Een geadresseerde kan een e-mailbericht dat is gecodeerd met S/MIME niet weergeven
Origineel KB-nummer: 2621062
Symptomen
Houd rekening met deze scenario's:
Scenario 1
- U opent een postvak dat wordt gehost op Exchange Server 2010 Service Pack 2 (SP2).
- U downloadt en installeert het besturingselement Secure/Multipurpose Internet Mail Extensions (S/MIME) in Outlook Web App (OWA). Vervolgens voert u een van de volgende handelingen uit:
- U gebruikt het S/MIME-besturingselement in OWA om een e-mailbericht te versleutelen.
- U gebruikt Outlook om een e-mailbericht te versleutelen.
- U verzendt het e-mailbericht naar een distributielijst.
- Een geadresseerde probeert het e-mailbericht te openen in Outlook.
In dit scenario kan de ontvanger het volgende foutbericht ontvangen:
Kan dit item niet openen. De naam van uw digitale id kan niet worden gevonden door het onderliggende beveiligingssysteem
Scenario 2
- U opent een postvak dat wordt gehost op Exchange Server 2010 SP2.
- U downloadt en installeert het S/MIME-besturingselement in Outlook Web App (OWA). Vervolgens voert u een van de volgende handelingen uit:
- U gebruikt het S/MIME-besturingselement in OWA om een e-mailbericht te versleutelen.
- U gebruikt Outlook om een e-mailbericht te versleutelen.
- U verzendt het e-mailbericht naar een distributielijst.
- Een geadresseerde probeert het e-mailbericht te openen in Outlook Web App (OWA).
In dit scenario kan de ontvanger het volgende foutbericht ontvangen:
Dit bericht kan niet worden ontsleuteld omdat het versleutelingsalgoritmen niet wordt ondersteund of omdat uw digitale id niet kan worden gevonden. Als u een digitale id op basis van een smartcard hebt, plaatst u de kaart en probeert u het bericht opnieuw te openen.
Oorzaak
Dit probleem kan optreden als aan al deze voorwaarden wordt voldaan:
- Een Exchange-beheerder heeft een adresboekbeleid gedefinieerd.
- Het bereik van het adresboekbeleid omvat niet alle leden van de distributiegroep.
Opmerking
Dit gedrag is inherent aan het ontwerp van het product.
Oplossing - methode 1
Gebruik de functie Contactpersonen. Ga hiervoor als volgt te werk:
- Gebruik Outlook om een digitaal ondertekend bericht te openen van een afzender die zich niet in uw adresboek bevindt.
- Klik in de regel Van: met de rechtermuisknop op de naam van de afzender en selecteer vervolgens Toevoegen aan Outlook-contactpersonen.
- Selecteer in het venster Contactpersoonde optie Certificaten in de groep Weergeven .
- Controleer het openbare sleutelcertificaat voor de contactpersoon.
- Selecteer Opslaan & Sluiten.
- Gebruik de functie Contactpersonen om de gebruiker toe te voegen aan een lijst met geadresseerden van e-mailberichten die de distributiegroep bevat. Ga hiervoor als volgt te werk:
- Selecteer in Outlook Nieuw, selecteer E-mailbericht en selecteer vervolgens Aan.
- Selecteer onder Adresboek de optie Contactpersonen.
- Dubbelklik op de gebruiker die u wilt toevoegen.
Oplossing - methode 2
Maak geen distributielijsten die leden bevatten wanneer deze leden meerdere adresboekbeleidsregels omvatten.
Meer informatie
In Exchange Server 2010 SP2 kunnen beheerders een nieuwe functie implementeren die adresboekbeleid wordt genoemd. Met deze functie kunnen beheerders een beleid gebruiken om te definiƫren welke Exchange-objecten een postvakgebruiker kan zien. Dit beleid wordt vervolgens geƫvalueerd door de adresboekservice op de clienttoegangsserver wanneer een postvakgebruiker een adresboekquery uitvoert. Als het object dat is aangevraagd in de query niet overeenkomt met het bereik dat is gedefinieerd voor het beleid, kan de postvakgebruiker dat object niet zien.
Voor distributiegroepen (DG) zien postvakgebruikers mogelijk niet het hele lidmaatschap van de groep als het bereik van hun adresboekbeleid alle leden van die groep omvat. De adresboekservice in Exchange Server 2010 SP2 implementeert NSPI-scheiding (Named Service Provider Interface). Wanneer de e-mailclient dl-uitbreiding probeert uit te voeren en de openbare certificaten zoekt voor alle leden van de distributielijst, kan de e-mailclient geen gebruikers zien die niet overeenkomen met het bereik van het beleid. Daarom probeert de e-mailclient geen certificaten op te zoeken voor de gebruikers die deze niet kan zien.
Nadat het bericht is verzonden, is Hub Transport niet onderhevig aan adresboekbeleid. Daarom kan Transport het bericht verzenden naar het werkelijke lidmaatschap van de distributielijst wanneer distributielijst wordt uitgebreid.
Wanneer u verzendt naar een distributielijst met leden die u niet kunt zien, kunnen Outlook en Outlook Web App de certificaatgegevens van de ontvanger niet vinden in Active Directory Domain Services. Daarom worden de certificaatgegevens niet gebruikt om de lockbox te coderen en kan de ontvanger het certificaat en de persoonlijke sleutel niet vinden om het bericht te ontsleutelen.
Wanneer u een van de methoden gebruikt die worden vermeld in de sectie Oplossing om e-mailberichten te versleutelen, kan de ontvanger bepalen hoe het certificaat en de persoonlijke sleutel voor het ontsleutelen van het bericht moeten worden gevonden.
Verwijzingen
Zie Informatie over beleidsregels voor adresboeken voor meer informatie over adresboekbeleid.
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor