Uygulandığı Öğe
Exchange Server 2013 Enterprise Edition Exchange Server 2013 Standard Edition Exchange Server 2016 Standard Edition Exchange Server 2016 Enterprise Edition Exchange Server 2019

Belirtiler

Aşağıdaki senaryoyu inceleyin:

  • Exchange Server bir ortamda, Outlook Web App veya Exchange Denetim Masası (ECP) web sitesi form tabanlı kimlik doğrulaması (FBA) kullanacak şekilde yapılandırılır.

  • Kullanıcı geçerli bir posta kutusu kullanıcı adı ve parolası girer.

Kullanıcı bu senaryoda Outlook Web App veya ECP'de oturum açtığında FBA sayfasına yönlendirilir. Hata iletisi yok. Ayrıca HttpProxy\Owa günlüğünde "/owa" girdileri "CorrelationID=<boş>; Başarısız istekler için NoCookies=302" döndürüldü. Günlüğün önceki bölümlerinde "/owa/auth.owa" girdileri, kullanıcının kimliğinin başarıyla doğrulandığını gösterir.

Neden

Web sitesi, Şifreleme Yeni Nesil (CNG) aracılığıyla özel anahtar depolaması için Anahtar Depolama Sağlayıcısı (KSP) kullanan bir sertifika tarafından güvenli hale getiriliyorsa bu sorun oluşabilir. Exchange Server, Outlook Web App veya ECP'nin güvenliğini sağlamak için CNG/KSP sertifikalarını desteklemez. Bunun yerine bir Şifreleme Hizmet Sağlayıcısı (CSP) kullanılmalıdır. Özel anahtarın, etkilenen web sitesini barındıran sunucudan KSP'de depolanıp depolanmadığını belirleyebilirsiniz. Özel anahtarı içeren sertifika dosyasına (pfx, p12) sahipseniz de bunu doğrulayabilirsiniz.

Özel anahtar depolamayı belirlemek için CertUtil kullanma

Sertifika sunucuda zaten yüklüyse aşağıdaki komutu çalıştırın:

certutil -store my <CertificateSerialNumber>Sertifika pfx/p12 dosyasında depolanıyorsa aşağıdaki komutu çalıştırın:  

certutil <CertificateFileName>Her iki durumda da, söz konusu sertifikanın çıktısı aşağıdakileri görüntüler:  

Sağlayıcı = Microsoft Depolama Anahtarı Sağlayıcısı

Çözüm

Bu sorunu çözmek için sertifikayı CSP'ye geçirin veya sertifika sağlayıcınızdan bir CSP sertifikası isteyin.Not Başka bir yazılım veya donanım satıcısının CSP veya KSP'sini kullanıyorsanız, uygun yönergeler için ilgili satıcıya başvurun. Örneğin, microsoft RSA SChannel Şifreleme Sağlayıcısı kullanıyorsanız ve sertifika bir KSP'ye kilitlenmediyse bunu yapmanız gerekir.

  1. Özel anahtar da dahil olmak üzere mevcut sertifikanızı yedekleyin. Bunun nasıl yapacağı hakkında daha fazla bilgi için bkz . Export-ExchangeCertificate.

  2. Sertifikaya şu anda hangi hizmetlerin bağlı olduğunu belirlemek için Get-ExchangeCertificate komutunu çalıştırın.

  3. Aşağıdaki komutu çalıştırarak yeni sertifikayı CSP'ye aktarın: certutil -csp "Microsoft RSA SChannel Şifreleme Sağlayıcısı" -importpfx <CertificateFilename>

  4. Sertifikanın hala aynı hizmetlere bağlı olduğundan emin olmak için Get-ExchangeCertificate çalıştırın.

  5. Sunucuyu yeniden başlatın.

  6. Sertifikanın artık csp ile depolanan özel anahtarı olduğunu doğrulamak için aşağıdaki komutu çalıştırın: certutil -store my <CertificateSerialNumber>

Çıkışta artık aşağıdakiler gösterilmelidir:  

Sağlayıcı = Microsoft RSA SChannel Şifreleme Sağlayıcısı

Facebook LinkedIn E-posta
RSS AKIŞLARINA ABONE OLUN

Daha fazla yardıma mı ihtiyacınız var?

Daha fazla seçenek mi istiyorsunuz?

Abonelik avantajlarını keşfedin, eğitim kurslarına göz atın, cihazınızın güvenliğini nasıl sağlayacağınızı öğrenin ve daha fazlasını yapın.

Microsoft 365 abonelik avantajları

Microsoft 365 eğitimi

Microsoft güvenliği

Erişilebilirlik merkezi