תופעות
שקול את התרחיש הבא:
-
בסביבה Exchange Server, אתר אינטרנט Outlook Web App או Exchange לוח הבקרה (ECP) מוגדר לשימוש באימות מבוסס טפסים (FBA).
-
משתמש מזנ שם משתמש וסיסמה חוקיים של תיבת דואר.
כאשר המשתמש נכנס ל- Outlook Web App או ל- ECP בתרחיש זה, הוא מנותב מחדש לדף FBA. אין הודעת שגיאה.
בנוסף, ביומן HttpProxy\Owa, הערכים עבור "/owa" מציגים כי "CorrelationID=<ריק>; NoCookies=302" הוחזר עבור הבקשות שנכשלו. מוקדם יותר ביומן הרישום, הערכים עבור "/owa/auth.owa" מציינים שהמשתמש אומת בהצלחה.
סיבה
בעיה זו עלולה להתרחש אם אתר האינטרנט מאובטח על-ידי אישור המשתמש בספק אחסון מפתחות (KSP) עבור אחסון המפתח הפרטי שלו באמצעות Cryptography Next Generation (CNG).
Exchange Server אינו תומך באישורים של CNG/KSP לאבטחת Outlook Web App או ECP. במקום זאת, יש להשתמש בספק שירותי הצפנה (CSP). באפשרותך לקבוע אם המפתח הפרטי מאוחסן ב- KSP מהשרת המארח את אתר האינטרנט המושפע. באפשרותך גם לאמת זאת אם יש לך את קובץ האישור המכיל את המפתח הפרטי (pfx, p12).
כיצד להשתמש ב- CertUtil כדי לקבוע אחסון מפתחות פרטי
אם האישור כבר מותקן בשרת, הפעל את הפקודה הבאה:
certutil -store my <CertificateSerialNumber>אם האישור מאוחסן בקובץ pfx/p12, הפעל את הפקודה הבאה:
certutil <CertificateFileName>, בכל מקרה, הפלט עבור האישור הנוהט מציג את הפעולות הבאות:
ספק = ספק מפתחות אחסון של Microsoft
פתרון
כדי לפתור בעיה זו, העבר את האישור ל- CSP או בקש אישור CSP מספק האישורים שלך.
הערה אם אתה משתמש בספק CSP או KSP מספק תוכנה או חומרה אחר, פנה לספק הרלוונטי לקבלת ההוראות המתאימות. לדוגמה, עליך לעשות זאת אם אתה משתמש בספק הצפנה של Microsoft RSA SChannel ואם האישור אינו נעול ב- KSP.
-
גבה את האישור הקיים, כולל המפתח הפרטי. לקבלת מידע נוסף אודות אופן פעולה זו, ראה ייצוא-ExchangeCertificate.
-
הפעל את Get-ExchangeCertificate כדי לקבוע אילו שירותים מאוגדים כעת לאישור.
-
יבא את האישור החדש ל- CSP על-ידי הפעלת הפקודה הבאה:
certutil -csp "Microsoft RSA SChannel Cryptographic Provider" -importpfx <CertificateFilename> -
הפעל Get-ExchangeCertificate כדי לוודא שהאישור עדיין מאוגד לאותם שירותים.
-
הפעל מחדש את השרת.
-
הפעל את הפקודה הבאה כדי לוודא שהאישור מכיל כעת את המפתח הפרטי שלו המאוחסן באמצעות CSP:
certutil -store my <CertificateSerialNumber>
הפלט אמור להציג כעת את הפעולות הבאות:
Provider = ספק הצפנה של Microsoft RSA SChannel