Jelenségek
Vegye figyelembe a következő forgatókönyvet:
-
Egy Exchange Server környezetben egy Outlook Web App vagy Exchange Vezérlőpult (ECP) webhely űrlapalapú hitelesítés (FBA) használatára van konfigurálva.
-
A felhasználó érvényes postaláda-felhasználónevet és jelszót ad meg.
Amikor a felhasználó ebben a forgatókönyvben bejelentkezik Outlook Web App vagy ECP-be, a rendszer átirányítja az FBA lapra. Nincs hibaüzenet. Emellett a HttpProxy\Owa naplóban a "/owa" bejegyzései azt mutatják, hogy a "CorrelationID=<üres>; NoCookies=302" értéket adott vissza a sikertelen kérésekhez. A napló korábbi szakaszában a "/owa/auth.owa" bejegyzései azt jelzik, hogy a felhasználó hitelesítése sikeresen megtörtént.
A probléma oka
Ez a probléma akkor fordulhat elő, ha a webhelyet egy olyan tanúsítvány védi, amely kulcstároló-szolgáltatót (KSP) használ a titkos kulcs tárolásához a titkosítás következő generációja (CNG) használatával. Exchange Server nem támogatja a CNG-/KSP-tanúsítványokat a Outlook Web App vagy az ECP biztonságossá tételéhez. Ehelyett titkosítási szolgáltatót (CSP- t) kell használni. Meghatározhatja, hogy a titkos kulcs a KSP-ben legyen-e tárolva az érintett webhelyet üzemeltető kiszolgálóról. Ezt akkor is ellenőrizheti, ha rendelkezik a titkos kulcsot tartalmazó tanúsítványfájllal (pfx, p12).
A CertUtil használata a titkos kulcsok tárolásának meghatározásához
Ha a tanúsítvány már telepítve van a kiszolgálón, futtassa a következő parancsot:
certutil –store my <CertificateSerialNumber>Ha a tanúsítvány pfx/p12 fájlban van tárolva, futtassa a következő parancsot:
certutil <CertificateFileName>A szóban forgó tanúsítvány kimenete mindkét esetben a következőket jeleníti meg:
Provider = Microsoft Storage Key Provider
Megoldás
A probléma megoldásához migrálja a tanúsítványt egy CSP-be, vagy kérjen CSP-tanúsítványt a tanúsítványszolgáltatótól.Megjegyzés Ha egy másik szoftver- vagy hardvergyártótól származó CSP-t vagy KSP-t használ, a megfelelő utasításokért forduljon a megfelelő szállítóhoz. Ezt például akkor kell megtennie, ha Microsoft RSA SChannel titkosítási szolgáltatót használ, és ha a tanúsítvány nincs zárolva egy KSP-be.
-
Biztonsági másolatot készít a meglévő tanúsítványról, beleértve a titkos kulcsot is. Ennek módjáról további információt az Export-ExchangeCertificate című témakörben talál.
-
Futtassa a Get-ExchangeCertificate parancsot annak megállapításához, hogy mely szolgáltatások vannak jelenleg a tanúsítványhoz kötve.
-
Importálja az új tanúsítványt egy CSP-be a következő parancs futtatásával: certutil -csp "Microsoft RSA SChannel Cryptographic Provider" -importpfx <CertificateFilename>
-
A Get-ExchangeCertificate futtatásával győződjön meg arról, hogy a tanúsítvány továbbra is ugyanahhoz a szolgáltatáshoz van kötve.
-
Indítsa újra a kiszolgálót.
-
Futtassa a következő parancsot annak ellenőrzéséhez, hogy a tanúsítvány titkos kulcsa egy CSP-ben van-e tárolva: certutil – a <CertificateSerialNumber> tárolása
A kimenetnek most a következőnek kell megjelennie:
Provider = Microsoft RSA SChannel titkosítási szolgáltató