Fehler „Der Name auf dem Sicherheitszertifikat ist ungültig oder stimmt nicht mit dem Namen der Website überein“ in Outlook in einer dedizierten oder ITAR Office 365-Umgebung – Microsoft-Support

Fehler „Der Name auf dem Sicherheitszertifikat ist ungültig oder stimmt nicht mit dem Namen der Website überein" in Outlook in einer dedizierten oder ITAR Office 365-Umgebung

Microsoft Business Productivity Online Dedicated Microsoft Business Productivity Online Suite Federal Mehr... Weniger

Symptome

In einer dedizierten Microsoft Office 365-Umgebung oder einer Microsoft Office 365-Umgebung mit den International Traffic in Arms Regulations (ITAR) wird ein Benutzer durch ein Dialogfeld mit einer Sicherheitswarnung aufgefordert, das die folgende Fehlermeldung enthält:

Der Name auf dem Sicherheitszertifikat ist ungültig oder stimmt nicht mit dem Namen der Site überein.

Das Dialogfeld „Sicherheitswarnung" sieht beispielsweise wie folgt aus:



Dieses Problem kann unter den folgenden Umständen auftreten:

• Der Benutzer versucht, ein neues Profil in Microsoft Office Outlook zu erstellen.

• Der Benutzer versucht, einen Outlook-Client zu starten.

• Das Problem tritt zeitweise auf, wenn der Outlook-Client ausgeführt wird.

Wenn der Benutzer auf Ja klickt, kann er den Vorgang fortsetzen. Wenn der Benutzer jedoch auf Nein klickt, schlägt die AutoErmittlungssuche fehl. Der Fehler bei der AutoErmittlungssuche verhindert, dass die folgenden Funktionen wie erwartet funktionieren:

• Automatische Erstellung eines Outlook-Profils mithilfe von Autodiscover

• Abwesenheitsassistent (OOF).

• Frei/Gebucht-Informationen

Ursache

Im Allgemeinen tritt dieses Problem auf, wenn die URL, auf die Sie zugreifen möchten, weder im Betreff noch im Subject Alternative Name (SAN) des Secure Sockets Layer (SSL)-Zertifikats für die Website aufgeführt ist. Obwohl sich die Konfigurationen verschiedener Organisationen geringfügig unterscheiden können, tritt dieses Problem normalerweise auf, weil die DNS-Einträge (Autodiscover Domain Name System) der Organisation falsch konfiguriert sind.

Auflösung

Um dieses Problem zu beheben, müssen Sie möglicherweise Ihre Autodiscover-DNS-Einträge (intern, extern oder beides) ändern. Diese Änderungen sollten jedoch nicht auf die leichte Schulter genommen werden, da die Autodiscover-Funktion möglicherweise nicht funktioniert, wenn DNS-Einträge falsch konfiguriert sind.

Bevor Sie die Autodiscover-DNS-Einträge ändern, sollten Sie verstehen, wie der Outlook-Client versucht, den Autodiscover-Dienst zu finden. Der Outlook-Client versucht, den AutoErmittlungsdienst zu finden, indem er die folgende grundlegende Reihenfolge von Vorgängen verwendet. Der Schritt, in dem sich der Autodiscover-Dienst befindet, variiert jedoch von Bereitstellung zu Bereitstellung. Dieser Speicherort hängt davon ab, ob eine lokale Lösung in Koexistenz vorhanden ist und um welche spezifische lokale E-Mail-Umgebung es sich handelt (z. B. ein lokaler Microsoft Exchange Server, ein lokales Lotus Notes oder eine andere Umgebung).


In der folgenden Tabelle wird die grundlegende Reihenfolge der Vorgänge angezeigt, mit denen der Outlook-Client den AutoErmittlungsdienst findet:

1	Das Service Connection Point (SCP)-Objekt – nur interne Verbindungen. Der Outlook-Client versucht, einen A-Eintrag für die URL zu finden, die vom SCP-Objekt zurückgegeben wird.
2	SMTP-Domäne des Benutzers. (Zum Beispiel https://proseware.com) Der Outlook-Client versucht, einen A-Eintrag für die SMTP-Domäne des Benutzers zu finden.
3	Der SMTP-Domäne des Benutzers wird Autodiscover vorangestellt. (Zum Beispiel https://autodiscover.proseware.com) Der Outlook-Client versucht, einen A-Eintrag für die URL zu finden, die mit Autodiscover angehängt wird.
4	Der Outlook-Client versucht, einen DNS-Diensteintrag (SRV) für den AutoErmittlungsdienst in der DNS-Zone zu finden, der mit der SMTP-Domäne des Benutzers übereinstimmt. (Zum Beispiel _autodiscover._tcp.proseware.com) Der SRV-Eintrag gibt dann eine andere URL zurück, für die ein auflösbarer Datensatz vorhanden sein muss, beispielsweise ein A-Eintrag oder ein CNAME-Eintrag.
5	Ergebnis Wenn der AutoErmittlungsdienst mit keiner dieser Methoden gefunden wird, schlägt die AutoErmittlung fehl.

