Käytetään kohteeseen
Exchange Server 2013 Enterprise Edition Exchange Server 2013 Standard Edition Exchange Server 2016 Standard Edition Exchange Server 2016 Enterprise Edition Exchange Server 2019

Ongelman oireet

Oletetaan seuraava tilanne:

  • Exchange Server ympäristössä Outlook Web App Exchange (ECP) -sivusto on määritetty käyttämään lomaketodennukseen (FBA).

  • Käyttäjä kirjoittaa kelvollisen postilaatikon käyttäjänimen ja salasanan.

Kun käyttäjä kirjautuu sisään Outlook Web App tai ECP:lle tässä skenaariossa, hänet ohjataan FBA-sivulle. Virheilmoitusta ei ole. Lisäksi httpProxy\Owa-lokin "/owa"-merkinnät näyttävät, että "Korrelaatiotunnus=<tyhjä>; NoCookies=302" palautettiin epäonnistunneita pyyntöjä varten. Aiemmin lokissa merkinnät "/owa/auth.owa" osoittavat, että käyttäjän todennus onnistui.

Syy

Tämä ongelma voi ilmetä, jos sivusto on suojattu varmenteella, jossa on käytössä SNG:n (Key Tallennus Provider, KSP) -avainta käyttävä varmenne yksityisen avaimen tallennukseen CNG:n (Cryptography Next Generation) kautta. Exchange Server ei tue CNG/KSP-varmenteita varmenteiden suojaamiseen Outlook Web App ECP:ssä. Salattua palveluntarjoajaa (CSP) on käytettävä sen sijaan. Voit selvittää, onko yksityinen avain tallennettu ksp-kansioon palvelimesta, joka isännöi sivustoa. Voit tarkistaa tämän myös, jos varmennetiedostosi sisältää yksityisen avaimen (pfx, p12).

CertUtil-avaimen käyttö yksityisen tallennustilan määrittämiseen

Jos varmenne on jo asennettu palvelimeen, suorita seuraava komento:

certutil -store my <CertificateSerialNumber>Jos varmenne on tallennettu pfx/p12-tiedostoon, suorita seuraava komento:  

certutil <CertificateFileName>Kummassakin tapauksessa kyseessä olevan varmenteen tuloste näyttää seuraavat tiedot:  

Palveluntarjoaja = Microsoft Tallennus -avainpalvelun tarjoaja

Ratkaisu

Voit ratkaista ongelman siirtämällä varmenteen toimittajaan tai pyytämällä varmenteen toimittajalta varmennetta.Huomautus Jos käytät toisen ohjelmiston tai laitteistovalmistajan CSP- tai KSP-ohjelmaa, pyydä tarvittavat ohjeet palveluntarjoajalta. Toimi näin esimerkiksi, jos käytät Microsoft RSA SChannel Cryptographic Provider -palvelua ja varmennetta ei ole lukittu KSP:ksi.

  1. Varmuuskopioi olemassa oleva varmenne, myös yksityinen avain. Lisätietoja on kohdassa Export-ExchangeCertificate.

  2. Suorita Get-ExchangeCertificate-komento sen määrittämiseksi, mitkä palvelut on tällä hetkellä sidottu varmenteeseen.

  3. Tuo uusi varmenne varmenteen käyttäjäksi suorittamalla seuraava komento: certutil -csp "Microsoft RSA SChannel Cryptographic Provider" -importpfx <CertificateFilename>

  4. Suorita Get-ExchangeCertificate ja varmista, että varmenne on edelleen sidottu samoihin palveluihin.

  5. Käynnistä palvelin uudelleen.

  6. Suorita seuraava komento ja varmista, että varmenteen yksityinen avain on nyt tallennettu varmenteen tarjoajalle: certutil -store my <CertificateSerialNumber->

Tuloste näyttää nyt seuraavat tiedot:  

Provider = Microsoft RSA SChannel Cryptographic Provider

Facebook LinkedIn Sähköposti
TILAA RSS-SYÖTTEET

Tarvitsetko lisäohjeita?

Haluatko lisää vaihtoehtoja?

Tutustu tilausetuihin, selaa harjoituskursseja, opi suojaamaan laitteesi ja paljon muuta.

Microsoft 365 -tilaukseen kuuluvat edut

Microsoft 365 -koulutus

Microsoftin suojaus

Helppokäyttökeskus