Несоответствие атрибута Principal сертификата
[В данном разделе приведены сведения об устранении проблем, обнаруживаемых с помощью анализатора Exchange. Используйте эти сведения для решения конкретных проблем только на тех системах, для которых был запущен анализатор Exchange. Анализатор Exchange, который можно бесплатно загрузить из Интернета, удаленно собирает конфигурационные данные с каждого сервера в топологии и автоматически анализирует их. В итоговый отчет записываются важные сведения о неправильных настройках, потенциальных проблемах и параметрах, для которых были изменены значения по умолчанию. Следуя рекомендациям анализатора Exchange, можно улучшить производительность, масштабируемость и надежность сервера Exchange Server и сократить время вынужденных простоев. Дополнительные сведения об анализаторе Exchange и о том, как загрузить его новейшие версии, см. в документе "Анализаторы Microsoft Exchange" по адресу https://go.microsoft.com/fwlink/?linkid=34707 (на английском языке).]
Последнее изменение раздела: 2011-01-26
Чтобы определить адрес обслуживаемых доменов, анализатор соответствия рекомендациям для Exchange проверяет список обслуживаемых доменов в сервере Microsoft Exchange Server 2007. Для каждого обслуживаемого домена SMTP анализатор пытается получить SSL-сертификат, связанный с определенным доменом. Анализатор проверяет каждый полученный сертификат для определения значения атрибута Principal в определенном сертификате. Значение атрибута Principal представляет общее имя (CN) сертификата, которое отображается рядом с элементом Issued to (кому выдан) объекта сертификата.
Если общее имя сертификата не соответствует URL-адресу, который анализатор использует для доступа к ресурсу, то формируется предупреждающее сообщение о несоответствии атрибута Principal сертификата. Это означает, что пользователи не имеют возможности подключить свои почтовые ящики с использованием клиента Microsoft Office Outlook® Web Access для Microsoft Exchange Server 2003, мобильного Outlook для Exchange Server 2007, Exchange Server ActiveSync и RPC через HTTP.
При этом у пользователя могут неоднократно запрашиваться учетные данные при попытке подключения к серверу Exchange или при попытке подключения к ресурсу Exchange может отображаться следующее сообщение об ошибке:
Зашифрованное подключение к почтовому серверу недоступно. Нажмите кнопку "Далее", чтобы попробовать использовать незашифрованное подключение. |
Ошибка несоответствия атрибута Principal сертификата может быть вызвана следующими причинами:
- Неправильное общее имя сертификата.
- Клиент пытается получить доступ к данным на сервере с использованием неправильного URL-адреса, если сервер имеет несколько DNS-имен.
- Существуют устаревшие или неправильные записи Обслуживаемый домен на транспортном сервере Exchange.
Сервер Exchange требует сертификат для запуска протокола SSL, например HTTPS. В сервере Exchange 2007 можно использовать сертификат, поддерживающий дополнительные имена субъектов (SAN). Это сделано для того, чтобы сертификат поддерживал ресурсы, которые имеют различные имена, например мобильный Outlook и веб-приложение автообнаружения.
Примечание. |
---|
Дополнительные сведения об использовании групповых сертификатов (*) в Exchange 2007 см. в статье Использование сертификатов в Exchange Server 2007. |
Однако при использовании сертификата с поддержкой дополнительных имен субъектов будет выдаваться ошибка несоответствия атрибута Principal сертификата, если имеется несоответствие между именем Principal ("Issued to" — кому выдан) и полным доменным именем, используемым клиентами для доступа к ресурсу.
Чтобы ликвидировать несоответствие имени сертификата
Определите полное доменное имя, которое использует клиент для доступа к ресурсу. Например, чтобы проверить полное доменное имя, используемое клиентом Outlook, выполните указанные ниже действия.
- Запустите Microsoft Outlook.
- В меню Сервис выберите команду Учетные записи.
- Откройте вкладку Электронная почта, выберите учетную запись Exchange и нажмите кнопку Изменить.
- Выберите пункт Другие настройки и откройте вкладку Подключение.
- Щелкните элемент Параметры прокси-сервера Exchange.
- Обратите внимание на полное доменное имя в окне Подключаться только к прокси-серверам, содержащим это основное имя в своем сертификате:. Например, mail.contoso.com.
Чтобы определить значение атрибута CertPrincipalName, введите в командной консоли Exchange следующую команду:
Get-OutlookProvider
Эта команда возвращает результаты для имени EXPR. Например, команда возвращает следующее значение: msstd:server1.contoso.com
Используйте командную консоль Exchange, чтобы изменить атрибут CertPrincipalName для его соответствия полному доменному имени, которое использует Outlook для доступа к ресурсу. Для этого используйте следующую команду:
Set-OutlookProvider EXPR -CertPrincipalName:"msstd:<FQDN the certificate is issued to>"
Примечание. |
---|
При получении сертификата для сервера Exchange лучше использовать доступное внешним клиентам DNS-имя в качестве имени участника сертификата. Например, используйте mail.contoso.com в качестве основного имени сертификата с поддержкой дополнительных имен. |
Эта ошибка также может возникнуть в том случае, если анализатор обнаружит записи обслуживаемых доменов, принадлежащие внутренним доменам SMTP, которые более не существуют в Exchange.
Чтобы устранить эту проблему, необходимо удалить политики получателя, применяемые к доменам SMTP, которые более не существуют или более не используются.
Просмотр обслуживаемых доменов в Exchange
Откройте консоль управления Exchange.
Разверните узел Конфигурация организации и выберите транспортный сервер. Например, Транспортный сервер-концентратор. Для пограничного транспортного сервера выберите пункт Пограничный транспортный сервер.
В области сведений откройте вкладку Обслуживаемые домены. Проверьте записи, которые отображаются в списке Обслуживаемые домены, чтобы определить, не следует ли удалить некоторые из них.
Дополнительные сведения
- Дополнительные сведения см. в статье 940726 базы знаний корпорации Майкрософт Предупреждение системы безопасности при запуске Outlook 2007 и подключении к почтовому ящику, размещенному на сервере с Exchange Server 2007 или Exchange Server 2010: "Указанное в сертификате название неправильно или не совпадает с названием узла".
- Дополнительные сведения об использовании сертификатов с виртуальными серверами в Exchange Server 2003 см. в статье 823024 базы знаний корпорации Майкрософт Как использовать сертификаты с помощью виртуальных серверов Exchange Server 2003.
Сведения об использовании протокола SSL и о том, как получить и установить сертификаты серверов, см. в разделе "Configuring Exchange Server 2003 for Client Access" руководства Exchange Server 2003 Client Access Guide (на английском языке).
- Сведения об использовании SSL и о получении и установке серверных сертификатов для Exchange Server 2007 см. в документе Инструкции по настройке протокола SSL для мобильного Outlook.
- Дополнительные сведения о настройке службы автоопределения для доступа к Интернету в сервере Exchange 2007 SP2 и более поздних версиях Exchange см. в разделе "How to Configure the Autodiscover Service for Internet Access" документа White Paper: Exchange 2007 Autodiscover Service (на английском языке).