否存在共存的本地解决方案以及特定的本地电子邮件环境(例如,本地 Microsoft Exchange 服务器、本地 Lotus Notes 或其他环境)。 下表显示了 Outlook 客户端如何查找自动发现服务的基本操作顺序:

1

  1. 服务连接点 (SCP) 对象 - 仅限内部连接。

  2. Outlook 客户端尝试查找 SCP 对象返回的 URL 的记录。

2

  1. 用户的 SMTP 域。(例如,https://proseware.com)

  2. Outlook 客户端尝试查找用户的 SMTP 域的记录。

3

  1. 用户的 SMTP 域已预置"自动发现"。(例如,https://autodiscover.proseware.com)

  2. Outlook 客户端尝试查找附加"自动发现"的 URL 的记录。

4

  1. Outlook 客户端尝试在与用户的 SMTP 域匹配的 DNS 区域中查找自动发现服务的 DNS 服务 (SRV) 记录。(例如,_autodiscover._tcp.proseware.com)

  2. 然后,SRV 记录返回另一个 URL,必须存在某种可解析的记录,例如 A 记录或 CNAME 记录。

5

结果如果这些方法找不到自动发现服务,则"自动发现"将失败。

总之,可以使用 A 记录、CNAME 记录或 SRV 记录解决自动发现服务。要确定当前使用哪些记录,请在命令提示符或 Windows PowerShell 中运行以下命令:

  1. 要查找 A 记录,请运行以下命令。请确保用证书错误顶部的值替换下面的域SMTPDomain.com。

nslookup 
set type=A 
Autodiscover.SMTPDomain.com 
  1. 要查找 SRV 记录,请运行以下命令:

nslookup 
set type=SRV 
_autodiscover._tcp.SMTPDomain.com 

在下面的示例中,Outlook 客户端可以使用"自动发现"URL 的 A 记录查找自动发现服务,如上表中的步骤 3 中所述:

autodiscover.proseware.com但是,正如我们在"原因"部分中提到的那样,此 URL 未在自动发现服务使用的 SSL 证书的 SAN 中列出。例如,请参阅以下屏幕截图: 自动发现服务 要解决此问题,请使用以下方法。

使用指向已在 SSL 证书的 SAN 中的命名空间的 SRV 记录替换现有 A 记录

这是当前服务设计中的首选解析方法,因为不需要更新和部署现有的 SSL 证书。根据本节前面列出的操作的基本顺序,组织可以使用受控和测试的方法实现新记录,以防止自动发现服务的中断。 要解决此问题,请按照以下步骤操作:

  1. 创建新的 SRV 记录。 应在与用户的 SMTP 域匹配的 DNS 区域中创建 SRV 记录。SRV 记录应具有以下属性:

    • 服务: _autodiscover

    • 协议:_tcp

    • 端口: 443

    • 主机:用于重定向的 URL。此 URL 可能是 Outlook Web 访问 (OWA) URL,因为解析的 IP 应与自动发现服务相同。此外,这可能因部署而异。

  2. 在删除现有 A 记录之前,应通过更改用户的主机文件将当前 A 记录重定向到无效的 IP 来测试新的 SRV 记录。在将新的 DNS 记录部署到整个组织之前,此测试可以验证新的 SRV 记录是否按预期工作。 备注当 Outlook 客户端使用 SRV 记录时,用户可能会收到以下消息,告知用户即将发生的重定向。我们建议用户选择"不再询问我有关此网站"复选框,以便不再显示邮件。 不要再问我关于此网站

  3. 当 SRV 记录按预期工作时,可以从 DNS 中删除现有的 A 记录。

更多信息

有关自动发现服务的详细信息,请访问以下 Microsoft TechNet 网站:

了解自动发现服务

需要更多帮助?

扩展你的技能
了解培训
抢先获得新功能
加入 Microsoft 内部人员

此信息是否有帮助?

谢谢您的反馈意见!

谢谢你的反馈! 可能需要转接到 Office 支持专员。

×