“Naam van het beveiligingscertificaat is ongeldig of komt niet overeen met naam van de site”

Vraag:

U opent Microsoft Office Outlook 2007 en maakt dan verbinding met een postvak op een postvakserver met Microsoft Exchange Server 2007 of Microsoft Exchange Server 2010. In dit scenario krijgt u de volgende beveiligingswaarschuwing:
De naam van het beveiligingscertificaat is ongeldig of komt niet overeen met de naam van de site.

Opmerking Dit scenario is alleen van toepassing op Outlook-clients die verbinding maken met Exchange binnen het lokale netwerk. Dit scenario is niet van toepassing op externe Outlook-clients die verbinding maken met Exchange met Outlook Anywhere.
Tags: microsoft, exchange, 2007, outlook, certificaat, beveiligingscertificaat

Antwoord:

Oorzaak:

Dit probleem kan optreden in de volgende gevallen:

  • U hebt het standaard zelf-ondertekende Exchange Server 2007- of Exchange Server 2010-certificaat vervangen door een ander certificaat.
    Opmerking: Het Setup-programma in Exchange Server 2007 of Exchange Server 2010 maakt een standaard zelf-ondertekend certificaat wanneer Exchange Server 2007 of Exchange Server 2010 is geïnstalleerd.
  • De algemene naam op het vervangingscertificaat komt niet overeen met de FQDN-naam (fully qualified domain name) van de URL die is opgeslagen in de volgende objecten:
    • Het SCP-object (Service Connection Point) voor de Autodiscover-service
    • Het kenmerk InternalUrl van Exchange 2007 Web Service (EWS)
    • Het kenmerk InternalUrl van de webservice offline adresboek
    • Het kenmerk InternalUrl van de Exchange-webservice UM (unified messaging)

De URL die is opgeslagen in deze objecten verwijst standaard naar de NetBIOS-naam van de server. Een URL die op de volgende URL lijkt, wordt bijvoorbeeld zo opgeslagen:
https://NetBIOS_name.contoso.com/autodiscover/autodiscover.xml
Dit kan verschillen van de hostnaam die wordt gebruik in de FQDN van het vervangingscertificaat. Het vervangingscerticaat heeft bijvoorbeeld mogelijk een FQDN die lijkt op de volgende FQDN:
mail.contoso.com
Hierdoor onstaat een fout waarin de namen niet overeenkomen. Daarom ontvangt u de beveiligingswaarschuwing wanneer u Outlook 2007 probeert te verbinden met het postvak.

Oplossing:
Wijzig de URL’s voor de geschikte Exchange 2007-onderdelen om dit probleem op te lossen. Volg hiertoe de volgende stappen:

  1. Open de Exchange Management Shell.
  2. Wijzig de URL van Autodiscover in het Service Connection Point. Het Service Connection Point wordt opgeslagen in Active Directory. Typ de volgende opdracht en druk op Enter om deze URL te wijzigen:
    Set-ClientAccessServer -Identity CAS_Server_Name -AutodiscoverServiceInternalUri https://mail.contoso.com/autodiscover/autodiscover.xml
  3. Wijzig het kenmerk InternalUrl van de EWS. Typ hiervoor de volgende opdracht en druk op Enter:
    Set-WebServicesVirtualDirectory -Identity “CAS_Server_Name\EWS (Default Web Site)” -InternalUrl https://mail.contoso.com/ews/exchange.asmx
  4. Wijzig het kenmerk InternalUrl voor de webdistributie van het offline adresboek. Typ hiervoor de volgende opdracht en druk op Enter:
    Set-OABVirtualDirectory -Identity “CAS_Server_name\oab (Default Web Site)” -InternalUrl https://mail.contoso.com/oab
  5. Wijzig het kenmerk InternalUrl van de webservice UM. Typ hiervoor de volgende opdracht en druk op Enter:
    Set-UMVirtualDirectory -Identity “CAS_Server_Name\unifiedmessaging (Default Web Site)” -InternalUrl https://mail.contoso.com/unifiedmessaging/service.asmx
    Opmerking Deze opdracht is alleen vereist in een Exchange 2007-omgeving. Deze opdracht bestaat niet meer in een Exchange 2010-omgeving. In plaats daarvan wordt de WebServices URL voor dit doel gebruikt.
  6. Open ISS-beheer.
  7. Vouw de lokale computer uit en vouw dan Groepen van toepassingen uit.
  8. Klik met de rechtermuisknop op MSExchangeAutodiscoverAppPool en klik op Recyclen.

Belangrijk In deze stappen wordt ervan uitgegaan dat in de DNS een hostrecord bestaat om de FQDN toe te wijzen die u specificeert voor het IP-adres van de CAS-server. Kijk eens naar het volgende scenario:

  • De originele interne URL’s voor de Exchange-onderdelen verwijzen naar de interne FQDN van de server. Een van deze URL’s verwijst bijvoorbeeld naar het volgende:
    https://ServerName.contoso.com/ews/exchange.asmx
  • De FQDN die is gespecificeerd op het certificaat verwijst naar de extern verkregen hostnaam van de server. Het certificaat specificeert bijvoorbeeld een FQDN zoals “mail.contoso.com.”

In dit scenario moet u een hostrecord voor de mailhostnaam toevoegen die is toegewezen aan het intern verkregen IP-adres van de CAS-server zodat interne clients toegang hebben tot de server.