Si applica a
Exchange Server 2013 Enterprise Edition Exchange Server 2013 Standard Edition Exchange Server 2016 Standard Edition Exchange Server 2016 Enterprise Edition Exchange Server 2019

Sintomi

Considerare lo scenario descritto di seguito:

  • In un ambiente Exchange Server, un sito Web di Outlook Web App o Exchange Pannello di controllo (ECP) è configurato per l'uso dell'autenticazione basata su moduli.

  • Un utente immette un nome utente e una password validi per la cassetta postale.

Quando l'utente accede a Outlook Web App o ECP in questo scenario, viene reindirizzato alla pagina FBA. Nessun messaggio di errore. Inoltre, nel log HttpProxy\Owa, le voci per "/owa" mostrano che "CorrelationID=<vuoto>; NoCookies=302" è stato restituito per le richieste non riuscite. Nelle versioni precedenti del log, le voci di "/owa/auth.owa" indicano che l'utente è stato autenticato correttamente.

Causa

Questo problema può verificarsi se il sito Web è protetto da un certificato che usa un provider di archiviazione chiave (KSP) per l'archiviazione delle chiavi private tramite crittografia di nuova generazione (CNG). Exchange Server non supporta i certificati CNG/KSP per la protezione di Outlook Web App o ECP. In alternativa, è necessario usare un CSP (Cryptographic Service Provider). È possibile determinare se la chiave privata è archiviata nel KSP dal server che ospita il sito Web interessato. È anche possibile verificare questo se si dispone del file di certificato che contiene la chiave privata (pfx, p12).

Come usare CertUtil per determinare l'archiviazione della chiave privata

Se il certificato è già installato nel server, eseguire il comando seguente:

certutil -store my <CertificateSerialNumber>Se il certificato è archiviato in un file pfx/p12, eseguire il comando seguente:  

certutil <CertificateFileName>In entrambi i casi, l'output per il certificato in questione è il seguente:  

Provider = Provider chiave di archiviazione Microsoft

Risoluzione

Per risolvere questo problema, eseguire la migrazione del certificato a un CSP o richiedere un certificato CSP al provider di certificati.Nota Se si utilizza un CSP o un KSP di un altro fornitore di software o hardware, contattare il fornitore pertinente per le istruzioni appropriate. Ad esempio, è necessario eseguire questa operazione se si usa un provider di crittografia SChannel Di Microsoft RSA e se il certificato non è bloccato in un KSP.

  1. Eseguire il backup del certificato esistente, inclusa la chiave privata. Per altre informazioni su come eseguire questa operazione, vedere Export-ExchangeCertificate.

  2. Eseguire il comando Get-ExchangeCertificate per determinare quali servizi sono attualmente associati al certificato.

  3. Importare il nuovo certificato in un CSP eseguendo il comando seguente: certutil -csp "Provider di crittografia Microsoft RSA SChannel" -importpfx <CertificateFilename>

  4. Eseguire Get-ExchangeCertificate per assicurarsi che il certificato sia ancora associato agli stessi servizi.

  5. Riavviare il server.

  6. Eseguire il comando seguente per verificare che il certificato abbia ora la chiave privata archiviata con un CSP: certutil -store my <CertificateSerialNumber>

L'output dovrebbe ora mostrare quanto segue:  

Provider = Provider di crittografia SChannel Microsoft RSA

Serve aiuto?

Vuoi altre opzioni?

Esplorare i vantaggi dell'abbonamento e i corsi di formazione, scoprire come proteggere il dispositivo e molto altro ancora.