Aplica-se A
Exchange Server 2013 Enterprise Edition Exchange Server 2013 Standard Edition Exchange Server 2016 Standard Edition Exchange Server 2016 Enterprise Edition Exchange Server 2019

Sintomas

Considere o seguinte cenário:

  • Num ambiente Exchange Server, um Web site do Outlook Web App ou Exchange de Controlo (ECP) está configurado para utilizar a autenticação baseada em formulários (FBA).

  • Um utilizador introduza um nome de utilizador e palavra-passe de caixa de correio válidos.

Quando o utilizador iniciar sessão no Outlook Web App ou ECP neste cenário, será redirecionado para a página FBA. Não existe mensagem de erro. Além disso, no registo httpProxy\Owa, as entradas de "/owa" mostram que "CorrelationID=<vazia>; NoCookies=302" foi devolvido para os pedidos falhados. No registo anterior, as entradas de "/owa/auth.owa" indicam que o utilizador foi autenticado com êxito.

Causa

Este problema pode ocorrer se o site estiver protegido por um certificado que utiliza um Fornecedor de Armazenamento Chave (KSP) para o seu armazenamento de chave privada através do Cryptography Next Generation (CNG). Exchange Server não suporta certificados CNG/KSP para proteger Outlook Web App ou ECP. Em vez disso, tem de ser utilizado um Fornecedor de Serviços Criptgráficos (CSP). Pode determinar se a chave privada está armazenada no KSP a partir do servidor que alojou o site afetado. Também pode verificar esta situação se tiver o ficheiro de certificado que contém a chave privada (pfx, p12).

Como utilizar a CertUtil para determinar o armazenamento de chaves privadas

Se o certificado já estiver instalado no servidor, execute o seguinte comando:

certutil -store my <CertificateSerialNumber>Se o certificado estiver armazenado num ficheiro pfx/p12, execute o seguinte comando:  

certutil <CertificateFileName>Em qualquer um dos casos, o resultado para o certificado em questão apresenta o seguinte:  

Fornecedor = Microsoft Armazenamento Fornecedor Chave

Resolução

Para resolver este problema, migrar o certificado para um CSP ou pedir um certificado CSP ao seu fornecedor de certificados.Nota Se utilizar um KSP ou um KSP de outro software ou fornecedor de hardware, contacte o fornecedor relevante para obter as instruções adequadas. Por exemplo, deve fazê-lo se utilizar um Fornecedor Cryptographic de Microsoft RSA SChannel e se o certificado não estiver bloqueado num KSP.

  1. Fazer uma segurança do seu certificado existente, incluindo a chave privada. Para obter mais informações sobre como fazê-lo, consulte Exportar-ExchangeCertificate.

  2. Execute o Get-ExchangeCertificate De para determinar que serviços estão vinculados ao certificado.

  3. Importe o novo certificado para um CSP ao executar o seguinte comando: certutil -csp "Microsoft RSA SChannel Cryptographic Provider" -importpfx <CertificateFilename>

  4. Execute Get-ExchangeCertificate para se certificar de que o certificado ainda está vinculado aos mesmos serviços.

  5. Reinicie o servidor.

  6. Execute o seguinte comando para verificar se o certificado tem agora a sua chave privada armazenada com um CSP: certutil -store my <CertificateSerialNumber>

A saída deverá agora mostrar o seguinte:  

Fornecedor = Fornecedor de Criptografia Microsoft RSA SChannel

Facebook LinkedIn E-mail
SUBSCREVER FEEDS RSS

Precisa de mais ajuda?

Quer mais opções?

Explore os benefícios da subscrição, navegue em cursos de formação, saiba como proteger o seu dispositivo e muito mais.

Benefícios da subscrição do Microsoft 365

Formação do Microsoft 365

Segurança da Microsoft

Centro de acessibilidade