Hatókör
Exchange Server 2013 Enterprise Edition Exchange Server 2013 Standard Edition Exchange Server 2016 Standard Edition Exchange Server 2016 Enterprise Edition Exchange Server 2019

Jelenségek

Vegye figyelembe a következő forgatókönyvet:

  • Egy Exchange Server környezetben egy Outlook Web App vagy Exchange Vezérlőpult (ECP) webhely űrlapalapú hitelesítés (FBA) használatára van konfigurálva.

  • A felhasználó érvényes postaláda-felhasználónevet és jelszót ad meg.

Amikor a felhasználó ebben a forgatókönyvben bejelentkezik Outlook Web App vagy ECP-be, a rendszer átirányítja az FBA lapra. Nincs hibaüzenet. Emellett a HttpProxy\Owa naplóban a "/owa" bejegyzései azt mutatják, hogy a "CorrelationID=<üres>; NoCookies=302" értéket adott vissza a sikertelen kérésekhez. A napló korábbi szakaszában a "/owa/auth.owa" bejegyzései azt jelzik, hogy a felhasználó hitelesítése sikeresen megtörtént.

A probléma oka

Ez a probléma akkor fordulhat elő, ha a webhelyet egy olyan tanúsítvány védi, amely kulcstároló-szolgáltatót (KSP) használ a titkos kulcs tárolásához a titkosítás következő generációja (CNG) használatával. Exchange Server nem támogatja a CNG-/KSP-tanúsítványokat a Outlook Web App vagy az ECP biztonságossá tételéhez. Ehelyett titkosítási szolgáltatót (CSP- t) kell használni. Meghatározhatja, hogy a titkos kulcs a KSP-ben legyen-e tárolva az érintett webhelyet üzemeltető kiszolgálóról. Ezt akkor is ellenőrizheti, ha rendelkezik a titkos kulcsot tartalmazó tanúsítványfájllal (pfx, p12).

A CertUtil használata a titkos kulcsok tárolásának meghatározásához

Ha a tanúsítvány már telepítve van a kiszolgálón, futtassa a következő parancsot:

certutil –store my <CertificateSerialNumber>Ha a tanúsítvány pfx/p12 fájlban van tárolva, futtassa a következő parancsot:  

certutil <CertificateFileName>A szóban forgó tanúsítvány kimenete mindkét esetben a következőket jeleníti meg:  

Provider = Microsoft Storage Key Provider

Megoldás

A probléma megoldásához migrálja a tanúsítványt egy CSP-be, vagy kérjen CSP-tanúsítványt a tanúsítványszolgáltatótól.Megjegyzés Ha egy másik szoftver- vagy hardvergyártótól származó CSP-t vagy KSP-t használ, a megfelelő utasításokért forduljon a megfelelő szállítóhoz. Ezt például akkor kell megtennie, ha Microsoft RSA SChannel titkosítási szolgáltatót használ, és ha a tanúsítvány nincs zárolva egy KSP-be.

  1. Biztonsági másolatot készít a meglévő tanúsítványról, beleértve a titkos kulcsot is. Ennek módjáról további információt az Export-ExchangeCertificate című témakörben talál.

  2. Futtassa a Get-ExchangeCertificate parancsot annak megállapításához, hogy mely szolgáltatások vannak jelenleg a tanúsítványhoz kötve.

  3. Importálja az új tanúsítványt egy CSP-be a következő parancs futtatásával: certutil -csp "Microsoft RSA SChannel Cryptographic Provider" -importpfx <CertificateFilename>

  4. A Get-ExchangeCertificate futtatásával győződjön meg arról, hogy a tanúsítvány továbbra is ugyanahhoz a szolgáltatáshoz van kötve.

  5. Indítsa újra a kiszolgálót.

  6. Futtassa a következő parancsot annak ellenőrzéséhez, hogy a tanúsítvány titkos kulcsa egy CSP-ben van-e tárolva: certutil – a <CertificateSerialNumber> tárolása

A kimenetnek most a következőnek kell megjelennie:  

Provider = Microsoft RSA SChannel titkosítási szolgáltató

További segítségre van szüksége?

További lehetőségeket szeretne?

Fedezze fel az előfizetés előnyeit, böngésszen az oktatóanyagok között, ismerje meg, hogyan teheti biztonságossá eszközét, és így tovább.