En mottagare kan inte visa ett e-postmeddelande som har kodats med S/MIME

Ursprungligt KB-nummer:   2621062

Symptom

Tänk dig följande scenarier:

Scenario 1

  • Du får åtkomst till en postlåda som finns på Exchange Server 2010 Service Pack 2 (SP2).
  • Du laddar ned och installerar kontrollen Secure/Multipurpose Internet Mail Extensions (S/MIME) i Outlook Web App (OWA). Sedan gör du något av följande:
    • Du använder S/MIME-kontrollen i OWA för att kryptera ett e-postmeddelande.
    • Du använder Outlook för att kryptera ett e-postmeddelande.
  • Du skickar e-postmeddelandet till en distributionslista.
  • En mottagare försöker öppna e-postmeddelandet i Outlook.

I det här scenariot kan mottagaren få det här felmeddelandet:

Det går inte att öppna det här objektet. Ditt ID-namn kan inte hittas av det underliggande säkerhetssystemet

Scenario 2

  • Du får åtkomst till en postlåda som finns på Exchange Server 2010 SP2.
  • Du laddar ned och installerar S/MIME-kontrollen i Outlook Web App (OWA). Sedan gör du något av följande:
    • Du använder S/MIME-kontrollen i OWA för att kryptera ett e-postmeddelande.
    • Du använder Outlook för att kryptera ett e-postmeddelande.
  • Du skickar e-postmeddelandet till en distributionslista.
  • En mottagare försöker öppna e-postmeddelandet i Outlook Web App (OWA).

I det här scenariot kan mottagaren få det här felmeddelandet:

Det här meddelandet kan inte dekrypteras eftersom dess krypteringsalgoritm inte stöds eller ditt ID-nummer inte kan hittas. Om du har ett smartkortsbaserat ID sätter du i kortet och försöker igen för att öppna meddelandet.

Orsak

Det här problemet kan uppstå om alla dessa villkor är sanna:

  • En Exchange-administratör har definierat en adressboksprincip.
  • Omfattningen av adressboksprincipen omfattar inte alla medlemmar i distributionsgruppen.

Anteckning

Detta är avsiktligt.

Lösning – metod 1

Använd funktionen Kontakter. Gör så här:

  1. Använd Outlook för att öppna ett digitalt signerat meddelande från en avsändare som inte finns i din adressbok.
  2. På raden Från: högerklickar du på avsändarens namn och väljer sedan Lägg till i Outlook-kontakter.
  3. I kontaktfönstret väljer du Certifikat i gruppen Visa.
  4. Verifiera den offentliga nyckelcertifikatet för kontakten.
  5. Välj Spara & Stäng.
  6. Använd funktionen Kontakter för att lägga till användaren i en lista över e-postmottagare som innehåller distributionsgruppen. Gör så här:
    1. I Outlook väljer du Nytt, väljer E-postmeddelande och sedan Till.
    2. Välj Kontakter under Adressbok.
    3. Dubbelklicka på den användare som du vill lägga till.

Lösning – metod 2

Skapa inte distributionslistor som innehåller medlemmar om dessa medlemmar spänner över flera adressboksprinciper.

Mer information

I Exchange Server 2010 SP2 kan administratörer implementera en ny funktion som kallas adressboksprinciper. Med den här funktionen kan administratörer använda en princip för att definiera vilka Exchange-objekt en postlådeanvändare kan se. Den här principen utvärderas sedan av adressbokstjänsten på klientåtkomstservern när en postlådeanvändare utför en adressboksfråga. Om objektet som begärs i frågan inte matchar omfattningen som har definierats för principen kan postlådans användare inte se objektet.

För distributionsgrupper (DG) kan det hända att postlådeanvändare inte ser hela medlemskapet i gruppen om omfattningen av deras adressboksprincip omfattar alla medlemmar i den gruppen. Adressbokstjänsten i Exchange Server 2010 SP2 implementerar separering med namngiven tjänstleverantörsgränssnitt (NSPI). När e-postklienten försöker utöka distributionslistan och slå upp de offentliga certifikaten för alla medlemmar i distributionslistan kan e-postklienten inte se användare som inte matchar principens omfattning. Därför försöker inte e-postklienten att slå upp certifikat för de användare som den inte kan se.

När meddelandet har skickats omfattas inte Navtransport av adressboksprinciper. Därför kan Transport skicka meddelandet till det faktiska medlemskapet i distributionslistan när distributionslistan utvidgas.

När du skickar till en distributionslista som innehåller medlemmar som du inte kan se kan Outlook och Outlook Web App inte hitta mottagarens certifikatinformation i Active Directory Domain Services. Därför används certifikatinformationen inte för att koda Lockbox, och mottagaren kan inte hitta certifikatet och den privata nyckeln för att dekryptera meddelandet.

När du använder någon av de metoder som listas i avsnittet Resolution för att kryptera e-postmeddelanden kan mottagaren avgöra hur de ska hitta certifikatet och den privata nyckeln för att dekryptera meddelandet.

Referenser

Mer information om adressboksprinciper finns i Förstå adressboksprinciper.