Fehlende Übereinstimmung bei Zertifikat-Prinzipal

[Dieses Thema beschäftigt sich mit einem besonderen Problem, das von Exchange Server Analyzer angezeigt wird. Die Problembehandlung sollte nur auf Systeme angewendet werden, auf denen Exchange Server Analyzer ausgeführt wird und dieses spezielle Problem auftritt. Exchange Server Analyzer (als kostenloser Download verfügbar) trägt remote Konfigurationsdaten von allen Servern in der Topologie zusammen und analysiert diese Daten automatisch. Der sich ergebende Bericht enthält ausführliche Informationen zu wichtigen Konfigurationskonflikten, möglichen Problemen und Produkteinstellungen, die nicht den Standardeinstellungen entsprechen. Indem Sie diese Empfehlungen beachten, können Sie bessere Leistung, Skalierbarkeit, Zuverlässigkeit und Betriebszeit erzielen. Weitere Informationen zum Tool sowie zum Download der aktuellsten Version finden Sie unter "Microsoft Exchange Analyzers" unter der Adresse https://go.microsoft.com/fwlink/?linkid=34707.]  

Letztes Änderungsdatum des Themas: 2011-01-26

Microsoft Exchange Best Practices Analyzer analysiert die Liste der akzeptierten Domänen in Microsoft Exchange Server 2007, um die URLs für die akzeptierten SMTP-Domänen abzurufen. Aus jeder akzeptierten SMTP-Domäne versucht Analyzer, das SSL-Zertifikat zu erfassen, das der betreffenden Domäne zugeordnet ist. Das Tool untersucht jedes erfasste Zertifikat, um den Wert des Prinzipalattributs für das betreffende Zertifikat zu ermitteln. Der Wert des Prinzipalattributs stellt den Common Name (CN) des Zertifikats dar. Er wird neben Ausgestellt für auf dem Zertifikatobjekt angezeigt.

Wenn der Common Name des Zertifikats nicht mit der URL übereinstimmt, die Analyzer für den Zugriff auf die Ressource verwendet hat, gibt das Tool eine Warnmeldung "Fehlende Übereinstimmung bei Zertifikat-Prinzipal" aus. Dies bedeutet, dass Benutzer möglicherweise mithilfe von Microsoft Office Outlook® Web Access für Exchange Server 2003, Outlook Anywhere für Exchange Server 2007, Exchange Server ActiveSync und RPC über HTTP ggf. keine Verbindung mehr mit ihren Postfächern herstellen können.

Unter diesen Umständen werden Benutzer ggf. wiederholt zur Eingabe ihrer Anmeldeinformationen aufgefordert, wenn sie versuchen, eine Verbindung mit Exchange herzustellen, oder Benutzer erhalten möglicherweise die folgende Fehlermeldung bei Verbindungsversuchen mit der Exchange-Ressource:

Eine fehlende Übereinstimmung des Zertifikat-Prinzipals kann auftreten, wenn eine der folgenden Bedingungen erfüllt ist:

• Das Zertifikat weist einen falschen Common Name auf.
• Der Client greift auf Daten auf einem Server über eine falsche URL zu, wenn der Server mehrere DNS-Namen besitzt.
• Veraltete oder falsche Einträge für Akzeptierte Domäne sind auf dem Exchange-Transportserver vorhanden.

Exchange erfordert für die Ausführung eines SSL-Protokolls wie z. B. HTTPS ein Zertifikat. Sie können in Exchange 2007 ein Zertifikat verwenden, das SANs (Subjektalternativnamen) unterstützt. Auf diese Weise kann das Zertifikat Ressourcen unterstützen, die andere Namen verwenden, z. B. Outlook Anywhere und die AutoErmittlungs-Webanwendung.

Anmerkung:
Weitere Informationen zum verwenden von Platzhalterzertifikaten (*) mit Exchange 2007 finden Sie unter Verwendung von Zertifikaten in Exchange 2007 Server.

Wenn Sie ein SAN-Zertifikat verwenden, erhalten Sie jedoch den Fehler hinsichtlich der fehlenden Übereinstimmung des Zertifikat-Prinzipals, wenn der Prinzipalname ("Ausgestellt für") und der von Clients für den Zugriff auf die Ressource verwendete FQDN nicht übereinstimmen.

So beheben Sie die fehlende Übereinstimmung beim Zertifikatnamen

1. Ermitteln Sie den FQDN, den der Client für den Zugriff auf die Ressource verwendet. Führen Sie z. B. die folgenden Schritte aus, um den von Outlook verwendeten FQDN zu überprüfen:

   1. Starten Sie Microsoft Outlook.
   2. Klicken Sie im Menü Extras auf Kontoeinstellungen.
   3. Klicken Sie auf die Registerkarte E-Mail, klicken Sie auf das Exchange-Konto, und klicken Sie dann auf Ändern.
   4. Klicken Sie auf Weitere Einstellungen, und klicken Sie dann auf die Registerkarte Verbindung.
   5. Klicken Sie auf Exchange-Proxyeinstellungen.
   6. Notieren Sie sich den FQDN, der im Feld Verbindung nur mit Proxyservern herstellen, deren Zertifikat den folgenden Prinzipalnamen enthält aufgeführt wird. Beispiel: mail.contoso.com.

2. Verwenden Sie die Exchange-Verwaltungsshell, um wie folgt den Wert des Attributs CertPrincipalName zu ermitteln:

3. Get-OutlookProvider

4. Dieser Befehl gibt die Ergebnisse für den EXPR-Namen zurück. Der Befehl gibt z. B. Folgendes zurück: msstd:server1.contoso.com.

5. Verwenden Sie die Exchange-Verwaltungsshell zum Ändern des Attributs CertPrincipalName, damit es dem von Outlook für den Zugriff auf die Ressource verwendeten FQDN entspricht. Verwenden Sie zu diesem Zweck den folgenden Befehl:

   Set-OutlookProvider EXPR -CertPrincipalName:"msstd:<FQDN the certificate is issued to>"
   

Anmerkung:
Wenn Sie ein Zertifikat für Exchange abrufen, wird am besten der extern zugreifbare DNS-Name als Zertifikatprinzipalname verwendet. Verwenden Sie z. B. mail.contoso.com als primären Namen eines SAN-Zertifikats.

Dieser Fehler kann auch auftreten, wenn Analyzer Einträge für akzeptierte Domänen erkennt, die für interne SMTP-Domänen gelten, die in Exchange nicht mehr vorhanden sind.

Zur Behebung dieses Problems müssen Sie die Empfängerrichtlinien löschen, die für SMTP-Domänen gelten, die nicht mehr vorhanden sind oder nicht mehr verwendet werden.

So zeigen Sie akzeptierte Domänen in Exchange an

1. Starten Sie die Exchange-Verwaltungskonsole.

2. Erweitern Sie Organisationskonfiguration, und klicken Sie dann auf den Transportserver. Klicken Sie z. B. auf Hub-Transport. Für einen Edge-Transport-Server klicken Sie auf Edge-Transport.

3. Klicken Sie im Detailbereich auf die Registerkarte Akzeptierte Domänen. Untersuchen Sie die Einträge, die in der Liste Akzeptierte Domäne angezeigt werden, und entscheiden Sie, ob eine dieser Domänen entfernt werden sollte.