Van toepassing op
Exchange Server 2013 Enterprise Edition Exchange Server 2013 Standard Edition Exchange Server 2016 Standard Edition Exchange Server 2016 Enterprise Edition Exchange Server 2019

Symptomen

Neem het volgende scenario:

  • In een Exchange Server-omgeving wordt een website van Outlook Web App of Exchange Configuratiescherm (ECP) geconfigureerd voor het gebruik van verificatie op basis van formulieren (FBA).

  • Een gebruiker voert een geldige gebruikersnaam en wachtwoord voor het postvak in.

Wanneer de gebruiker zich in dit scenario aanmeldt bij Outlook Web App of ECP, wordt hij of zij omgeleid naar de FBA-pagina. Er is geen foutbericht. Bovendien wordt in het httpProxy\Owa-logboek vermeldingen voor '/owa' weergegeven dat 'CorrelationID=<lege>; NoCookies=302" is geretourneerd voor de mislukte aanvragen. Eerder in het logboek geven vermeldingen voor /owa/auth.owa aan dat de gebruiker is geverifieerd.

Oorzaak

Dit probleem kan optreden als de website wordt beveiligd door een certificaat dat gebruikmaakt van een Key Storage Provider (KSP) voor de opslag van de persoonlijke sleutel via Cryptography Next Generation (CNG). Exchange Server biedt geen ondersteuning voor CNG/KSP-certificaten voor het beveiligen van Outlook Web App of ECP. In plaats hiervan moet een Cryptographic Service Provider (CSP) worden gebruikt. U kunt bepalen of de persoonlijke sleutel is opgeslagen in de KSP van de server die als host fungeert voor de betreffende website. U kunt dit ook controleren als u het certificaatbestand hebt dat de persoonlijke sleutel (pfx, p12) bevat.

CertUtil gebruiken om de opslag van persoonlijke sleutels te bepalen

Als het certificaat al op de server is geïnstalleerd, voert u de volgende opdracht uit:

certutil -store my <CertificateSerialNumber>Als het certificaat is opgeslagen in een pfx/p12-bestand, voert u de volgende opdracht uit:  

certutil <CertificateFileName>In beide gevallen wordt in de uitvoer voor het betreffende certificaat het volgende weergegeven:  

Provider = Microsoft Storage Key Provider

Oplossing

U kunt dit probleem oplossen door het certificaat te migreren naar een CSP of een CSP-certificaat aan te vragen bij uw certificaatprovider.Opmerking Als u een CSP of KSP van een andere software- of hardwareleverancier gebruikt, neemt u contact op met de relevante leverancier voor de juiste instructies. U moet dit bijvoorbeeld doen als u een Cryptografische provider van Microsoft RSA SChannel gebruikt en als het certificaat niet is vergrendeld in een KSP.

  1. Maak een back-up van uw bestaande certificaat, inclusief de persoonlijke sleutel. Zie Export-ExchangeCertificate voor meer informatie over hoe u dit doet.

  2. Voer de opdracht Get-ExchangeCertificate uit om te bepalen welke services momenteel zijn gebonden aan het certificaat.

  3. Importeer het nieuwe certificaat in een CSP door de volgende opdracht uit te voeren: certutil -csp "Microsoft RSA SChannel Cryptographic Provider" -importpfx <CertificateFilename>

  4. Voer Get-ExchangeCertificate uit om ervoor te zorgen dat het certificaat nog steeds is gebonden aan dezelfde services.

  5. Start de server opnieuw op.

  6. Voer de volgende opdracht uit om te controleren of de persoonlijke sleutel van het certificaat nu is opgeslagen met een CSP: certutil -store my <CertificateSerialNumber>

De uitvoer moet nu het volgende weergeven:  

Provider = Microsoft RSA SChannel Cryptographic Provider

Meer hulp nodig?

Meer opties?

Verken abonnementsvoordelen, blader door trainingscursussen, leer hoe u uw apparaat kunt beveiligen en meer.