Gäller för
Exchange Server 2013 Enterprise Edition Exchange Server 2013 Standard Edition Exchange Server 2016 Standard Edition Exchange Server 2016 Enterprise Edition Exchange Server 2019

Symptom

Tänk dig följande situation:

  • I en Exchange Server miljö konfigureras en Outlook Web App- eller Exchange Kontrollpanelen-webbplats (ECP) för att använda formulärbaserad autentisering (FBA).

  • En användare anger ett giltigt användarnamn och lösenord för postlådan.

När användaren loggar in på Outlook Web App eller ECP i det här scenariot omdirigeras han eller hon till FBA-sidan. Det finns inget felmeddelande. I HttpProxy\Owa-loggen visar dessutom poster för "/owa" att "CorrelationID=<tom>; NoCookies=302" returnerades för de misslyckade förfrågningarna. Tidigare i loggen anger poster för "/owa/auth.owa" att användaren har autentiserats.

Orsak

Det här problemet kan uppstå om webbplatsen skyddas av ett certifikat som använder en KSP (Key Storage Provider) för sin privata nyckellagring via Cryptography Next Generation (CNG). Exchange Server stöder inte CNG/KSP-certifikat för skydd av Outlook Web App eller ECP. En kryptografisk tjänstleverantör (CSP) måste användas i stället. Du kan avgöra om den privata nyckeln lagras i KSP från servern som är värd för den berörda webbplatsen. Du kan också kontrollera detta om du har certifikatfilen som innehåller den privata nyckeln (pfx, p12).

Så här använder du CertUtil för att fastställa lagring av privata nyckelar

Om certifikatet redan är installerat på servern kör du följande kommando:

certutil -store my <CertificateSerialNumber>Om certifikatet lagras i en pfx/p12-fil kör du följande kommando:  

certutil <CertificateFileName>I båda fallen visas följande i resultatet för certifikatet i fråga:  

Provider = Microsoft Storage Key Provider

Lösning

Lös problemet genom att migrera certifikatet till en leverantör av Microsoft-molnlösningar eller begära ett certifikat för microsoft-molnlösningar från certifikatleverantören.Obs! Om du använder en leverantör av Microsoft-molnlösning eller en KSP från en annan programvaru- eller maskinvaruleverantör kontaktar du den relevanta leverantören för att få lämpliga instruktioner. Du bör till exempel göra detta om du använder en Microsoft RSA SChannel Cryptographic Provider och om certifikatet inte är låst i en KSP.

  1. Säkerhetskopiera ditt befintliga certifikat, inklusive den privata nyckeln. Mer information om hur du gör detta finns i Export-ExchangeCertificate.

  2. Kör kommandot Get-ExchangeCertificate för att avgöra vilka tjänster som för närvarande är bundna till certifikatet.

  3. Importera det nya certifikatet till en csp genom att köra följande kommando: certutil -csp "Microsoft RSA SChannel Cryptographic Provider" -importpfx <CertificateFilename>

  4. Kör Get-ExchangeCertificate för att kontrollera att certifikatet fortfarande är bundet till samma tjänster.

  5. Starta om servern.

  6. Kör följande kommando för att verifiera att certifikatet nu har sin privata nyckel lagrad med en csp: certutil -store my <CertificateSerialNumber>

Utdata ska nu visa följande:  

Provider = Microsoft RSA SChannel Cryptographic Provider

Behöver du mer hjälp?

Vill du ha fler alternativ?

Utforska prenumerationsförmåner, bläddra bland utbildningskurser, lär dig hur du skyddar din enhet med mera.