Outlook Web App ed ECP reindirizzare alla pagina FBA in Exchange Server 2013

Sintomi

Si consideri lo scenario seguente:
  • In un ambiente Exchange Server 2013, un sito Web Outlook Web App o pannello di controllo di Exchange (ECP) è configurato per utilizzare l'autenticazione basata su form (FBA).
  • Un utente immette un nome utente della cassetta postale valido e una password.
Quando l'utente accede a Outlook Web App o ECP in questo scenario, egli viene reindirizzato alla pagina di FBA. Non vi è alcun messaggio di errore.

Inoltre, nel Registro di HttpProxy\Owa, voci per "/ owa" indicano che "CorrelationID = < vuoto >; NoCookies = 302" è stato restituito per le richieste non riuscite. Precedenti nel registro, movimenti per "/ owa/auth.owa" indicano che l'utente è stato autenticato correttamente.

Causa

Questo problema può verificarsi se il sito Web è protetto da un certificato che utilizza un Provider di chiave di archiviazione chiavi (KSP) per l'archiviazione delle chiavi private tramite Cryptography Next Generation (CNG).

Exchange Server non supporta i certificati CNG/KSP per la protezione di Outlook Web App o ECP. Un Provider di servizio di crittografia (CSP) devono essere utilizzate. È possibile determinare se la chiave privata viene archiviata nel KSP dal server che ospita il sito Web interessato. È inoltre possibile verificare questo se si dispone del file di certificato che contiene la chiave privata (pfx, p12).

Utilizzare CertUtil per determinare l'archiviazione delle chiavi private

Se il certificato è già installato sul server, eseguire il comando seguente:
certutil-archivio my <Numerodiseriecertificato>
Se il certificato è memorizzato in un file pfx/p12, eseguire il comando seguente:

certutil <CertificateFileName>
In entrambi i casi, l'output per il certificato in questione viene visualizzato quanto segue:

Provider = Provider di archiviazione Microsoft chiave

Risoluzione

Per risolvere questo problema, il certificato di migrare a un CSP o richiedere un certificato CSP dal provider di certificati.

Nota: Se si utilizza un CSP o KSP da un altro fornitore di software o hardware, contattare il fornitore desiderato per le istruzioni appropriate. Ad esempio, eseguire questa operazione se si utilizza un Microsoft RSA SChannel Cryptographic Provider e il certificato non è bloccato in un KSP.
  1. Il backup del certificato esistente, tra cui la chiave privata. Per ulteriori informazioni su come effettuare questa operazione, vedere Esportazione-ExchangeCertificate.
  2. Eseguire il comando Get-ExchangeCertificate per determinare quali servizi sono attualmente associati al certificato.
  3. Importare il nuovo certificato in un CSP eseguendo il comando seguente:

    certutil - csp "Microsoft RSA SChannel Cryptographic Provider" - importpfx < CertificateFilename >
  4. Eseguire Get-ExchangeCertificate per assicurarsi che il certificato è ancora associato agli stessi servizi.
  5. Riavviare il server.
  6. Eseguire il comando seguente per verificare che il certificato include ora la relativa chiave privata memorizzata con un CSP:

    certutil-archivio personale <numerodiseriecertificato>
Ora dovrebbe essere visualizzato il seguente output:

Provider = Microsoft RSA SChannel Cryptographic Provider
Proprietà

ID articolo: 3032024 - Ultima revisione: 30 gen 2017 - Revisione: 1

Feedback