En mottagare kan inte visa ett e-postmeddelande som är kodat med hjälp av S/MIME

  • Artikel
  • Gäller för:
    Exchange Server 2010 Service Pack 2

Ursprungligt KB-nummer: 2621062

Symptom

Tänk på följande scenarier:

Scenario 1

  • Du kommer åt en postlåda som finns på Exchange Server 2010 Service Pack 2 (SP2).
  • Du laddar ned och installerar S/MIME-kontrollen (Secure/Multipurpose Internet Mail Extensions) i Outlook Web App (OWA). Sedan gör du något av följande:
    • Du använder S/MIME-kontrollen i OWA för att kryptera ett e-postmeddelande.
    • Du använder Outlook för att kryptera ett e-postmeddelande.
  • Du skickar e-postmeddelandet till en distributionslista.
  • En mottagare försöker öppna e-postmeddelandet i Outlook.

I det här scenariot kan mottagaren få följande felmeddelande:

Det går inte att öppna det här objektet. Ditt digitala ID-namn kan inte hittas av det underliggande säkerhetssystemet

Scenario 2

  • Du kommer åt en postlåda som finns på Exchange Server 2010 SP2.
  • Du laddar ned och installerar S/MIME-kontrollen i Outlook Web App (OWA). Sedan gör du något av följande:
    • Du använder S/MIME-kontrollen i OWA för att kryptera ett e-postmeddelande.
    • Du använder Outlook för att kryptera ett e-postmeddelande.
  • Du skickar e-postmeddelandet till en distributionslista.
  • En mottagare försöker öppna e-postmeddelandet i Outlook Web App (OWA).

I det här scenariot kan mottagaren få följande felmeddelande:

Det går inte att dekryptera det här meddelandet eftersom krypteringsalgoritmen inte stöds eller så går det inte att hitta ditt digitala ID. Om du har ett smartkortsbaserat digitalt ID infogar du kortet och försöker öppna meddelandet igen.

Orsak

Det här problemet kan inträffa om alla dessa villkor är uppfyllda:

  • En Exchange-administratör har definierat en adressboksprincip.
  • Omfånget för adressboksprincipen omfattar inte alla medlemmar i distributionsgruppen.

Obs!

Detta är avsiktligt.

Lösning – metod 1

Använd funktionen Kontakter. Gör så här:

  1. Använd Outlook för att öppna ett digitalt signerat meddelande från en avsändare som inte finns i din adressbok.
  2. På raden Från: högerklickar du på avsändarens namn och väljer sedan Lägg till i Outlook-kontakter.
  3. I fönstret Kontakt väljer du Certifikat i gruppen Visa .
  4. Verifiera certifikatet för den offentliga nyckeln för kontakten.
  5. Välj Spara & Stäng.
  6. Använd funktionen Kontakter för att lägga till användaren i en lista över mottagare av e-postmeddelanden som innehåller distributionsgruppen. Gör så här:
    1. I Outlook väljer du Nytt, e-postmeddelande och sedan Till.
    2. Under Adressbok väljer du Kontakter.
    3. Dubbelklicka på den användare som du vill lägga till.

Lösning – metod 2

Skapa inte distributionslistor som innehåller medlemmar när dessa medlemmar omfattar flera adressboksprinciper.

Mer information

I Exchange Server 2010 SP2 kan administratörer implementera en ny funktion som kallas adressboksprinciper. Med den här funktionen kan administratörer använda en princip för att definiera vilka Exchange-objekt en postlådeanvändare kan se. Den här principen utvärderas sedan av adressbokstjänsten på klientåtkomstservern när en postlådeanvändare utför en adressboksfråga. Om objektet som begärs i frågan inte matchar det omfång som definierats för principen kan postlådeanvändaren inte se objektet.

För distributionsgrupper (DG) kanske postlådeanvändare inte ser hela medlemskapet i gruppen om omfånget för deras adressboksprincip inkluderar alla medlemmar i gruppen. Adressbokstjänsten i Exchange Server 2010 SP2 implementerar SSPI-uppdelning (Named Service Provider Interface). När e-postklienten försöker utföra en DL-expansion och leta upp de offentliga certifikaten för alla medlemmar i distributionslistan kan e-postklienten inte se användare som inte matchar omfånget för dess princip. Därför försöker inte e-postklienten att söka efter certifikat för de användare som den inte kan se.

När meddelandet har skickats omfattas inte Hub Transport av adressboksprinciper. Därför kan Transport skicka meddelandet till det faktiska medlemskapet i distributionslistan när distributionslistans expansion utförs.

När du skickar till en distributionslista som innehåller medlemmar som du inte kan se kan Outlook och Outlook Web App inte hitta mottagarens certifikatinformation i Active Directory Domain Services. Därför används inte certifikatinformationen för att koda låsboxen och mottagaren kan inte hitta certifikatet och den privata nyckeln för att dekryptera meddelandet.

När du använder någon av metoderna som visas i avsnittet Lösning för att kryptera e-postmeddelanden kan mottagaren bestämma hur certifikatet och den privata nyckeln ska hittas för dekryptering av meddelandet.

Referenser

Mer information om adressboksprinciper finns i Förstå principer för adressbok.