Applies ToExchange Server 2013 Enterprise Edition Exchange Server 2013 Standard Edition Exchange Server 2016 Standard Edition Exchange Server 2016 Enterprise Edition Exchange Server 2019

Jelenségek

Vegyük a következő esetet:

  • A Exchange Server környezetben egy Outlook Web App vagy Exchange a Vezérlőpult (ECP) webhelye úgy van konfigurálva, hogy űrlapalapú hitelesítést használjon.

  • Egy felhasználó érvényes postaláda-felhasználónevet és -jelszót ad meg.

Amikor a felhasználó ilyen esetben Outlook Web App az FBA-lapra, a rendszer átirányítja az FBA lapra. Nem jelenik meg hibaüzenet. Ezenkívül a HttpProxy\Owa naplóban az "/owa" bejegyzései azt mutatják, hogy a "CorrelationID=<üres>; A sikertelen kérések esetén a NoCookies=302" érték lett visszaadva. A napló korábbi, "/owa/auth.owa" bejegyzései jelzik, hogy a felhasználó hitelesítése sikerült.

A probléma oka

Ez a probléma akkor fordulhat elő, ha Storage a webhelyet egy olyan tanúsítvány biztosítja, amely egy kulcsszolgáltatót (KSP) használ a titkosítási következő generációs titkosításon keresztüli titkos kulcstároláshoz. Exchange Server nem támogatja a CNG-/KSP-tanúsítványokat a biztonságossá Outlook Web App vagy az ECP-hez. Titkosított szolgáltatót kell helyette használni. Meghatározhatja, hogy a személyes kulcsot az érintett webhelyet tároló kiszolgáló tárolja-e a kulcskiszolgálón. Ezt akkor is ellenőrizheti, ha rendelkezik a titkos kulcsot tartalmazó tanúsítványfájllal (pfx, p12).

A CertUtil használata a személyes kulcs tárterületének meghatározásához

Ha a tanúsítvány már telepítve van a kiszolgálón, futtassa az alábbi parancsot:

certutil -store my <CertificateSerialNumber>Ha a tanúsítvány egy pfx/p12 fájlban található, futtassa az alábbi parancsot:  

certutil <CertificateFileName>Mindkét esetben a szóban forgó tanúsítvány kimenete a következőt jeleníti meg:  

Provider = Microsoft Storage Key Provider

Megoldás

A probléma megoldásához mi migálhatja a tanúsítványt egy hitelesítésszolgáltatóhoz, vagy tanúsítványszolgáltatótól kérhet tanúsítványt.Megjegyzés: Ha egy másik szoftver vagy hardvergyártótól származó csp-t vagy KSP-t használ, a megfelelő útmutatásért lépjen kapcsolatba a megfelelő szállítóval. Ezt akkor érdemes például megtennie, ha Microsoft RSA SChannel Cryptographic Provider szolgáltatót használ, és a tanúsítvány nincs zárolva egy KSP-be.

  1. Biztonsági gombot a meglévő tanúsítványról, a titkos kulccsal együtt. Erről további információt az Export-ExchangeCertificate (Exportálás-ExchangeCertificate) oldalon található.

  2. A Get-ExchangeCertificate futtatásával határozza meg, hogy mely szolgáltatások vannak jelenleg a tanúsítványhoz kötve.

  3. Importálja az új tanúsítványt egy hitelesítésszolgáltatóba az alábbi parancs futtatásával: certutil -csp "Microsoft RSA SChannel Cryptographic Provider" -importpfx <CertificateFilename>

  4. Futtassa Get-ExchangeCertificate, hogy a tanúsítvány továbbra is ugyanathoz a szolgáltatáshoz legyen kötve.

  5. Indítsa újra a kiszolgálót.

  6. Az alábbi parancsot futtatva ellenőrizze, hogy a tanúsítvány rendelkezik-e a hitelesítésszolgáltató által tárolt titkos kulccsal: certutil -store my <CertificateSerialNumber>

A kimenetnek most az alábbiakat kell mutatnia:  

Provider = Microsoft RSA SChannel Cryptographic Provider

Facebook LinkedIn E-mail
FELIRATKOZÁS RSS-HÍRCSATORNÁKRA

További segítségre van szüksége?

További lehetőségeket szeretne?

Fedezze fel az előfizetés előnyeit, böngésszen az oktatóanyagok között, ismerje meg, hogyan teheti biztonságossá eszközét, és így tovább.

A Microsoft 365-előfizetés előnyei

Microsoft 365-képzés

Microsoft Biztonság

Akadálymentességi központ