Zusammenfassend lässt sich sagen, dass der AutoErmittlungsdienst mithilfe eines A-Eintrags, eines CNAME-Eintrags oder eines SRV-Eintrags aufgelöst werden kann. Um festzustellen, welche Datensätze derzeit verwendet werden, führen Sie die folgenden Befehle an einer Eingabeaufforderung oder in Windows PowerShell aus:

1. Um einen A-Datensatz zu finden, führen Sie die folgenden Befehle aus. Stellen Sie sicher, dass Sie SMTPDomain.com unten durch die Domäne mit dem Wert oben in Ihrem Zertifikatsfehler ersetzen.

nslookup

set type=A

Autodiscover.SMTPDomain.com

1. Um einen SRV-Eintrag zu finden, führen Sie die folgenden Befehle aus:

nslookup

set type=SRV

_autodiscover._tcp.SMTPDomain.com

Im folgenden Beispiel kann der Outlook-Client den AutoErmittlungsdienst finden, indem er den A-Eintrag für die AutoErmittlungs-URL verwendet, wie in Schritt 3 in der vorherigen Tabelle beschrieben:

autodiscover.proseware.com Wie wir jedoch im Abschnitt „Ursache" erwähnt haben, ist diese URL nicht im SAN des SSL-Zertifikats aufgeführt, das vom Autodiscover-Dienst verwendet wird. Sehen Sie sich zum Beispiel den folgenden Screenshot an:



Um dieses Problem zu beheben, verwenden Sie die folgende Methode.

Ersetzen Sie den vorhandenen A-Eintrag durch einen SRV-Eintrag, der auf einen Namespace verweist, der sich bereits im SAN des SSL-Zertifikats befindet

Dies ist die bevorzugte Auflösungsmethode im aktuellen Dienstdesign, da das vorhandene SSL-Zertifikat nicht aktualisiert und bereitgestellt werden muss. Gemäß der grundlegenden Reihenfolge der weiter oben in diesem Abschnitt aufgeführten Vorgänge kann die Organisation den neuen Datensatz mithilfe einer kontrollierten und getesteten Methode implementieren, um Ausfälle des AutoErmittlungsdiensts zu verhindern.

Um dieses Problem zu beheben, führen Sie die folgenden Schritte aus:

1. Erstellen Sie einen neuen SRV-Datensatz.
   
   Der SRV-Eintrag sollte in der DNS-Zone erstellt werden, die der SMTP-Domäne des Benutzers entspricht. Der SRV-Eintrag sollte die folgenden Eigenschaften haben:

   • Dienst: _autodiscover

   • Protokoll: _tcp

   • Port: 443

   • Host: URL für die Weiterleitung. Bei dieser URL kann es sich um die Outlook Web Access (OWA)-URL handeln, da die aufgelöste IP mit der des AutoErmittlungsdienstes identisch sein sollte. Darüber hinaus kann dies von Bereitstellung zu Bereitstellung unterschiedlich sein.

2. Bevor Sie den vorhandenen A-Eintrag entfernen, sollte der neue SRV-Eintrag getestet werden, indem Sie die Hostdatei eines Benutzers ändern, um den aktuellen A-Eintrag auf eine ungültige IP umzuleiten. Mit diesem Test kann überprüft werden, ob der neue SRV-Eintrag wie erwartet funktioniert, bevor Sie die neuen DNS-Einträge für die gesamte Organisation bereitstellen.
   
   Hinweis Wenn der SRV-Eintrag von einem Outlook-Client verwendet wird, erhält der Benutzer möglicherweise die folgende Meldung, die ihn über die bevorstehende Umleitung informiert. Wir empfehlen dem Benutzer, das Kontrollkästchen „ Frag mich nicht noch einmal nach dieser Website" zu aktivieren, damit die Nachricht nicht erneut angezeigt wird.
   
   

3. Wenn der SRV-Eintrag wie erwartet funktioniert, können Sie den vorhandenen A-Eintrag aus dem DNS entfernen.

Mehr Informationen

Weitere Informationen zum Autodiscover-Dienst finden Sie auf der folgenden Microsoft TechNet-Website:

Den Autodiscover-Dienst verstehen