תופעות
שקול את התרחיש הבא:
-
בסביבה של Exchange Server, אתר אינטרנט של Outlook Web App או Exchange לוח הבקרה (ECP) מוגדר לשימוש באימות מבוסס טפסים (FBA).
-
משתמש מזין שם משתמש וסיסמה חוקיים של תיבת דואר.
כאשר המשתמש נכנס ל- Outlook Web App או ל- ECP בתרחיש זה, הוא מנותב מחדש לדף FBA. אין הודעת שגיאה. בנוסף, ביומן HttpProxy\Owa, הערכים עבור "/owa" מציגים כי "CorrelationID=<ריק>; NoCookies=302" הוחזר עבור הבקשות שנכשלו. מוקדם יותר ביומן הרישום, הערכים עבור "/owa/auth.owa" מציינים שהמשתמש אומת בהצלחה.
סיבה
בעיה זו עלולה להתרחש אם אתר האינטרנט מאובטח על-ידי אישור המשתמש ב- Key Storage Provider (KSP) עבור אחסון המפתח הפרטי שלו באמצעות Cryptography Next Generation (CNG). Exchange Server אינו תומך באישורים של CNG/KSP לאבטחת Outlook Web App או ECP. ספק שירותי הצפנה (CSP) חייב לשמש במקום זאת. באפשרותך לקבוע אם המפתח הפרטי מאוחסן ב- KSP מהשרת המארח את אתר האינטרנט המושפע. באפשרותך גם לאמת זאת אם יש לך את קובץ האישור המכיל את המפתח הפרטי (pfx, p12).
כיצד להשתמש ב- CertUtil כדי לקבוע אחסון מפתח פרטי
אם האישור כבר מותקן בשרת, הפעל את הפקודה הבאה:
certutil -store my <CertificateSerialNumber>אם האישור מאוחסן בקובץ pfx/p12, הפעל את הפקודה הבאה:
certutil <CertificateFileName>בכל מקרה, הפלט עבור האישור המדובר מציג את האפשרויות הבאות:
ספק = ספק מפתח אחסון של Microsoft
פתרון
כדי לפתור בעיה זו, העבר את האישור ל- CSP או בקש אישור CSP מספק האישורים שלך.הערה אם אתה משתמש ב- CSP או ב- KSP של ספק תוכנה או חומרה אחר, פנה לספק הרלוונטי לקבלת ההוראות המתאימות. לדוגמה, עליך לעשות זאת אם אתה משתמש ב- Microsoft RSA SChannel Cryptographic Provider ואם האישור אינו נעול ב- KSP.
-
גבה את האישור הקיים שלך, כולל המפתח הפרטי. לקבלת מידע נוסף אודות אופן ביצוע פעולה זו, ראה Export-ExchangeCertificate.
-
הפעל את Get-ExchangeCertificate הבאה כדי לקבוע אילו שירותים מאוגדים כעת לאישור.
-
יבא את האישור החדש ל- CSP על-ידי הפעלת הפקודה הבאה: certutil -csp "Microsoft RSA SChannel Cryptographic Provider" -importpfx <CertificateFilename>
-
הפעל Get-ExchangeCertificate כדי לוודא שהאישור עדיין מאוגד לאותם שירותים.
-
הפעל מחדש את השרת.
-
הפעל את הפקודה הבאה כדי לוודא שהאישור כולל כעת את המפתח הפרטי שלו המאוחסן עם ספק פתרונות ענן: certutil -store my <CertificateSerialNumber>
הפלט אמור להציג כעת את הפריטים הבאים:
Provider = ספק הצפנה של SChannel של Microsoft RSA