Несоответствие атрибута Principal сертификата

[В данном разделе приведены сведения об устранении проблем, обнаруживаемых с помощью анализатора Exchange. Используйте эти сведения для решения конкретных проблем только на тех системах, для которых был запущен анализатор Exchange. Анализатор Exchange, который можно бесплатно загрузить из Интернета, удаленно собирает конфигурационные данные с каждого сервера в топологии и автоматически анализирует их. В итоговый отчет записываются важные сведения о неправильных настройках, потенциальных проблемах и параметрах, для которых были изменены значения по умолчанию. Следуя рекомендациям анализатора Exchange, можно улучшить производительность, масштабируемость и надежность сервера Exchange Server и сократить время вынужденных простоев. Дополнительные сведения об анализаторе Exchange и о том, как загрузить его новейшие версии, см. в документе "Анализаторы Microsoft Exchange" по адресу https://go.microsoft.com/fwlink/?linkid=34707 (на английском языке).]  

Последнее изменение раздела: 2011-01-26

Чтобы определить адрес обслуживаемых доменов, анализатор соответствия рекомендациям для Exchange проверяет список обслуживаемых доменов в сервере Microsoft Exchange Server 2007. Для каждого обслуживаемого домена SMTP анализатор пытается получить SSL-сертификат, связанный с определенным доменом. Анализатор проверяет каждый полученный сертификат для определения значения атрибута Principal в определенном сертификате. Значение атрибута Principal представляет общее имя (CN) сертификата, которое отображается рядом с элементом Issued to (кому выдан) объекта сертификата.

Если общее имя сертификата не соответствует URL-адресу, который анализатор использует для доступа к ресурсу, то формируется предупреждающее сообщение о несоответствии атрибута Principal сертификата. Это означает, что пользователи не имеют возможности подключить свои почтовые ящики с использованием клиента Microsoft Office Outlook® Web Access для Microsoft Exchange Server 2003, мобильного Outlook для Exchange Server 2007, Exchange Server ActiveSync и RPC через HTTP.

При этом у пользователя могут неоднократно запрашиваться учетные данные при попытке подключения к серверу Exchange или при попытке подключения к ресурсу Exchange может отображаться следующее сообщение об ошибке:

Ошибка несоответствия атрибута Principal сертификата может быть вызвана следующими причинами:

• Неправильное общее имя сертификата.
• Клиент пытается получить доступ к данным на сервере с использованием неправильного URL-адреса, если сервер имеет несколько DNS-имен.
• Существуют устаревшие или неправильные записи Обслуживаемый домен на транспортном сервере Exchange.

Сервер Exchange требует сертификат для запуска протокола SSL, например HTTPS. В сервере Exchange 2007 можно использовать сертификат, поддерживающий дополнительные имена субъектов (SAN). Это сделано для того, чтобы сертификат поддерживал ресурсы, которые имеют различные имена, например мобильный Outlook и веб-приложение автообнаружения.

Примечание.
Дополнительные сведения об использовании групповых сертификатов (*) в Exchange 2007 см. в статье Использование сертификатов в Exchange Server 2007.

Однако при использовании сертификата с поддержкой дополнительных имен субъектов будет выдаваться ошибка несоответствия атрибута Principal сертификата, если имеется несоответствие между именем Principal ("Issued to" — кому выдан) и полным доменным именем, используемым клиентами для доступа к ресурсу.

Чтобы ликвидировать несоответствие имени сертификата

1. Определите полное доменное имя, которое использует клиент для доступа к ресурсу. Например, чтобы проверить полное доменное имя, используемое клиентом Outlook, выполните указанные ниже действия.

   1. Запустите Microsoft Outlook.
   2. В меню Сервис выберите команду Учетные записи.
   3. Откройте вкладку Электронная почта, выберите учетную запись Exchange и нажмите кнопку Изменить.
   4. Выберите пункт Другие настройки и откройте вкладку Подключение.
   5. Щелкните элемент Параметры прокси-сервера Exchange.
   6. Обратите внимание на полное доменное имя в окне Подключаться только к прокси-серверам, содержащим это основное имя в своем сертификате:. Например, mail.contoso.com.

2. Чтобы определить значение атрибута CertPrincipalName, введите в командной консоли Exchange следующую команду:

3. Get-OutlookProvider

4. Эта команда возвращает результаты для имени EXPR. Например, команда возвращает следующее значение: msstd:server1.contoso.com

5. Используйте командную консоль Exchange, чтобы изменить атрибут CertPrincipalName для его соответствия полному доменному имени, которое использует Outlook для доступа к ресурсу. Для этого используйте следующую команду:

   Set-OutlookProvider EXPR -CertPrincipalName:"msstd:<FQDN the certificate is issued to>"
   

Примечание.
При получении сертификата для сервера Exchange лучше использовать доступное внешним клиентам DNS-имя в качестве имени участника сертификата. Например, используйте mail.contoso.com в качестве основного имени сертификата с поддержкой дополнительных имен.

Эта ошибка также может возникнуть в том случае, если анализатор обнаружит записи обслуживаемых доменов, принадлежащие внутренним доменам SMTP, которые более не существуют в Exchange.

Чтобы устранить эту проблему, необходимо удалить политики получателя, применяемые к доменам SMTP, которые более не существуют или более не используются.

Просмотр обслуживаемых доменов в Exchange

1. Откройте консоль управления Exchange.

2. Разверните узел Конфигурация организации и выберите транспортный сервер. Например, Транспортный сервер-концентратор. Для пограничного транспортного сервера выберите пункт Пограничный транспортный сервер.

3. В области сведений откройте вкладку Обслуживаемые домены. Проверьте записи, которые отображаются в списке Обслуживаемые домены, чтобы определить, не следует ли удалить некоторые из них.