Adresat nie może wyświetlić wiadomości e-mail zakodowanej przy użyciu protokołu S/MIME

  • Artykuł
  • Dotyczy:
    Exchange Server 2010 Service Pack 2

Oryginalny numer KB: 2621062

Symptomy

Rozważmy następujące scenariusze:

Scenariusz 1

  • Dostęp do skrzynki pocztowej hostowanej w programie Exchange Server 2010 z dodatkiem Service Pack 2 (SP2).
  • Możesz pobrać i zainstalować kontrolkę Secure/Multipurpose Internet Mail Extensions (S/MIME) w Outlook Web App (OWA). Następnie wykonasz jedną z następujących czynności:
    • Do szyfrowania wiadomości e-mail służy kontrolka S/MIME w usłudze OWA.
    • Program Outlook służy do szyfrowania wiadomości e-mail.
  • Wiadomość e-mail jest wysyłana do listy dystrybucyjnej.
  • Adresat próbuje otworzyć wiadomość e-mail w programie Outlook.

W tym scenariuszu adresat może otrzymać następujący komunikat o błędzie:

Nie można otworzyć tego elementu. Nie można odnaleźć twojej nazwy identyfikatora cyfrowego przez podstawowy system zabezpieczeń

Scenariusz 2

  • Dostęp do skrzynki pocztowej hostowanej w Exchange Server 2010 z dodatkiem SP2.
  • Kontrolkę S/MIME można pobrać i zainstalować w Outlook Web App (OWA). Następnie wykonasz jedną z następujących czynności:
    • Do szyfrowania wiadomości e-mail służy kontrolka S/MIME w usłudze OWA.
    • Program Outlook służy do szyfrowania wiadomości e-mail.
  • Wiadomość e-mail jest wysyłana do listy dystrybucyjnej.
  • Adresat próbuje otworzyć wiadomość e-mail w Outlook Web App (OWA).

W tym scenariuszu adresat może otrzymać następujący komunikat o błędzie:

Nie można odszyfrować tego komunikatu, ponieważ jego algorytm szyfrowania nie jest obsługiwany lub nie można odnaleźć identyfikatora cyfrowego. Jeśli masz identyfikator cyfrowy oparty na kartach inteligentnych, włóż kartę i spróbuj ponownie otworzyć komunikat.

Przyczyna

Ten problem może wystąpić, jeśli wszystkie te warunki są spełnione:

  • Administrator programu Exchange zdefiniował zasady książki adresowej.
  • Zakres zasad książki adresowej nie obejmuje wszystkich członków grupy dystrybucyjnej.

Uwaga

Takie działanie jest celowe.

Rozwiązanie — metoda 1

Użyj funkcji Kontakty. Aby to zrobić, wykonaj następujące kroki.

  1. Użyj programu Outlook, aby otworzyć wiadomość podpisaną cyfrowo od nadawcy, który nie znajduje się w książce adresowej.
  2. W wierszu Od: kliknij prawym przyciskiem myszy nazwę nadawcy, a następnie wybierz pozycję Dodaj do kontaktów programu Outlook.
  3. W oknie Kontakt wybierz pozycję Certyfikaty w grupie Pokaż .
  4. Sprawdź certyfikat klucza publicznego dla kontaktu.
  5. Wybierz pozycję Zapisz & Zamknij.
  6. Użyj funkcji Kontakty, aby dodać użytkownika do listy adresatów wiadomości e-mail zawierającej grupę dystrybucyjną. Aby to zrobić, wykonaj następujące kroki.
    1. W programie Outlook wybierz pozycję Nowy, wybierz pozycję Wiadomość e-mail, a następnie wybierz pozycję Do.
    2. W obszarze Książka adresowa wybierz pozycję Kontakty.
    3. Kliknij dwukrotnie użytkownika, którego chcesz dodać.

Rozwiązanie — metoda 2

Nie należy tworzyć list dystrybucyjnych zawierających elementy członkowskie, gdy te elementy członkowskie obejmują wiele zasad książki adresowej.

Więcej informacji

W Exchange Server 2010 r. z dodatkiem SP2 administratorzy mogą zaimplementować nową funkcję znaną jako zasady książki adresowej. Ta funkcja umożliwia administratorom używanie zasad do definiowania obiektów programu Exchange, które może zobaczyć użytkownik skrzynki pocztowej. Te zasady są następnie oceniane przez usługę książki adresowej na serwerze dostępu klienta, gdy użytkownik skrzynki pocztowej wykonuje zapytanie książki adresowej. Jeśli obiekt żądany w zapytaniu nie jest zgodny z zakresem zdefiniowanym dla zasad, użytkownik skrzynki pocztowej nie może zobaczyć tego obiektu.

W przypadku grup dystrybucyjnych użytkownicy skrzynki pocztowej mogą nie widzieć całego członkostwa w grupie, jeśli zakres ich zasad książki adresowej obejmuje wszystkich członków tej grupy. Usługa Książki adresowej w Exchange Server 2010 z dodatkiem SP2 implementuje podział interfejsu NSPI (Named Service Provider Interface). Gdy klient poczty próbuje przeprowadzić rozszerzenie DL i wyszukać certyfikaty publiczne dla wszystkich członków listy dystrybucyjnej, klient poczty nie może zobaczyć użytkowników, którzy nie są zgodni z zakresem jego zasad. W związku z tym klient poczty nie próbuje wyszukiwać certyfikatów dla użytkowników, których nie widzi.

Po wysłaniu komunikatu usługa Hub Transport nie podlega zasadom książki adresowej. W związku z tym usługa Transport może wysłać komunikat do rzeczywistego członkostwa na liście dystrybucyjnej podczas rozszerzania listy dystrybucyjnej.

Po wysłaniu do listy dystrybucyjnej zawierającej elementy członkowskie, których nie widzisz, program Outlook i Outlook Web App nie mogą zlokalizować informacji o certyfikacie odbiorcy w Active Directory Domain Services. W związku z tym informacje o certyfikacie nie są używane do kodowania skrytki, a adresat nie może zlokalizować certyfikatu i klucza prywatnego w celu odszyfrowania komunikatu.

W przypadku szyfrowania wiadomości e-mail przy użyciu jednej z metod wymienionych w sekcji Rozwiązywanie adresat może określić sposób lokalizowania certyfikatu i klucza prywatnego na potrzeby odszyfrowywania wiadomości.

Informacje

Aby uzyskać więcej informacji na temat zasad książki adresowej, zobacz Opis zasad książki adresowej.