Συμπτώματα
Εξετάστε το ακόλουθο σενάριο:
-
Σε ένα περιβάλλον Exchange Server, μια τοποθεσία Web Outlook Web App ή Exchange Πίνακα Ελέγχου (ECP) ρυθμίζεται ώστε να χρησιμοποιεί έλεγχο ταυτότητας βάσει φορμών (FBA).
-
Ένας χρήστης πληκτρολογεί ένα έγκυρο όνομα χρήστη και κωδικό πρόσβασης γραμματοκιβωτίου.
Όταν ο χρήστης συνδέεται σε Outlook Web App ή ECP σε αυτό το σενάριο, ανακατευθύνεται στη σελίδα FBA. Δεν υπάρχει μήνυμα σφάλματος.
Επιπλέον, στο αρχείο καταγραφής HttpProxy\Owa, οι καταχωρήσεις για το "/owa" δείχνουν ότι το "CorrelationID=<κενό>, Το NoCookies=302" επιστράφηκε για τις αποτυχημένες αιτήσεις. Παλαιότερα στο αρχείο καταγραφής, οι καταχωρήσεις για το "/owa/auth.owa" υποδεικνύουν ότι ο έλεγχος ταυτότητας του χρήστη ολοκληρώθηκε με επιτυχία.
Αιτία
Αυτό το πρόβλημα ενδέχεται να προκύψει εάν η τοποθεσία Web είναι ασφαλής με ένα πιστοποιητικό που χρησιμοποιεί μια υπηρεσία παροχής κλειδιού Υπηρεσία αποθήκευσης (KSP) για τον ιδιωτικό χώρο αποθήκευσης κλειδιών μέσω Cryptography επόμενης γενιάς (CNG).
Exchange Server δεν υποστηρίζει πιστοποιητικά CNG/KSP για την ασφάλιση Outlook Web App ή ECP. Αντί για αυτό, πρέπει να χρησιμοποιηθεί μια υπηρεσία παροχής κρυπτογράφησης (CSP). Μπορείτε να προσδιορίσετε εάν το ιδιωτικό κλειδί αποθηκεύεται στον KSP από το διακομιστή που φιλοξενεί την τοποθεσία Web που επηρεάζεται. Μπορείτε επίσης να το επαληθεύσετε εάν έχετε το αρχείο πιστοποιητικού που περιέχει το ιδιωτικό κλειδί (pfx, p12).
Τρόπος χρήσης του CertUtil για τον προσδιορισμό του ιδιωτικού χώρου αποθήκευσης κλειδιών
Εάν το πιστοποιητικό είναι ήδη εγκατεστημένο στο διακομιστή, εκτελέστε την ακόλουθη εντολή:
>-store my <CertificateSerialNumber>Εάν το πιστοποιητικό είναι αποθηκευμένο σε αρχείο pfx/p12, εκτελέστε την ακόλουθη εντολή:
<CertificateFileName>Σε κάθε περίπτωση, το αποτέλεσμα για το εν λόγω πιστοποιητικό εμφανίζει τα εξής:
Υπηρεσία παροχής = Υπηρεσία παροχής κλειδιού του Microsoft Υπηρεσία αποθήκευσης
Επίλυση
Για να επιλύσετε αυτό το ζήτημα, μετεγκαταστήστε το πιστοποιητικό σε έναν CSP ή ζητήστε ένα πιστοποιητικό CSP από την υπηρεσία παροχής πιστοποιητικού.
Σημείωση Εάν χρησιμοποιείτε έναν CSP ή KSP από άλλο κατασκευαστή λογισμικού ή υλικού, επικοινωνήστε με τον σχετικό προμηθευτή για τις κατάλληλες οδηγίες. Για παράδειγμα, αυτό πρέπει να το κάνετε εάν χρησιμοποιείτε μια υπηρεσία παροχής Microsoft RSA SChannel Cryptographic Provider και εάν το πιστοποιητικό δεν είναι κλειδωμένο σε έναν KSP.
-
Δημιουργήστε αντίγραφα ασφαλείας για το υπάρχον πιστοποιητικό σας, συμπεριλαμβανομένου του ιδιωτικού κλειδιού. Για περισσότερες πληροφορίες σχετικά με το πώς να το κάνετε αυτό, ανατρέξτε στο θέμα Export-ExchangeCertificate.
-
Εκτελέστε την εντολή Get-ExchangeCertificate για να προσδιορίσετε ποιες υπηρεσίες είναι συνδεδεμένες τη συγκεκριμένη στιγμή με το πιστοποιητικό.
-
Εισαγάγετε το νέο πιστοποιητικό σε έναν CSP, εκτελώντας την ακόλουθη εντολή:
βολή -csp "Microsoft RSA SChannel Cryptographic Provider" -importpfx <CertificateFilename> -
Εκτελέστε Get-ExchangeCertificate για να βεβαιωθείτε ότι το πιστοποιητικό εξακολουθεί να είναι συνδεδεμένο με τις ίδιες υπηρεσίες.
-
Επανεκκινήστε το διακομιστή.
-
Εκτελέστε την ακόλουθη εντολή για να βεβαιωθείτε ότι το πιστοποιητικό έχει πλέον το ιδιωτικό κλειδί του αποθηκευμένο με έναν CSP:
<>
Τώρα, στο αποτέλεσμα θα πρέπει να εμφανίζονται τα εξής:
Provider = Microsoft RSA SChannel Cryptographic Provider
