Причини
Розглянемо таку ситуацію:
-
В середовищі Exchange Server 2013 веб-застосунку Outlook Web App або на панелі керування Exchange (ECP) веб-сайт, настроєно для використання автентифікації на основі форм (FBA).
-
Користувач вводить, до дійсного поштова скринька користувача та пароль.
Коли користувач виходить на веб-застосунку Outlook Web App або ECP у цьому випадку, вона є перенаправлення FBA сторінку. Немає жодних повідомлень про помилки.
Крім того, у журналі HttpProxy\Owa записи для "/ owa" показує, що "CorrelationID = < порожній >; NoCookies = 302" повернуто для запитів, які не вдалося. Раніше в журналі записи для "/ owa/auth.owa" вказують на те, що користувач було успішно автентифікацію.
Причина
Ця проблема може виникати, якщо на веб-сайті, забезпечених сертифікатом, які ключ постачальник сховища (KSP) для приватного ключа зберігання через криптографічний наступного покоління (CNG).
Exchange Server не підтримує CNG/KSP сертифікати для забезпечення веб-застосунку Outlook Web App або ECP. Постачальник служби криптографії (CSP) має використовуватися замість нього. Ви можете визначити, чи закритий ключ зберігається в KSP, із сервера, на якому відповідного веб-сайт. Ви також можете перевірити це, якщо файл сертифікат, який містить закритий ключ (pfx, p12).
Використання CertUtil для визначення приватної ключ сховища
Якщо сертифікат вже інстальовано на сервері, виконайте таку команду:
certutil-зберігання мій <CertificateSerialNumber>Якщо сертифікат, зберігається у файлі pfx/p12, виконайте таку команду:
certutil <CertificateFileName>В обох випадках результат на наявність в сертифікаті відображає такі:
Постачальник = Microsoft зберігання ключа постачальника.
Вирішення
Щоб вирішити цю проблему, перейти до CSP сертифікат або запит сертифіката CSP від постачальника послуг сертифіката.
Примітка. Використовується CSP або KSP від іншого програмного забезпечення або устаткування постачальника, зверніться до постачальника відповідні для відповідних інструкцій. Наприклад, це слід робити, якщо використовується Microsoft пар безпечний канал постачальник криптографії, а сертифікат не заблоковано в до KSP.
-
Резервне копіювання наявних сертифікат у тому числі закритий ключ. Щоб отримати додаткові відомості про те, як це зробити див. Експорт і ExchangeCertificate.
-
Запуск команди Get-ExchangeCertificate , щоб визначити, які служби пов'язані із сертифікатом.
-
Імпортувати нового сертифіката CSP за допомогою такої команди:
certutil - csp "Microsoft пар безпечний канал постачальник шифрування" - importpfx. - < CertificateFilename > -
Запустіть Get-ExchangeCertificate , щоб переконатися, що сертифікат ще прив'язано до самого служб.
-
Перезавантажте сервер.
-
Запустіть таку команду, щоб переконатися, що сертифікат тепер має його закритий ключ, що зберігаються у файлах із CSP.
certutil-зберігання мій <CertificateSerialNumber>
Результати тепер має відображатися такі:
Постачальник = Microsoft пар постачальник шифрування безпечний канал