Aplica-se a
Exchange Server 2013 Enterprise Edition Exchange Server 2013 Standard Edition Exchange Server 2016 Standard Edition Exchange Server 2016 Enterprise Edition Exchange Server 2019

Sintomas

Considere o seguinte cenário:

  • Em um ambiente Exchange Server, um site Outlook Web App ou exchange Painel de Controle (ECP) é configurado para usar a FBA (autenticação baseada em formulários).

  • Um usuário insere um nome de usuário e uma senha válidos da caixa de correio.

Quando o usuário faz logon em Outlook Web App ou ECP nesse cenário, ele ou ela é redirecionado para a página FBA. Não há nenhuma mensagem de erro. Além disso, no log HttpProxy\Owa, as entradas para "/owa" mostram que "CorrelationID=<> vazio; NoCookies=302" foi retornado para as solicitações com falha. Anteriormente no log, as entradas de "/owa/auth.owa" indicam que o usuário foi autenticado com êxito.

Causa

Esse problema poderá ocorrer se o site for protegido por um certificado que usa um KSP (Provedor de Armazenamento de Chaves) para seu armazenamento de chaves privadas por meio do CNG (Cryptography Next Generation). Exchange Server não dá suporte a certificados CNG/KSP para proteger Outlook Web App ou ECP. Em vez disso, um CSP (Provedor de Serviços Criptográficos) deve ser usado. Você pode determinar se a chave privada é armazenada no KSP do servidor que hospeda o site afetado. Você também pode verificar se tem o arquivo de certificado que contém a chave privada (pfx, p12).

Como usar o CertUtil para determinar o armazenamento de chaves privadas

Se o certificado já estiver instalado no servidor, execute o seguinte comando:

certutil -store my <CertificateSerialNumber>Se o certificado estiver armazenado em um arquivo pfx/p12, execute o seguinte comando:  

certutil <CertificateFileName>Em ambos os casos, a saída do certificado em questão exibe o seguinte:  

Provedor = Provedor de Chaves de Armazenamento da Microsoft

Resolução

Para resolve esse problema, migre o certificado para um CSP ou solicite um certificado CSP do provedor de certificados.Observação Se você usar um CSP ou KSP de outro fornecedor de software ou hardware, entre em contato com o fornecedor relevante para obter as instruções apropriadas. Por exemplo, você deve fazer isso se usar um Provedor Criptográfico SChannel do Microsoft RSA e se o certificado não estiver bloqueado em um KSP.

  1. Faça backup do certificado existente, incluindo a chave privada. Para obter mais informações sobre como fazer isso, consulte Export-ExchangeCertificate.

  2. Execute o comando Get-ExchangeCertificate para determinar quais serviços estão vinculados atualmente ao certificado.

  3. Importe o novo certificado para um CSP executando o seguinte comando: certutil -csp "Microsoft RSA SChannel Cryptographic Provider" -importpfx <CertificateFilename>

  4. Execute Get-ExchangeCertificate para garantir que o certificado ainda esteja vinculado aos mesmos serviços.

  5. Reinicie o servidor.

  6. Execute o seguinte comando para verificar se o certificado agora tem sua chave privada armazenada com um CSP: certutil -store my <CertificateSerialNumber>

A saída agora deve mostrar o seguinte:  

Provedor = Provedor criptográfico SChannel do Microsoft RSA

Facebook LinkedIn Email
ASSINAR RSS FEEDS

Precisa de mais ajuda?

Quer mais opções

Explore os benefícios da assinatura, procure cursos de treinamento, saiba como proteger seu dispositivo e muito mais.

Benefícios da assinatura do Microsoft 365

Treinamento do Microsoft 365

Segurança da Microsoft

Centro de acessibilidade