חל על
Exchange Server 2013 Enterprise Edition Exchange Server 2013 Standard Edition Exchange Server 2016 Standard Edition Exchange Server 2016 Enterprise Edition Exchange Server 2019

תופעות

שקול את התרחיש הבא:

  • בסביבה של Exchange Server, אתר אינטרנט של Outlook Web App או Exchange לוח הבקרה (ECP) מוגדר לשימוש באימות מבוסס טפסים (FBA).

  • משתמש מזין שם משתמש וסיסמה חוקיים של תיבת דואר.

כאשר המשתמש נכנס ל- Outlook Web App או ל- ECP בתרחיש זה, הוא מנותב מחדש לדף FBA. אין הודעת שגיאה. בנוסף, ביומן HttpProxy\Owa, הערכים עבור "/owa" מציגים כי "CorrelationID=<ריק>; NoCookies=302" הוחזר עבור הבקשות שנכשלו. מוקדם יותר ביומן הרישום, הערכים עבור "/owa/auth.owa" מציינים שהמשתמש אומת בהצלחה.

סיבה

בעיה זו עלולה להתרחש אם אתר האינטרנט מאובטח על-ידי אישור המשתמש ב- Key Storage Provider (KSP) עבור אחסון המפתח הפרטי שלו באמצעות Cryptography Next Generation (CNG). Exchange Server אינו תומך באישורים של CNG/KSP לאבטחת Outlook Web App או ECP. ספק שירותי הצפנה (CSP) חייב לשמש במקום זאת. באפשרותך לקבוע אם המפתח הפרטי מאוחסן ב- KSP מהשרת המארח את אתר האינטרנט המושפע. באפשרותך גם לאמת זאת אם יש לך את קובץ האישור המכיל את המפתח הפרטי (pfx, p12).

כיצד להשתמש ב- CertUtil כדי לקבוע אחסון מפתח פרטי

אם האישור כבר מותקן בשרת, הפעל את הפקודה הבאה:

certutil -store my <CertificateSerialNumber>אם האישור מאוחסן בקובץ pfx/p12, הפעל את הפקודה הבאה:  

certutil <CertificateFileName>בכל מקרה, הפלט עבור האישור המדובר מציג את האפשרויות הבאות:  

ספק = ספק מפתח אחסון של Microsoft

פתרון

כדי לפתור בעיה זו, העבר את האישור ל- CSP או בקש אישור CSP מספק האישורים שלך.הערה אם אתה משתמש ב- CSP או ב- KSP של ספק תוכנה או חומרה אחר, פנה לספק הרלוונטי לקבלת ההוראות המתאימות. לדוגמה, עליך לעשות זאת אם אתה משתמש ב- Microsoft RSA SChannel Cryptographic Provider ואם האישור אינו נעול ב- KSP.

  1. גבה את האישור הקיים שלך, כולל המפתח הפרטי. לקבלת מידע נוסף אודות אופן ביצוע פעולה זו, ראה Export-ExchangeCertificate.

  2. הפעל את Get-ExchangeCertificate הבאה כדי לקבוע אילו שירותים מאוגדים כעת לאישור.

  3. יבא את האישור החדש ל- CSP על-ידי הפעלת הפקודה הבאה: certutil -csp "Microsoft RSA SChannel Cryptographic Provider" -importpfx <CertificateFilename>

  4. הפעל Get-ExchangeCertificate כדי לוודא שהאישור עדיין מאוגד לאותם שירותים.

  5. הפעל מחדש את השרת.

  6. הפעל את הפקודה הבאה כדי לוודא שהאישור כולל כעת את המפתח הפרטי שלו המאוחסן עם ספק פתרונות ענן: certutil -store my <CertificateSerialNumber>

הפלט אמור להציג כעת את הפריטים הבאים:  

Provider = ספק הצפנה של SChannel של Microsoft RSA

זקוק לעזרה נוספת?

מעוניין באפשרויות נוספות?

גלה את יתרונות המנוי, עיין בקורסי הדרכה, למד כיצד לאבטח את המכשיר שלך ועוד.