적용 대상
Exchange Server 2013 Enterprise Edition Exchange Server 2013 Standard Edition Exchange Server 2016 Standard Edition Exchange Server 2016 Enterprise Edition Exchange Server 2019

증상

다음과 같은 경우를 생각해 볼 수 있습니다.

  • Exchange Server 환경에서는 FBA(양식 기반 인증)를 사용하도록 Outlook Web App 또는 ECP(Exchange 제어판) 웹 사이트가 구성됩니다.

  • 사용자가 유효한 사서함 사용자 이름 및 암호를 입력합니다.

이 시나리오에서 사용자가 Outlook Web App 또는 ECP에 로그온하면 FBA 페이지로 리디렉션됩니다. 오류 메시지가 없습니다. 또한 HttpProxy\Owa 로그에서 "/owa"에 대한 항목은 "CorrelationID=<빈> 표시합니다. 실패한 요청에 대해 NoCookies=302"가 반환되었습니다. 로그의 앞부분에서 "/owa/auth.owa"에 대한 항목은 사용자가 성공적으로 인증되었음을 나타냅니다.

원인

이 문제는 CNG(Cryptography Next Generation)를 통해 프라이빗 키 스토리지에 KSP(키 스토리지 공급자)를 사용하는 인증서로 웹 사이트를 보호하는 경우에 발생할 수 있습니다. Exchange Server Outlook Web App 또는 ECP를 보호하기 위한 CNG/KSP 인증서를 지원하지 않습니다. CSP(암호화 서비스 공급자)를 대신 사용해야 합니다. 프라이빗 키가 영향을 받는 웹 사이트를 호스트하는 서버에서 KSP에 저장되는지 여부를 확인할 수 있습니다. 프라이빗 키(pfx, p12)가 포함된 인증서 파일이 있는지도 확인할 수 있습니다.

CertUtil을 사용하여 프라이빗 키 스토리지를 확인하는 방법

인증서가 서버에 이미 설치된 경우 다음 명령을 실행합니다.

certutil - 내 <CertificateSerialNumber>인증서가 pfx/p12 파일에 저장된 경우 다음 명령을 실행합니다.  

certutil <CertificateFileName>두 경우 모두 해당 인증서의 출력에 다음이 표시됩니다.  

공급자 = Microsoft Storage 키 공급자

해결 방법

이 문제를 resolve 인증서를 CSP로 마이그레이션하거나 인증서 공급자에게 CSP 인증서를 요청합니다.참고 다른 소프트웨어 또는 하드웨어 공급업체의 CSP 또는 KSP를 사용하는 경우 적절한 지침은 관련 공급업체에 문의하세요. 예를 들어 Microsoft RSA SChannel 암호화 공급자를 사용하고 인증서가 KSP에 잠겨 있지 않은 경우 이 작업을 수행해야 합니다.

  1. 프라이빗 키를 포함하여 기존 인증서를 백업합니다. 이 작업을 수행하는 방법에 대한 자세한 내용은 Export-ExchangeCertificate를 참조하세요.

  2. Get-ExchangeCertificate 명령을 실행하여 현재 인증서에 바인딩된 서비스를 확인합니다.

  3. 다음 명령을 실행하여 새 인증서를 CSP로 가져옵니다. certutil -csp "Microsoft RSA SChannel 암호화 공급자" -importpfx <CertificateFilename>

  4. Get-ExchangeCertificate 실행하여 인증서가 여전히 동일한 서비스에 바인딩되어 있는지 확인합니다.

  5. 서버를 다시 시작합니다.

  6. 다음 명령을 실행하여 인증서에 이제 CSP와 함께 저장된 프라이빗 키가 있는지 확인합니다. certutil - 내 <CertificateSerialNumber> 저장

이제 출력에 다음이 표시됩니다.  

공급자 = Microsoft RSA SChannel 암호화 공급자

도움이 더 필요하세요?

더 많은 옵션을 원하세요?

구독 혜택을 살펴보고, 교육 과정을 찾아보고, 디바이스를 보호하는 방법 등을 알아봅니다.