받는 사람이 S/MIME을 사용 하 여 인코딩된 전자 메일 메시지를 볼 수 없음

원래 수 (kbps):   2621062

증상

다음과 같은 시나리오를 고려해 야 합니다.

시나리오 1

  • Exchange Server 2010 SP2 (서비스 팩 2)에 호스트 되는 사서함에 액세스 합니다.
  • OWA (Outlook Web App)에서 Secure/다목적 인터넷 메일 확장명 (S/MIME) 컨트롤을 다운로드 하 여 설치 합니다. 그런 후에 다음 중 하나를 수행 합니다.
    • OWA에서 S/MIME 컨트롤을 사용 하 여 전자 메일 메시지를 암호화 합니다.
    • Outlook을 사용 하 여 전자 메일 메시지를 암호화 합니다.
  • 전자 메일 메시지를 메일 그룹으로 보냅니다.
  • 받는 사람이 Outlook에서 전자 메일 메시지를 열려고 시도 합니다.

이 시나리오에서 받는 사람에 게 다음과 같은 오류 메시지가 표시 될 수 있습니다.

이 항목을 열 수 없습니다. 기본 보안 시스템에서 디지털 ID 이름을 찾을 수 없습니다.

시나리오 2

  • Exchange Server 2010 SP2에서 호스팅되는 사서함에 액세스 합니다.
  • OWA (Outlook Web App)에서 S/MIME 컨트롤을 다운로드 하 여 설치 합니다. 그런 후에 다음 중 하나를 수행 합니다.
    • OWA에서 S/MIME 컨트롤을 사용 하 여 전자 메일 메시지를 암호화 합니다.
    • Outlook을 사용 하 여 전자 메일 메시지를 암호화 합니다.
  • 전자 메일 메시지를 메일 그룹으로 보냅니다.
  • 받는 사람이 OWA (Outlook Web App)에서 전자 메일 메시지를 열려고 시도 합니다.

이 시나리오에서 받는 사람에 게 다음과 같은 오류 메시지가 표시 될 수 있습니다.

암호화 알고리즘이 지원 되지 않거나 디지털 ID를 찾을 수 없기 때문에이 메시지의 암호를 해독할 수 없습니다. 스마트 카드 기반 디지털 ID가 있는 경우 카드를 삽입 하 고 메시지를 다시 열어 봅니다.

원인

이러한 모든 조건에 해당 하는 경우이 문제가 발생할 수 있습니다.

  • Exchange 관리자가 주소록 정책을 정의한 경우
  • 주소록 정책의 범위에는 메일 그룹의 모든 구성원이 포함 되지 않습니다.

참고

이것은 의도적으로 설계된 동작입니다.

해결 방법-방법 1

연락처 기능을 사용 합니다. 이렇게 하려면 다음과 같이 하십시오.

  1. Outlook을 사용 하 여 주소록에 없는 보낸 사람이 디지털 서명 된 메시지를 엽니다.
  2. 시작: 줄에서 보낸 사람 이름을 마우스 오른쪽 단추로 클릭 한 다음 Outlook 연락처에 추가 를 선택 합니다.
  3. 대화 상대 창의 표시 그룹에서 인증서 를 선택 합니다.
  4. 연락처에 대 한 공개 키 인증서를 확인 합니다.
  5. 저장 & 닫기를 선택 합니다.
  6. 연락처 기능을 사용 하 여 메일 그룹을 포함 하는 전자 메일 메시지의 받는 사람 목록에 사용자를 추가 합니다. 이렇게 하려면 다음과 같이 하십시오.
    1. Outlook에서 새로 만들기, 메일 메시지 를 차례로 선택 하 고 선택 합니다.
    2. 주소록 에서 연락처 를 선택 합니다.
    3. 추가할 사용자를 두 번 클릭 합니다.

해결 방법-방법 2

구성원이 여러 주소록 정책에 걸쳐 있는 경우 구성원을 포함 하는 메일 그룹을 만들지 마십시오.

추가 정보

Exchange Server 2010 SP2에서는 관리자가 주소록 정책 이라는 새로운 기능을 구현할 수 있습니다. 관리자는이 기능을 사용 하 여 사서함 사용자가 볼 수 있는 Exchange 개체를 정의 하기 위해 정책을 사용할 수 있습니다. 이 정책은 사서함 사용자가 주소록 쿼리를 수행 하는 경우 클라이언트 액세스 서버의 주소록 서비스에 의해 평가 됩니다. 쿼리에 요청 된 개체가 정책에 대해 정의 된 범위와 일치 하지 않으면 사서함 사용자가 해당 개체를 볼 수 없습니다.

메일 그룹 (DG)의 경우, 주소록 정책의 범위에 해당 그룹의 모든 구성원이 포함 되어 있으면 사서함 사용자에 게 그룹의 전체 구성원 자격이 표시 되지 않을 수 있습니다. Exchange Server 2010 SP2의 주소록 서비스는 NSPI (서비스 공급자 인터페이스) 조각화를 구현 합니다. 메일 클라이언트가 DL 확장을 수행 하 여 메일 그룹의 모든 구성원에 대 한 공용 인증서를 조회 하려고 하면 메일 클라이언트에서 해당 정책의 범위와 일치 하지 않는 사용자를 볼 수 없습니다. 따라서 메일 클라이언트는 볼 수 없는 사용자에 대 한 인증서를 조회 하지 않습니다.

메시지를 보낸 후에는 허브 전송에 주소록 정책이 적용 되지 않습니다. 따라서 메일 그룹 확장을 수행 하는 경우 전송 프로그램은 메일 그룹의 실제 구성원으로 메시지를 보낼 수 있습니다.

볼 수 없는 구성원이 포함 된 메일 그룹으로 보낼 때 Outlook 및 Outlook Web App이 Active Directory 도메인 서비스에서 받는 사람의 인증서 정보를 찾을 수 없습니다. 따라서 인증서 정보는 lockbox를 인코딩하는 데 사용 되지 않으며, 받는 사람은 메시지를 해독 하기 위해 인증서와 개인 키를 찾을 수 없습니다.

해결 방법 섹션에 나와 있는 방법 중 하나를 사용 하 여 전자 메일 메시지를 암호화 하는 경우 받는 사람은 메시지 암호 해독을 위한 인증서와 개인 키를 찾는 방법을 결정할 수 있습니다.

참조

주소록 정책에 대 한 자세한 내용은 주소록 정책 이해(영문)를 참조 하십시오.