Käytetään kohteeseen
Exchange Server 2013 Enterprise Edition Exchange Server 2013 Standard Edition Exchange Server 2016 Standard Edition Exchange Server 2016 Enterprise Edition Exchange Server 2019

Oireet

Oletetaan seuraava tilanne:

  • Exchange Server ympäristössä Outlook Web App- tai Exchange Ohjauspaneeli (ECP) -sivusto on määritetty käyttämään lomakkeisiin perustuvaa todentamista (FBA).

  • Käyttäjä antaa kelvollisen postilaatikon käyttäjänimen ja salasanan.

Kun käyttäjä kirjautuu tässä skenaariossa Outlook Web App tai ECP:hen, hänet ohjataan FBA-sivulle. Virhesanomaa ei ole. Lisäksi httpProxy\Owa-lokissa "/owa" -merkinnät osoittavat, että "KorrelaatioTUNNUS=<tyhjä>; NoCookies=302" palautettiin epäonnistuneista pyynnöistä. Aiemmin lokissa merkinnät "/owa/auth.owa" osoittavat, että käyttäjä on todennettu onnistuneesti.

Syy

Tämä ongelma voi ilmetä, jos sivusto on suojattu varmenteella, joka käyttää avaintallennuspalvelua (KSP) yksityisen avaimen tallennustilaan CNG(Cryptography Next Generation) -salauksen kautta. Exchange Server ei tue CNG/KSP-varmenteita Outlook Web App tai ECP:n suojaamiseksi. Salauspalvelun tarjoajaa (CSP) on käytettävä sen sijaan. Voit määrittää, tallennetaanko yksityinen avain KSP:hen palvelimesta, joka isännöi kyseistä sivustoa. Voit tarkistaa tämän myös, jos sinulla on varmennetiedosto, joka sisältää yksityisen avaimen (pfx, p12).

Yksityisen avaimen tallennustilan määrittäminen CertUtilin avulla

Jos varmenne on jo asennettu palvelimeen, suorita seuraava komento:

certutil -store my <CertificateSerialNumber>Jos varmenne on tallennettu pfx/p12-tiedostoon, suorita seuraava komento:  

certutil <CertificateFileName>Kummassakin tapauksessa kyseisen varmenteen tulos näyttää seuraavat tiedot:  

Provider = Microsoft Storage Key Provider

Ratkaisu

Voit ratkaista tämän ongelman siirtämalla varmenteen CSP:hen tai pyytämällä CSP-varmennetta varmenteen toimittajalta.Huomautus Jos käytät toisen ohjelmiston tai laitteiston toimittajan pilvipalveluntarjoajaa tai KSP:tä, pyydä tarvittavat ohjeet asianomaiselta toimittajalta. Tämä kannattaa tehdä esimerkiksi, jos käytät Microsoft RSA SChannel -salauspalvelua ja jos varmennetta ei ole lukittu KSP:hen.

  1. Varmuuskopioi aiemmin luotu varmenne, mukaan lukien yksityinen avain. Lisätietoja tästä on artikkelissa Export-ExchangeCertificate.

  2. Suorita Get-ExchangeCertificate-komento määrittääksesi, mitkä palvelut on tällä hetkellä sidottu varmenteeseen.

  3. Tuo uusi varmenne pilvipalveluntarjoajaan suorittamalla seuraava komento: certutil -csp "Microsoft RSA SChannel Cryptographic Provider" -importpfx <CertificateFilename>

  4. Suorita Get-ExchangeCertificate varmistaaksesi, että varmenne on edelleen sidottu samoihin palveluihin.

  5. Käynnistä palvelin uudelleen.

  6. Suorita seuraava komento varmistaaksesi, että varmenteen yksityinen avain on nyt tallennettu CSP:hen: certutil -store my <CertificateSerialNumber>

Tulosteen pitäisi nyt näkyä seuraavasti:  

Provider = Microsoft RSA SChannel Cryptographic Provider

Facebook LinkedIn Sähköposti
TILAA RSS-SYÖTTEET

Tarvitsetko lisäohjeita?

Haluatko lisää vaihtoehtoja?

Tutustu tilausetuihin, selaa harjoituskursseja, opi suojaamaan laitteesi ja paljon muuta.

Microsoft 365 -tilaukseen kuuluvat edut

Microsoft 365 -koulutus

Microsoftin suojaus

Helppokäyttökeskus