現象
次のような状況で問題が発生します。
-
この環境Exchange Server、Outlook Web Appまたは Exchange コントロール パネル (ECP) Web サイトは、フォーム ベースの認証 (FBA) を使用するように構成されています。
-
ユーザーが有効なメールボックスのユーザー名とパスワードを入力します。
このシナリオでユーザーが Outlook Web Appまたは ECP にログオンすると、そのユーザーは FBA ページにリダイレクトされます。 エラー メッセージはありません。
さらに、HttpProxy\Owa ログの "/owa" のエントリには、"CorrelationID= が空の値<示>。失敗した要求に対して NoCookies=302" が返されました。 ログの前に、"/owa/auth.owa" のエントリは、ユーザーが正常に認証されたことを示します。
原因
この問題は、Web サイトが、暗号化次世代 (CNG) を通じてそのプライベート キー ストレージにキー Storage プロバイダー (KSP) を使用する証明書によって保護されている場合に発生する可能性があります。
Exchange Serverまたは ECP をセキュリティ保護するための CNG/KSP 証明書Outlook Web Appサポートされていません。 代わりに、暗号化サービス プロバイダー (CSP) を使用する必要があります。 影響を受ける Web サイトをホストするサーバーから、KSP にプライベート キーが格納されているかどうかを確認できます。 また、プライベート キー (pfx、p12) を含む証明書ファイルがある場合は、これを確認できます。
CertUtil を使用してプライベート キーストレージを特定する方法
証明書がサーバーに既にインストールされている場合は、次のコマンドを実行します。
certutil -store my <CertificateSerialNumber>証明書が pfx/p12 ファイルに格納されている場合は、次のコマンドを実行します。
certutil <CertificateFileName>どちらの場合も、問題の証明書の出力には次が表示されます。
Provider = Microsoft Storage Key Provider
解決方法
この問題を解決するには、証明書を CSP に移行するか、証明書プロバイダーに CSP 証明書を要求します。
注: 別のソフトウェアまたはハードウェア ベンダーの CSP または KSP を使用している場合は、適切な手順については、該当するベンダーにお問い合わせください。 たとえば、Microsoft RSA SChannel 暗号化プロバイダーを使用し、証明書が KSP にロックされていない場合は、これを行う必要があります。
-
プライベート キーを含む既存の証明書をバックアップします。 これを行う方法の詳細については 、「Export-ExchangeCertificate」を参照してください。
-
Get-ExchangeCertificate コマンドを実行して、証明書に現在バインドされているサービスを特定します。
-
次のコマンドを実行して、新しい証明書を CSP にインポートします。
certutil -csp "Microsoft RSA SChannel 暗号化プロバイダー" -importpfx <CertificateFilename> -
証明書Get-ExchangeCertificate同じサービスにバインドされている必要があります。
-
サーバーを再起動します。
-
次のコマンドを実行して、証明書のプライベート キーが CSP と一緒に格納されている状態を確認します。
certutil -store my <CertificateSerialNumber>
出力には次の情報が表示されます。
Provider = Microsoft RSA SChannel 暗号化プロバイダー
