Een geadresseerde kan geen e-mailbericht weergeven dat is gecodeerd met S/MIME

Oorspronkelijk KB-nummer:   2621062

Symptomen

In dit scenario kunt u het volgende doen:

Scenario 1

  • U opent een postvak dat wordt gehost op Exchange Server 2010 Service Pack 2 (SP2).
  • U downloadt en installeert het besturingselement Secure/Multipurpose Internet Mail Extensions (S/MIME) in Outlook Web app (OWA). Vervolgens voert u een van de volgende handelingen uit:
    • U kunt een e-mailbericht met de S/MIME-besturing in OWA versleutelen.
    • U gebruikt Outlook om een e-mailbericht te versleutelen.
  • U verzendt het e-mailbericht naar een distributielijst.
  • Een geadresseerde probeert een e-mailbericht te openen in Outlook.

In dit scenario kan de geadresseerde dit foutbericht krijgen:

Dit item kan niet worden geopend. De naam van uw digitale ID kan niet worden gevonden door het onderliggende beveiligingssysteem

Scenario 2

  • U opent een postvak dat wordt gehost op Exchange Server 2010 SP2.
  • U downloadt en installeert de S/MIME-besturing in Outlook Web app (OWA). Vervolgens voert u een van de volgende handelingen uit:
    • U kunt een e-mailbericht met de S/MIME-besturing in OWA versleutelen.
    • U gebruikt Outlook om een e-mailbericht te versleutelen.
  • U verzendt het e-mailbericht naar een distributielijst.
  • Een geadresseerde probeert het e-mailbericht te openen in Outlook Web app (OWA).

In dit scenario kan de geadresseerde dit foutbericht krijgen:

Dit bericht kan niet worden ontsleuteld omdat de versleutelingsalgoritme niet wordt ondersteund of als uw digitale ID niet kan worden gevonden. Als u een digitale ID op basis van smartcard hebt, voegt u de kaart in en probeert u het bericht opnieuw te openen.

Oorzaak

Dit probleem kan zich voordoen als al deze voorwaarden van toepassing zijn:

  • Een Exchange-beheerder heeft een adresboek beleid gedefinieerd.
  • Het bereik van het adresboek beleid omvat niet alle leden van de distributiegroep.

Notitie

Dit gedrag is inherent aan het ontwerp van het product.

Oplossing-methode 1

Gebruik de functie Contactpersonen. Ga hiervoor als volgt te werk:

  1. Met Outlook kunt u een digitaal ondertekend bericht openen van een afzender die niet voorkomt in uw adresboek.
  2. Klik in de regel van: met de rechtermuisknop op de naam van de afzender en selecteer toevoegen aan Outlook-contactpersonen.
  3. Selecteer in het venster contact persoon de optie certificaten in de groep weergeven .
  4. Controleer het openbare sleutelcertificaat voor de contactpersoon.
  5. Selecteer opslaan & sluiten.
  6. Gebruik de functie Contactpersonen om de gebruiker toe te voegen aan een lijst met geadresseerden voor e-mailberichten die de distributiegroep bevatten. Ga hiervoor als volgt te werk:
    1. Selecteer in Outlook de optie Nieuw, selecteer e-mail bericht en selecteer aan.
    2. Selecteer contactpersonen onder Adresboek.
    3. Dubbelklik op de gebruiker die u wilt toevoegen.

Oplossing: methode 2

Maak geen distributielijsten die leden bevatten wanneer deze leden meerdere Adresboek beleidsregels bevatten.

Meer informatie

In Exchange Server 2010 SP2 kunnen beheerders een nieuwe functie implementeren, ook wel Adresboek beleidsregels genoemd. Met deze functie kunnen beheerders een beleid gebruiken om te bepalen welke Exchange-objecten door een gebruiker van het postvak kunnen worden weergegeven. Dit beleid wordt vervolgens geëvalueerd door de Adresboek service op de client toegangs server wanneer een gebruiker van het postvak een query voor het adresboek uitvoert. Als het object dat in de query wordt opgevraagd, niet overeenkomt met het bereik dat is gedefinieerd voor het beleid, kan de gebruiker van het postvak dit object niet vinden.

Voor distributiegroepen (DG) zien gebruikers van het postvak mogelijk niet het hele lidmaatschap van de groep als het bereik van hun adresboek beleid alle leden van die groep omvat. Met de adresboekservice in Exchange Server 2010 SP2 wordt de naam van NSPI (Service Provider Interface) voor scheiding van service providers geïmplementeerd. Wanneer de e-mailclient de DL-expansie uitbreidt en de openbare certificaten voor alle leden van de distributielijst opzoekt, kan de e-mailclient niet zien welke gebruikers niet met het bereik van het beleid werken. Daarom probeert de e-mailclient geen certificaten te zoeken voor de gebruikers die deze niet kunnen zien.

Wanneer het bericht is verzonden, is hub-transport niet onderhevig aan Adresboek beleidsregels. Wanneer de distributielijst wordt uitgevouwen, kan de e-mail door transport worden verzonden naar het werkelijke lidmaatschap van de distributielijst.

Wanneer u naar een distributielijst verzendt die leden bevat die u niet kunt zien, kan Outlook en Outlook Web App de certificaatgegevens van de ontvanger niet vinden in Active Directory Domain Services. Daarom wordt de certificaatinformatie niet gebruikt voor het coderen van de lockbox en kan de ontvanger het certificaat en de persoonlijke sleutel niet vinden om het bericht te decoderen.

Wanneer u een van de methoden gebruikt die worden vermeld in de sectie oplossing voor het versleutelen van e-mailberichten, kan de ontvanger bepalen hoe het certificaat en de persoonlijke sleutel voor het ontsleutelen van het bericht moeten worden opgespoord.

Verwijzingen

Zie informatie over Adresboek beleidsregelsvoor meer informatie over het beleid van het adresboek.