Symptom
Tänk dig följande situation:
-
I en Exchange Server miljö är en Outlook Web App eller Exchange-webbplats på Kontrollpanelen (ECP) konfigurerad att använda formulärbaserad autentisering (FBA).
-
En användare anger ett giltigt användarnamn och lösenord för postlådan.
När användaren loggar in på Outlook Web App eller ECP i det här scenariot omdirigeras han eller hon till FBA-sidan. Det finns inget felmeddelande.
I httpProxy\Owa-loggen visar dessutom poster för "/owa" att "CorrelationID=<empty>; NoCookies=302" returnerades för misslyckade begäranden. Tidigare i loggen anger poster för "/owa/auth.owa" att användaren har autentiserats.
Orsak
Det här problemet kan uppstå om webbplatsen skyddas av ett certifikat som använder en nyckel-Storage-provider (KSP) för sin privata nyckellagring via nästa generations Cryptography (CNG).
Exchange Server CNG/KSP-certifikat för att skydda Outlook Web App och ECP. En cryptographic Service Provider (CSP) måste användas i stället. Du kan avgöra om den privata nyckeln lagras i KSP från servern som är värd för den aktuella webbplatsen. Du kan också verifiera detta om du har certifikatfilen som innehåller den privata nyckeln (pfx, p12).
Så här använder du CertUtil för att fastställa privat nyckellagring
Om certifikatet redan är installerat på servern kör du följande kommando:
certutil -store my <CertificateSerialNumber>Om certifikatet lagras i en pfx/p12-fil kör du följande kommando:
certutil <CertificateFileName>I båda fallen visar utdata för certifikatet i fråga följande:
Provider = Microsoft Storage Key Provider
Lösning
Du kan lösa problemet genom att migrera certifikatet till en leverantör av CSP eller begära ett certifikat för CSP från certifikatleverantören.
Obs! Om du använder en leverantör av Microsoft-leverantör eller KSP från en annan programvara eller maskinvaruleverantör kontaktar du den relevanta leverantören för att få instruktioner. Du bör till exempel göra det om du använder en Microsoft RSA SChannel Cryptographic Provider och om certifikatet inte är låst till en KSP.
-
Då kan du sskydda ditt befintliga certifikat, inklusive den privata nyckeln. Mer information om hur du gör detta finns i Export-ExchangeCertificate.
-
Kör kommandot Get-ExchangeCertificate för att avgöra vilka tjänster som för närvarande är bundna till certifikatet.
-
Importera det nya certifikatet till en CSP genom att köra följande kommando:
certutil -csp "Microsoft RSA SChannel Cryptographic Provider" -importpfx <CertificateFilename> -
Kör Get-ExchangeCertificate för att se till att certifikatet fortfarande är bundet till samma tjänster.
-
Starta om servern.
-
Kör följande kommando för att verifiera att certifikatet nu har sin privata nyckel lagrad med en CSP:
certutil -store my <CertificateSerialNumber>
Följande bör nu visas i utdata:
Provider = Microsoft RSA SChannel Cryptographic Provider