原始 KB 编号: 2621062
症状
请考虑以下方案:
方案 1
- 访问托管在 Exchange Server 2010 Service Pack 2 (SP2) 上的邮箱。
- 在 Outlook Web App (OWA) 中下载并安装安全/多用途 Internet 邮件扩展 (S/MIME) 控件。 然后,执行以下操作之一:
- 使用 OWA 中的 S/MIME 控件来加密电子邮件。
- 使用 Outlook 加密电子邮件。
- 将电子邮件发送到通讯组列表。
- 收件人尝试在 Outlook 中打开电子邮件。
在这种情况下,收件人可能会收到以下错误消息:
无法打开此项。 基础安全系统找不到你的数字 ID 名称
方案 2
- 访问托管在 Exchange Server 2010 SP2 上的邮箱。
- 在 Outlook Web App (OWA) 中下载并安装 S/MIME 控件。 然后,执行以下操作之一:
- 使用 OWA 中的 S/MIME 控件来加密电子邮件。
- 使用 Outlook 加密电子邮件。
- 将电子邮件发送到通讯组列表。
- 收件人尝试在 OWA) Outlook Web App (打开电子邮件。
在这种情况下,收件人可能会收到以下错误消息:
无法解密此消息,因为它的加密算法不受支持,或者找不到你的数字 ID。 如果你有基于卡的智能数字 ID,请插入卡,然后重试打开邮件。
原因
如果满足以下所有条件,则可能会出现此问题:
- Exchange 管理员已定义通讯簿策略。
- 通讯簿策略的范围不包括通讯组的所有成员。
注意
此行为是设计使然。
解决方法 - 方法 1
使用“联系人”功能。 为此,请按照下列步骤操作:
- 使用 Outlook 打开来自不在通讯簿中的发件人的数字签名邮件。
- 在“ 发件人: ”行中,右键单击发件人的姓名,然后选择“ 添加到 Outlook 联系人”。
- 在“联系人”窗口中,选择“显示”组中的“证书”。
- 验证联系人的公钥证书。
- 选择 “保存 & 关闭”。
- 使用“联系人”功能将用户添加到包含通讯组的电子邮件收件人列表中。 为此,请按照下列步骤操作:
- 在 Outlook 中,依次选择“新建”、“邮件”、“发送到”。
- 在“ 通讯簿”下,选择“ 联系人”。
- 双击要添加的用户。
解决方法 - 方法 2
当成员跨越多个通讯簿策略时,不要创建包含成员的通讯组列表。
更多信息
在 Exchange Server 2010 SP2 中,管理员可以实现称为通讯簿策略的新功能。 此功能允许管理员使用策略来定义邮箱用户可以查看的 Exchange 对象。 然后,当邮箱用户执行通讯簿查询时,客户端访问服务器上的通讯簿服务会评估此策略。 如果查询中请求的对象与为策略定义的范围不匹配,则邮箱用户无法看到该对象。
对于通讯组 (DG) ,如果通讯簿策略的范围确实包括该组的所有成员,邮箱用户可能无法看到该组的整个成员身份。 Exchange Server 2010 SP2 中的通讯簿服务实现命名服务提供程序接口 (NSPI) 隔离。 当邮件客户端尝试执行 DL 扩展并查找通讯组列表的所有成员的公共证书时,邮件客户端无法看到与其策略范围不匹配的用户。 因此,邮件客户端不会尝试为它看不到的用户查找证书。
发送消息后,中心传输不受通讯簿策略的约束。 因此,在执行通讯组列表扩展时,传输可以将消息发送到通讯组列表的实际成员身份。
当您发送到包含你看不到的成员的通讯组列表时,Outlook 和 Outlook Web App无法在 Active Directory 域服务 中找到收件人的证书信息。 因此,证书信息不用于对密码箱进行编码,并且收件人找不到用于解密邮件的证书和私钥。
使用“解决方法”部分中列出的任一方法加密电子邮件时,收件人可以确定如何查找用于解密邮件的证书和私钥。
References
有关通讯簿策略的详细信息,请参阅 了解通讯簿策略。